本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在您啟用執行期監控並在獨立帳戶或多個成員帳戶中安裝 GuardDuty 安全代理程式後,您可以採取下列步驟以確保保護計畫設定如預期般運作,並監控 GuardDuty 安全代理程式使用的記憶體和 CPU 數量。
- 評估執行期涵蓋範圍
-
GuardDuty 建議您持續評估已部署安全代理程式的資源涵蓋範圍狀態。涵蓋範圍狀態可能是正常或不良。運作狀態良好的涵蓋範圍狀態表示 GuardDuty 會在有作業系統層級活動時,從對應的資源接收執行時間事件。
當資源的涵蓋範圍狀態變成正常運作時,GuardDuty 就能夠接收執行期事件,並加以分析以進行威脅偵測。當 GuardDuty 在容器工作負載和執行個體中執行的任務或應用程式中偵測到潛在的安全威脅時,GuardDuty 會產生 GuardDuty 執行期監控調查結果類型。
您也可以設定 Amazon EventBridge (EventBridge),以在涵蓋範圍狀態從運作狀態不佳變更為正常運作時收到通知。如需詳細資訊,請參閱檢閱執行時間涵蓋範圍統計資料和疑難排解問題。
- 設定 GuardDuty 安全代理程式的 CPU 和記憶體監控
-
評估涵蓋範圍狀態顯示為正常運作後,您可以評估資源類型的安全代理程式效能。對於具有安全代理程式 1.5 版或更新版本的 Amazon EKS 叢集,GuardDuty 支援設定 (附加) 安全代理程式的參數。如需詳細資訊,請參閱設定 CPU 和記憶體監控。
- GuardDuty 偵測潛在威脅
-
當 GuardDuty 開始接收資源的執行期事件時,它會開始分析這些事件。當 GuardDuty 在您的任何 Amazon EC2 執行個體、Amazon ECS 叢集或 Amazon EKS 叢集中偵測到潛在的安全威脅時,會產生一或多個 GuardDuty 執行期監控調查結果類型。您可以存取調查結果詳細資訊,以檢視受影響的資源詳細資訊。
