使用运行时监控识别未经授权的行为 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用运行时监控识别未经授权的行为

Amazon GuardDuty 是一项威胁检测服务,可帮助保护您的账户、容器、工作负载和 Amazon 环境中的数据。使用机器学习 (ML) 模型以及异常和威胁检测功能, GuardDuty 持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。

中的运行时监控通过持续监控 Amazon 日志和联网活动来识别恶意或未经授权的行为,从而 GuardDuty 保护在 Fargate 和 EC2 容器实例上运行的工作负载。Runtime Monitoring 使用轻量级、完全托管 GuardDuty 的安全代理来分析主机上的行为,例如文件访问、进程执行和网络连接。这涵盖的问题包括权限升级、使用暴露的凭证、与恶意 IP 地址、域的通信,以及您的 Amazon EC2 实例和容器工作负载上存在恶意软件。有关更多信息,请参阅《GuardDuty 用户指南》中的GuardDuty运行时监控

您的安全管理员在 for 中 Amazon Organizations 为单个或多个帐户启用运行时监控 GuardDuty。他们还会选择在您使用 Fargate 时是否 GuardDuty 自动部署 GuardDuty 安全代理。您的所有集群都将自动受到保护,并代表您 GuardDuty管理安全代理。

在以下情况下,您也可以手动配置 GuardDuty 安全客户端:

  • 您使用 EC2 容器实例

  • 您需要精细控制才能在集群级别启用运行时监控

要使用运行时监控,您必须配置受保护的集群,并在您的 EC2 容器实例上安装和管理 GuardDuty 安全代理。

运行时监控如何与 Amazon ECS 配合使用

运行时监控使用轻量级 GuardDuty 安全代理,监控 Amazon ECS 的工作负载活动,了解应用程序请求、访问和消耗底层系统资源的方式。

对于 Fargate 任务, GuardDuty 安全代理作为每个任务的边车容器运行。

对于 EC2 容器实例, GuardDuty 安全代理作为一个进程在实例上运行。

GuardDuty 安全代理从以下资源收集数据,然后将数据发送 GuardDuty 到进行处理。您可以在 GuardDuty 控制台中查看调查结果。您也可以将它们发送给其他安全供应商 Amazon Web Services (例如)或第三方安全供应商 Amazon Security Hub,以进行汇总和修复。有关如何查看和管理调查结果的信息,请参阅亚马逊 GuardDuty 用户指南中的管理亚马逊 GuardDuty 调查结果

注意事项

使用运行时监控时,请考虑以下几点:

  • 运行时监控与之相关的成本。有关更多信息,请参阅 Amazon GuardDuty 定价

  • Amazon ECS Anywhere 不支持运行时监控。

  • Windows 操作系统不支持运行时监控。

  • 在 Fargate 上使用 Amazon ECS Exec 时,必须指定容器名称,因为 GuardDuty 安全代理作为边车容器运行。

  • 您不能在 GuardDuty 安全代理 sidecar 容器上使用 Amazon ECS Exec。

  • 在集群级别控制运行时监控的 IAM 用户必须具有相应的 IAM 权限才能进行标记。有关更多信息,请参阅 IAM 用户指南中的 IAM 教程:根据标签定义访问 Amazon 资源的权限

  • Fargate 任务必须使用任务执行角色。此角色授予任务代表您检索、更新和管理存储在 Amazon ECR 私有存储库中的 GuardDuty 安全代理的权限。

资源利用率

您添加到集群的标签计入集群标签配额。

GuardDuty 代理 sidecar 容器不计入每个任务定义的容器配额。

与大多数安全软件一样,有轻微的开销 GuardDuty。有关 Fargate 内存限制的信息,请参阅《GuardDuty 用户指南》中的 CPU 和内存限制。有关 Amazon EC2 内存限制的信息,请参阅 GuardDuty 代理的 CPU 和内存限制