本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty 运行时监控
运行时监控可观察和分析操作系统级别、网络和文件事件,以帮助您检测环境中特定 Amazon 工作负载中的潜在威胁。
GuardDuty 最初发布的运行时监控仅支持亚马逊 Elastic Kubernetes Service(亚马逊 EKS)资源。但是,现在您还可以使用运行时监控功能为您的 Amazon Fargate 亚马逊弹性容器服务 (Amazon ECS) 和亚马逊弹性计算云 (Amazon EC2) 资源提供威胁检测。
在本文档和其他与运行时监控相关的部分中, GuardDuty 使用资源类型的术语来指代亚马逊 EKS、Fargate Amazon ECS 和 Amazon EC2 资源。
Runtime Monitoring 使用 GuardDuty 安全代理,该代理可增加运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接。对于要监控潜在威胁的每种资源类型,您可以自动或手动管理该特定资源类型的安全代理(Fargate(仅限 Amazon ECS)除外)。自动管理安全代理意味着您 GuardDuty 允许代表您安装和更新安全客户端。另一方面,当您手动管理资源的安全代理时,您负责根据需要安装和更新安全代理。
借助此扩展功能, GuardDuty 可以帮助您识别和应对可能针对在您的个人工作负载和实例中运行的应用程序和数据的潜在威胁。例如,威胁可能始于破坏运行易受攻击 Web 应用程序的单个容器。此 Web 应用程序可能具有底层容器和工作负载的访问权限。在这种情况下,不正确配置的凭据可能会导致更广泛地访问账户以及存储在账户中的数据。
通过分析各个容器和工作负载的运行时事件, GuardDuty 有可能在初始阶段识别出容器和相关 Amazon 凭证的泄露情况,并检测企图升级权限、可疑 API 请求以及对环境中数据的恶意访问。