工作方式 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

工作方式

要使用运行时监控,您必须启用运行时监控功能,然后管理 GuardDuty 安全代理。以下列表说明了这一两步过程:

  1. 为您的账户启用运行时监控,以便 GuardDuty 可以接受从 Amazon EC2 实例、Amazon ECS 集群和 Amazon EKS 工作负载收到的运行时事件。

  2. 为要监控其运行时行为的单个资源管理 GuardDuty 代理。根据资源类型,您可以选择:

    • 使用自动代理配置,其中 GuardDuty 会管理代理部署,并自动使用 Amazon Virtual Private Cloud(Amazon VPC)端点。

    • 要手动安装代理,先决条件之一是创建 VPC 端点。

    安全代理使用 VPC 端点向 GuardDuty 传送事件,确保数据保留在 Amazon 网络中。这种方法增强了安全性,并允许 GuardDuty 监控和分析您各项资源(Amazon EKS、Amazon EC2 和 Amazon Fargate-Amazon ECS)的运行时行为。GuardDuty 使用实例身份角色对每种资源类型的安全代理进行身份验证,以便将相关运行时事件发送到 VPC 端点。

注意

GuardDuty 不会让这些运行时事件可由您访问。

当您在 EKS 运行时监控或 EC2 实例运行时监控中管理安全代理(手动或通过 GuardDuty),而 GuardDuty 目前部署在 Amazon EC2 实例上并接收从该实例收集的运行时事件类型时,GuardDuty 不会因分析来自此 Amazon EC2 实例的 VPC 流日志而向您的 Amazon Web Services 账户收取费用。这有助于 GuardDuty 避免在账户中产生双重使用成本。

以下主题说明了为每种资源类型启用运行时监控和管理 GuardDuty 安全代理的工作原理差异。

目录