启用运行时监控之后 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用运行时监控之后

在启用运行时监控并在您的独立账户或多个成员账户中安装 GuardDuty 安全代理后,您可以按照以下步骤来确保防护计划设置按预期运行,并监控 GuardDuty 安全代理使用的内存和 CPU 量。

评估运行时覆盖率

GuardDuty 建议您持续评估部署了安全代理的资源的覆盖率状态。覆盖率状态可能为正常不正常。覆盖率 GuardDuty 正状态表明存在操作系统级别的活动时,正在接收来自相应资源的运行时事件。

当资源的覆盖率状态变为 GuardDuty 正时,能够接收运行时事件并进行分析,以满足威胁检测的需要。当在容器工作负载和实例中运行的任务或应用程序中 GuardDuty 检测到潜在的安全威胁时, GuardDuty 就会生成GuardDuty 运行时监控查找类型

您还可以配置 Amazon EventBridge (EventBridge),以在覆盖率状态从不正常变为健康等时接收通知。有关更多信息,请参阅 检查运行时间覆盖率统计数据并对问题进行故障排除

为 GuardDuty 安全代理设置 CPU 和内存监控

经过评估,覆盖率状态显示为正常后,您可以评估您的资源类型的安全代理性能。对于具有安全代理版本 1.5 或更高版本的 Amazon EKS 集群, GuardDuty 支持配置(附加组件)安全代理的参数。有关更多信息,请参阅 设置 CPU 和内存监控

GuardDuty 检测潜在威胁

当 GuardDuty 开始接收资源的运行时事件后,将会开始分析这些事件。在您的任何 Amazon EC2 实例、Amazon ECS 集群或 Amazon EKS 集群中 GuardDuty 检测到潜在的安全威胁时,都会生成一个或多个GuardDuty 运行时监控查找类型。您可以访问调查发现详细信息来查看受影响资源的详细信息。