GuardDuty 运行时监控 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 运行时监控

运行时监控可观察和分析操作系统级别事件、网络事件和文件事件,以帮助检测环境中特定 Amazon 工作负载中的潜在威胁。

运行时监控@@ 中支持的 Amazon 资源: GuardDuty 最初发布的运行时监控仅支持 Amazon Elastic Kubernetes Service(Amazon EKS)资源。现在,您还可以使用运行时监控功能来为 Amazon Elastic Container Service( Amazon Fargate Amazon ECS)和 Amazon Elastic Compute Cloud(A EC2 mazon)资源提供威胁检测。

GuardDuty 不支持在上运行的 Amazon EKS 集群 Amazon Fargate。

在本文档和其他与运行时监控相关的章节中, GuardDuty 使用资源类型一词来指代 Amazon EKS、Fargate Amazon ECS 和 Amazon 资源。 EC2

运行时监控使用 GuardDuty 安全代理来提供对运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接等。对于要监控潜在威胁的每种资源类型,您可以自动或手动管理该特定资源类型的安全代理,Fargate(仅限 Amazon ECS)除外。如果您选择自动管理安全代理,则意味着您 GuardDuty 允许代表您安装和更新安全代理。如果您手动管理资源的安全代理,则您负责在需要时安装和更新安全代理。

借助这项扩展功能, GuardDuty 可帮助您识别和响应可能针对在单个工作负载和实例中运行的应用程序和数据的潜在威胁。例如,威胁可能会从破坏单个容器开始,而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下,错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。

通过分析单个容器和工作负载的运行时事件, GuardDuty 有可能在初期阶段识别容器失陷和相关 Amazon 凭证泄露的情况,检测到升级权限尝试、可疑的 API 请求以及对环境中数据的恶意访问。

内容