GuardDuty 运行时监控 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 运行时监控

运行时监控可观察和分析操作系统级别、网络和文件事件,以帮助您检测环境中特定 Amazon 工作负载中的潜在威胁。

运行时监控@@ 中支持的 Amazon 资源 — GuardDuty 最初发布的运行时监控仅支持亚马逊 Elastic Kubernetes Service(亚马逊)资源。EKS现在,您还可以使用运行时监控功能为您的 Amazon Fargate 亚马逊弹性容器服务 (AmazonECS) 和亚马逊弹性计算云 (AmazonEC2) 资源提供威胁检测。

GuardDuty 不支持在上面运行的 Amazon EKS 集群 Amazon Fargate。

在本文档以及与运行时监控相关的其他章节中, GuardDuty 使用资源类型的术语来指代亚马逊EKS、Fargate Amazon ECS 和亚马逊EC2资源。

Runtime Monitoring 使用 GuardDuty 安全代理,该代理可增加运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接。对于要监控潜在威胁的每种资源类型,您可以自动或手动管理该特定资源类型的安全代理(Fargate(ECS仅限 Amazon)除外)。自动管理安全代理意味着您 GuardDuty 允许代表您安装和更新安全客户端。另一方面,当您手动管理资源的安全代理时,您负责根据需要安装和更新安全代理。

借助此扩展功能, GuardDuty 可以帮助您识别和应对可能针对在您的个人工作负载和实例中运行的应用程序和数据的潜在威胁。例如,威胁可能会从破坏单个容器开始,而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下,错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。

通过分析单个容器和工作负载的运行时事件, GuardDuty 有可能在初始阶段识别容器和相关 Amazon 凭证的泄露情况,并检测到有人企图提升权限、可疑API请求以及对环境中数据的恶意访问。