Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identifizieren Sie unberechtigtes Verhalten mithilfe von Runtime Monitoring
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.
Runtime Monitoring in GuardDuty schützt Workloads, die auf Fargate- und EC2 Container-Instances ausgeführt werden, indem es die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht, um bösartiges oder nicht autorisiertes Verhalten zu identifizieren. Runtime Monitoring verwendet einen schlanken, vollständig verwalteten GuardDuty Security Agent, der das Verhalten auf dem Host analysiert, z. B. den Dateizugriff, die Prozessausführung und Netzwerkverbindungen. Dies deckt Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen und Domains sowie das Vorhandensein von Malware auf Ihren EC2 Amazon-Instances und Container-Workloads ab. Weitere Informationen finden Sie unter GuardDutyRuntime Monitoring im GuardDuty Benutzerhandbuch.
Ihr Sicherheitsadministrator aktiviert Runtime Monitoring für ein einzelnes oder mehrere Konten in AWS Organizations für GuardDuty. Sie wählen auch aus, ob der GuardDuty Security Agent GuardDuty automatisch installiert wird, wenn Sie Fargate verwenden. Alle Ihre Cluster sind automatisch geschützt und GuardDuty verwalten den Security Agent in Ihrem Namen.
In den folgenden Fällen können Sie den GuardDuty Security Agent auch manuell konfigurieren:
-
Sie verwenden EC2 Container-Instances
-
Sie benötigen eine detaillierte Steuerung, um Runtime Monitoring auf Clusterebene zu aktivieren
Um Runtime Monitoring verwenden zu können, müssen Sie die geschützten Cluster konfigurieren und den GuardDuty Security Agent auf Ihren EC2 Container-Instances installieren und verwalten.
So funktioniert Runtime Monitoring mit Amazon ECS
Runtime Monitoring verwendet einen schlanken GuardDuty Sicherheitsagenten, der die ECS Amazon-Workload-Aktivitäten dahingehend überwacht, wie Anwendungen die zugrunde liegenden Systemressourcen anfordern, darauf zugreifen und diese verbrauchen.
Bei Fargate-Aufgaben läuft der GuardDuty Security Agent als Sidecar-Container für jede Aufgabe.
Bei EC2 Container-Instances wird der GuardDuty Security Agent als Prozess auf der Instance ausgeführt.
Der GuardDuty Security Agent sammelt Daten aus den folgenden Ressourcen und sendet die Daten dann GuardDuty zur Verarbeitung an. Sie können die Ergebnisse in der GuardDuty Konsole einsehen. Sie können sie auch an andere Sicherheitsanbieter AWS Security Hub, AWS-Services z. B. oder einen Drittanbieter für Sicherheitslösungen, zur Aggregation und Problembehebung senden. Informationen zum Anzeigen und Verwalten von Ergebnissen finden Sie unter GuardDuty Amazon-Ergebnisse verwalten im GuardDuty Amazon-Benutzerhandbuch.
-
Antworten auf die folgenden ECS API Amazon-Anrufe:
-
Zu den Antwortparametern gehört das Runtime Monitoring-Tag (wenn das Tag gesetzt ist), wenn Sie die
--include TAGS
Option verwenden. -
Für den Starttyp Fargate beinhalten die Antwortparameter den GuardDuty Sidecar-Container.
-
Zu den Antwortparametern gehört die Runtime Monitoring-Kontoeinstellung, die von Ihrem Sicherheitsadministrator festgelegt wird.
-
-
Die Introspektionsdaten des Container-Agenten. Weitere Informationen finden Sie unter Introspektion von ECS Amazon-Containern.
Der Endpunkt der Aufgabenmetadaten für den Starttyp:
Überlegungen
Beachten Sie bei der Verwendung von Runtime Monitoring Folgendes:
-
Runtime Monitoring ist mit Kosten verbunden. Weitere Informationen finden Sie unter GuardDuty Amazon-Preise
. -
Runtime Monitoring wird auf Amazon ECS Anywhere nicht unterstützt.
-
Runtime Monitoring wird für das Windows-Betriebssystem nicht unterstützt.
-
Wenn Sie Amazon ECS Exec auf Fargate verwenden, müssen Sie den Container-Namen angeben, da der GuardDuty Security Agent als Sidecar-Container ausgeführt wird.
-
Sie können Amazon ECS Exec nicht auf dem Sidecar-Container des GuardDuty Security Agents verwenden.
-
Der IAM Benutzer, der Runtime Monitoring auf Cluster-Ebene steuert, muss über die entsprechenden IAM Tag-Berechtigungen verfügen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMTutorial: Definieren von Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags.
-
Fargate-Aufgaben müssen eine Aufgabenausführungsrolle verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent, der in einem ECR privaten Amazon-Repository gespeichert ist, in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten.
Ressourcenauslastung
Das Tag, das Sie dem Cluster hinzufügen, wird auf das Cluster-Tag-Kontingent angerechnet.
Der GuardDuty Agent-Sidecar-Container wird nicht auf das Kontingent für Container pro Aufgabendefinition angerechnet.
Wie bei der meisten Sicherheitssoftware gibt es einen leichten Mehraufwand für. GuardDuty Informationen zu den Fargate-Speicherlimits finden Sie unter CPUund Speicherlimits im GuardDuty Benutzerhandbuch. Informationen zu den EC2 Speicherlimits von Amazon finden Sie unter CPUund Speicherlimit für GuardDuty Agenten.