Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Laufzeitüberwachung in GuardDuty
Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Ihnen zu helfen, potenzielle Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu erkennen.
GuardDuty hat Runtime Monitoring ursprünglich veröffentlicht, um nur Amazon Elastic Kubernetes Service (Amazon EKS) -Ressourcen zu unterstützen. Jetzt können Sie jedoch auch die Runtime Monitoring-Funktion verwenden, um Bedrohungen für Ihre AWS Fargate Amazon Elastic Container Service- (Amazon ECS) - und Amazon Elastic Compute Cloud (Amazon EC2) -Ressourcen zu erkennen.
In diesem Dokument und anderen Abschnitten, die sich auf Runtime Monitoring beziehen, GuardDuty verwendet die Terminologie des Ressourcentyps, um sich auf Amazon EKS-, Fargate, Amazon ECS- und Amazon EC2 EC2-Ressourcen zu beziehen.
Runtime Monitoring verwendet einen GuardDuty Security Agent, der Einblicke in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bietet. Für jeden Ressourcentyp, den Sie auf potenzielle Bedrohungen überwachen möchten, können Sie den Security Agent für diesen spezifischen Ressourcentyp entweder automatisch oder manuell verwalten (mit Ausnahme von Fargate (nur Amazon ECS)). Wenn Sie den Security Agent automatisch verwalten, erlauben Sie, GuardDuty den Security Agent in Ihrem Namen zu installieren und zu aktualisieren. Wenn Sie den Security Agent für Ihre Ressourcen jedoch manuell verwalten, sind Sie dafür verantwortlich, den Security Agent bei Bedarf zu installieren und zu aktualisieren.
Mit dieser erweiterten Funktion GuardDuty können Sie potenzielle Bedrohungen identifizieren und darauf reagieren, die möglicherweise auf Anwendungen und Daten abzielen, die in Ihren individuellen Workloads und Instanzen ausgeführt werden. Beispielsweise kann eine Bedrohung potenziell damit beginnen, dass ein einzelner Container kompromittiert wird, auf dem eine anfällige Webanwendung ausgeführt wird. Diese Webanwendung verfügt möglicherweise über Zugriffsberechtigungen für die zugrunde liegenden Container und Workloads. In diesem Szenario könnten falsch konfigurierte Anmeldeinformationen möglicherweise zu einem umfassenderen Zugriff auf das Konto und die darin gespeicherten Daten führen.
Durch die Analyse der Laufzeitereignisse der einzelnen Container und Workloads GuardDuty kann in einer Anfangsphase potenziell eine Kompromittierung eines Containers und der zugehörigen AWS Anmeldeinformationen erkannt und Versuche, Berechtigungen zu erweitern, verdächtige API-Anfragen und böswillige Zugriffe auf die Daten in Ihrer Umgebung erkannt werden.
Inhalt
- Funktionsweise
- Wie funktioniert die kostenlose 30-Tage-Testversion in Runtime Monitoring
- Schlüsselkonzepte — Ansätze zur Verwaltung von GuardDuty Security Agents
- GuardDuty Runtime Monitoring aktivieren
- Konfiguration von EKS Runtime Monitoring (nur API)
- Migration von EKS Runtime Monitoring zu Runtime Monitoring
- Bewertung der Laufzeitabdeckung Ihrer Ressourcen
- Einrichten der CPU- und Arbeitsspeicherüberwachung
- Gesammelte Runtime-Ereignistypen, die verwendet GuardDuty
- GuardDuty Hosting-Agent für Amazon ECR Repositorys
- GuardDuty Versionsverlauf des Agenten
- Auswirkungen der Deaktivierung und Bereinigung von Ressourcen
