GuardDuty ランタイムモニタリング

Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析し、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。

Runtime Monitoring でサポートされる AWS リソース – Amazon Elastic Kubernetes Service (Amazon EKS) リソースのみをサポートする Runtime Monitoring を最初にリリース GuardDuty しました。これで、ランタイムモニタリング機能を使用して、 AWS Fargate Amazon Elastic Container Service (Amazon ECS) および Amazon Elastic Compute Cloud (Amazon EC2) リソースの脅威検出も提供できるようになりました。

GuardDuty は、 で実行されている Amazon EKSクラスターをサポートしていません AWS Fargate。

このドキュメントおよびランタイムモニタリングに関連する他のセクションでは、 はリソースタイプの用語 GuardDuty を使用して Amazon EKS、Fargate Amazon ECS、および Amazon EC2リソースを参照します。

Runtime Monitoring は、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続など、ランタイムの動作を可視化する GuardDuty セキュリティエージェントを使用します。潜在的な脅威をモニタリングするリソースタイプごとに、その特定のリソースタイプのセキュリティエージェントを自動または手動で管理できます (Fargate (Amazon ECSのみ) を除く）。セキュリティエージェントの自動管理とは、ユーザーに代わってセキュリティエージェントをインストールおよび更新 GuardDuty することを許可することを意味します。一方、リソースのセキュリティエージェントを手動で管理する場合、必要に応じてセキュリティエージェントをインストールして更新する責任があります。

この拡張機能により、 GuardDuty は、個々のワークロードやインスタンスで実行されているアプリケーションやデータをターゲットにしている可能性のある潜在的な脅威を特定し、それに対応するのに役立ちます。例えば、脅威は、脆弱なウェブアプリケーションを実行している 1 つのコンテナを危険にさらすことから始まる可能性があります。このウェブアプリケーションには、基盤となるコンテナとワークロードへのアクセス権限が存在する可能性があります。この場合、認証情報が正しく設定されていないと、アカウントとその中に保存されているデータへのアクセスを制御できない可能性があります。

個々のコンテナとワークロードのランタイムイベントを分析することで、 GuardDuty コンテナおよび関連する AWS 認証情報の侵害を初期段階で特定し、環境内のデータへの権限、疑わしいAPIリクエスト、悪意のあるアクセスをエスカレートしようとする試みを検出できます。