Depois de ativar o Runtime Monitoring

GuardDuty recomenda que você avalie continuamente o status da cobertura do recurso em que você implantou o agente de segurança. O status da cobertura pode ser saudável ou insalubre. Um status de cobertura íntegra indica que GuardDuty está recebendo os eventos de tempo de execução do recurso correspondente quando há uma atividade no nível do sistema operacional.

Quando o status da cobertura se torna íntegro para o recurso, GuardDuty é capaz de receber os eventos de tempo de execução e analisá-los para detecção de ameaças. Quando GuardDuty detecta uma possível ameaça à segurança nas tarefas ou aplicativos em execução nas cargas de trabalho e instâncias do seu contêiner, GuardDuty gera. GuardDuty Tipos de descoberta de monitoramento de tempo de execução

Você também pode configurar um Amazon EventBridge (EventBridge) para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou de outra forma. Para obter mais informações, consulte Analisando estatísticas de cobertura de tempo de execução e solucionando problemas.

Depois de avaliar se o status da cobertura é exibido como Saudável, você pode avaliar o desempenho do agente de segurança para seu tipo de recurso. Para EKS clusters da Amazon que têm o agente de segurança versão v1.5 ou superior, GuardDuty suporta a configuração dos parâmetros do agente de segurança (complementar). Para obter mais informações, consulte Configuração CPU e monitoramento de memória.

Quando GuardDuty começa a receber os eventos de tempo de execução do seu recurso, ele começa a analisar esses eventos. Quando GuardDuty detecta uma possível ameaça à segurança em qualquer uma de suas EC2 instâncias da Amazon, ECS clusters da Amazon ou EKS clusters da Amazon, ela gera uma ou maisGuardDuty Tipos de descoberta de monitoramento de tempo de execução. Você pode acessar os detalhes da descoberta para visualizar os detalhes do recurso afetado.