Monitoramento de runtime do GuardDuty
O Monitoramento de runtime observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças emAWS workloads específicos do seu ambiente.
AWSRecursos compatíveis com o Monitoramento de runtime — O GuardDuty lançou inicialmente o Monitoramento de runtime para oferecer suporte somente aos recursos do Amazon Elastic Kubernetes Service (Amazon EKS). Agora, também é possível usar o recurso de Monitoramento de runtime para detectar ameaças aos recursos do AWS Fargate Amazon Elastic Container Service (Amazon ECS) e do Amazon Elastic Compute Cloud (Amazon EC2).
O GuardDuty não oferece suporte a clusters do Amazon EKS em execução no AWS Fargate.
Neste documento e em outras seções relacionadas ao Monitoramento de runtime, o GuardDuty usa a terminologia de tipo de recurso para se referir aos recursos do Amazon EKS, Fargate, Amazon ECS e Amazon EC2.
O monitoramento de runtime usa um agente de segurança do GuardDuty que adiciona visibilidade ao comportamento de runtime, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. Para cada tipo de recurso que deseja monitorar para possíveis ameaças, pode-se gerenciar o agente de segurança para esse tipo de recurso específico de forma automática ou manual (com exceção do Fargate (somente Amazon ECS)). Gerenciar o agente de segurança automaticamente significa autorizar o GuardDuty a instalar e atualizar o agente de segurança em seu nome. Por outro lado, ao gerenciar manualmente o agente de segurança de seus recursos, é sua responsabilidade instalar e atualizar o agente de segurança, conforme necessário.
Com esse recurso estendido, o GuardDuty pode ajudá-lo a identificar e responder a possíveis ameaças que podem atingir aplicativos e dados executados em seus workloads e instâncias individuais. Por exemplo, uma ameaça pode começar comprometendo um único contêiner que executa um aplicativo Web vulnerável. Esse aplicativo Web pode ter permissões de acesso aos contêineres e workloads subjacentes. Nesse cenário, credenciais configuradas incorretamente podem levar a um acesso mais amplo à conta e aos dados nela armazenados.
Ao analisar os eventos de runtime dos contêineres e workloads individuais, o GuardDuty pode potencialmente identificar o comprometimento de um contêiner e das credenciais AWS associadas em uma fase inicial e detectar tentativas de escalar privilégios, solicitações de API suspeitas e acesso malicioso aos dados em seu ambiente.
Conteúdo
- Como funcionam
- Como funciona o teste gratuito de 30 dias no Monitoramento de runtime
- Pré-requisitos para habilitar o Monitoramento de runtime
- Como habilitar o Monitoramento de runtime do GuardDuty
- Gerenciando agentes de segurança do GuardDuty
- Analisando estatísticas de cobertura de runtime e solucionando problemas
- Configurar o monitoramento da CPU e da memória
- Como usar a VPC compartilhada com agentes de segurança automatizados
- Como usar a infraestrutura como código (IaC) com agentes de segurança automatizados do GuardDuty
- Tipos de eventos de runtime coletados que o GuardDuty usa
- Repositório do Amazon ECR que hospeda o agente GuardDuty
- Dois agentes de segurança no mesmo host subjacente
- Monitoramento de runtime do EKS no GuardDuty.
- Versões de atualização do agente de segurança do GuardDuty
- Desativação, desinstalação e remoção de recursos no Monitoramento de runtime
