GuardDuty 运行时监控

运行时监控可观察和分析操作系统级别、网络和文件事件，以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。

运行时监控@@ 中支持的 AWS 资源 — GuardDuty 最初发布的运行时监控仅支持亚马逊 Elastic Kubernetes Service (Amazon EKS) 资源。现在，您还可以使用运行时监控功能为您的 AWS Fargate 亚马逊弹性容器服务 (Amazon ECS) Service 和亚马逊弹性计算云 (Ama EC2 zon) 资源提供威胁检测。

GuardDuty 不支持在上面运行的 Amazon EKS 集群 AWS Fargate。

在本文档以及与运行时监控相关的其他部分中， GuardDuty 使用资源类型的术语来指代亚马逊 EKS、Fargate Amazon ECS 和亚马逊 EC2资源。

Runtime Monitoring 使用 GuardDuty 安全代理，该代理可增加运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接。对于要监控潜在威胁的每种资源类型，您可以自动或手动管理该特定资源类型的安全代理，Fargate（仅限 Amazon ECS）除外。自动管理安全代理意味着您 GuardDuty 允许代表您安装和更新安全客户端。如果您手动管理资源的安全代理，则您负责在需要时安装和更新安全代理。

借助此扩展功能， GuardDuty 可以帮助您识别和应对可能针对在您的个人工作负载和实例中运行的应用程序和数据的潜在威胁。例如，威胁可能会从破坏单个容器开始，而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下，错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。

通过分析各个容器和工作负载的运行时事件， GuardDuty 有可能在初始阶段识别出容器和相关 AWS 凭证的泄露情况，并检测企图升级权限、可疑 API 请求以及对环境中数据的恶意访问。