本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用執行期監控識別未經授權的行為
Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時間活動,以識別環境中的潛在安全風險和惡意活動,並排定其優先順序。
GuardDuty 中的執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為,來保護 Fargate 和 EC2 容器執行個體上執行的工作負載。執行期監控使用輕量且全受管的 GuardDuty 安全代理程式,可分析主機上行為,例如檔案存取、程序執行和網路連線。這涵蓋的問題包括權限升級、使用公開的登入資料,或與惡意 IP 地址、網域的通訊,以及 Amazon EC2 執行個體和容器工作負載上存在惡意軟體。如需詳細資訊,請參閱《GuardDuty 使用者指南》中的 GuardDuty 執行期監控。 GuardDuty
您的安全管理員會針對 AWS Organizations GuardDuty 中的單一或多個帳戶啟用執行期監控。他們也會選取當您使用 Fargate 時,GuardDuty 是否自動部署 GuardDuty 安全代理程式。所有叢集都會自動受到保護,GuardDuty 會代表您管理安全代理程式。
您也可以在下列情況下手動設定 GuardDuty 安全代理程式:
-
您可以使用 EC2 容器執行個體
-
您需要精細的控制,才能在叢集層級啟用執行期監控
若要使用執行期監控,您必須設定受保護的叢集,並在 EC2 容器執行個體上安裝和管理 GuardDuty 安全代理程式。
執行期監控如何與 Amazon ECS 搭配使用
執行期監控使用輕量型 GuardDuty 安全代理程式,可監控應用程式請求、存取和使用基礎系統資源的方式。
對於 Fargate 任務,GuardDuty 安全代理程式會做為每個任務的附屬容器執行。
對於 EC2 容器執行個體,GuardDuty 安全代理程式會在執行個體上執行程序。
GuardDuty 安全代理程式會從下列資源收集資料,然後將資料傳送至 GuardDuty 進行處理。您可以在 GuardDuty 主控台中檢視調查結果。您也可以將它們傳送到其他 AWS Security Hub, AWS 服務 例如 或第三方安全廠商,以進行彙總和修復。如需有關如何檢視和管理問題清單的資訊,請參閱《Amazon GuardDuty 使用者指南》中的管理 Amazon GuardDuty 問題清單。 Amazon GuardDuty
-
來自下列 Amazon ECS API 呼叫的回應:
-
當您使用
--include TAGS選項時,回應參數包含執行期監控標籤 (設定標籤時)。 -
對於 Fargate 啟動類型,回應參數包含 GuardDuty 附屬容器。
-
回應參數包含執行期監控帳戶設定,由您的安全管理員設定。
-
-
容器代理程式簡介資料。如需詳細資訊,請參閱Amazon ECS 容器簡介。
啟動類型的任務中繼資料端點:
考量事項
使用執行期監控時,請考慮下列事項:
-
執行期監控具有與其相關聯的成本。如需詳細資訊,請參閱 Amazon GuardDuty 定價
。 -
Amazon ECS Anywhere 不支援執行期監控。
-
Windows 作業系統不支援執行期監控。
-
當您在 Fargate 上使用 Amazon ECS Exec 時,您必須指定容器名稱,因為 GuardDuty 安全代理程式會以附屬容器的形式執行。
-
您無法在 GuardDuty 安全代理程式附屬容器上使用 Amazon ECS Exec。
-
在叢集層級控制執行期監控的 IAM 使用者必須具有適當的 IAM 許可,才能進行標記。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 教學課程:定義根據標籤存取 AWS 資源的許可。
-
Fargate 任務必須使用任務執行角色。此角色會授予任務許可,以代表您擷取、更新和管理存放在 Amazon ECR 私有儲存庫中的 GuardDuty 安全代理程式。
資源使用率
您新增至叢集的標籤會計入叢集標籤配額。
GuardDuty 代理程式附屬容器不會計入每個任務定義配額的容器。
與大多數安全軟體一樣,GuardDuty 有些微的額外負荷。如需有關 Fargate 記憶體限制的資訊,請參閱《GuardDuty 使用者指南》中的 CPU 和記憶體限制。如需 Amazon EC2 記憶體限制的資訊,請參閱 GuardDuty 代理程式的 CPU 和記憶體限制。
