GuardDuty 執行期監控 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 執行期監控

執行期監控會觀察和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。

執行期監控中支援 AWS 的資源 – GuardDuty 已最初發佈執行期監控,僅支援 Amazon Elastic Kubernetes Service (Amazon EKS) 資源。現在,您也可以使用執行期監控功能,為您的 AWS Fargate Amazon Elastic Container Service (Amazon ECS) 和 Amazon Elastic Compute Cloud (Amazon EC2) 資源提供威脅偵測。

GuardDuty 不支援在 上執行的 Amazon EKS叢集 AWS Fargate。

在本文件和與執行期監控相關的其他區段中, GuardDuty 會使用資源類型的術語來參考 Amazon EKS、Fargate Amazon ECS和 Amazon EC2 資源。

執行期監控使用 GuardDuty 安全代理程式,可增加執行期行為的可見性,例如檔案存取、程序執行、命令列引數和網路連線。對於您要監控潛在威脅的每個資源類型,您可以自動或手動管理該特定資源類型的安全代理程式 (除 Fargate (ECS僅限 Amazon) 之外)。自動管理安全代理程式意味著您允許代表您 GuardDuty 安裝和更新安全代理程式。另一方面,當您手動管理資源的安全代理程式時,您有責任視需要安裝和更新安全代理程式。

透過此擴充功能, GuardDuty 可協助您識別和回應可能鎖定在個別工作負載和執行個體中執行之應用程式和資料的潛在威脅。例如,威脅可能從入侵執行易受攻擊 Web 應用程式的單一容器開始。此 Web 應用程式可能具有基礎容器和工作負載的存取權限。在這種情況下,設定不正確的憑證可能會導致對帳戶及其內儲存的資料進行更廣泛的存取。

透過分析個別容器和工作負載的執行期事件, GuardDuty 可以在初始階段識別容器和相關 AWS 憑證的入侵,並偵測嘗試升級權限、可疑API請求和惡意存取您環境中的資料。