執行階段監視 GuardDuty

執行階段監控會觀察並分析作業系統層級、網路和檔案事件，協助您偵測環境中特定 AWS 工作負載中的潛在威脅。

GuardDuty 最初發布的運行時監控僅支持 Amazon Elastic Kubernetes Service（Amazon EKS）資源。不過，現在您也可以使用執行階段監控功能，為您的 Amazon Elastic Container Service ( AWS Fargate Amazon ECS) 和亞馬遜彈性運算雲端 (Amazon EC2) 資源提供威脅偵測。

在本文件以及其他與執行階段監控相關的章節中， GuardDuty 使用資源類型術語來參考 Amazon EKS、Fargate 亞馬遜 ECS 和 Amazon EC2 資源。

執行階段監控會使用 GuardDuty 安全性代理程式來增加執行階段行為的可見度，例如檔案存取、程序執行、命令列引數和網路連線。針對您要監控潛在威脅的每種資源類型，您可以自動或手動管理該特定資源類型的安全代理程式 (Fargate (僅限 Amazon ECS) 除外)。自動管理安全代理程式表示您 GuardDuty 允許代表您安裝和更新安全代理程式。另一方面，當您手動管理資源的安全代理程式時，您必須視需要負責安裝和更新安全代理程式。

透過此擴充功能， GuardDuty 可協助您識別並回應可能針對個別工作負載和執行個體中執行之應用程式和資料的潛在威脅。例如，威脅可能從破壞運行易受攻擊 Web 應用程序的單個容器開始。此 Web 應用程式可能具有基礎容器和工作負載的存取權限。在這個案例中，設定不正確的認證可能會導致對帳戶及其中儲存的資料有更廣泛的存取權。

透過分析個別容器和工作負載的執行階段事件， GuardDuty 可能會在初始階段識別容器和相關 AWS 認證的入侵情況，並偵測嘗試提升權限、可疑的 API 要求，以及對環境中資料的惡意存取權限的嘗試。