Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Funktionsweise
Um Runtime Monitoring verwenden zu können, müssen Sie Runtime Monitoring aktivieren und anschließend den GuardDuty Security Agent verwalten. In der folgenden Liste wird dieser zweistufige Prozess erklärt:
1. **Aktivieren Sie Runtime Monitoring** für Ihr Konto, damit es die Runtime-Ereignisse akzeptieren GuardDuty kann, die es von Ihren Amazon EC2 EC2-Instances, Amazon ECS-Clustern und Amazon EKS-Workloads empfängt.
1. **Verwalten Sie den GuardDuty Agenten** für die einzelnen Ressourcen, für die Sie das Laufzeitverhalten überwachen möchten. Je nach Ressourcentyp können Sie Folgendes wählen:
+ Verwenden Sie die automatische Agentenkonfiguration, die die Agentenbereitstellung GuardDuty verwaltet, und automatisch einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt.
+ Installieren Sie den Agenten manuell, wofür Sie als Voraussetzung den VPC-Endpunkt erstellen müssen.
Der Security Agent verwendet den VPC-Endpunkt, um Ereignisse zu übertragen GuardDuty und so sicherzustellen, dass die Daten im AWS Netzwerk bleiben. Dieser Ansatz verbessert die Sicherheit und ermöglicht GuardDuty die Überwachung und Analyse des Laufzeitverhaltens Ihrer Ressourcen (Amazon EKS, Amazon EC2 und AWS Fargate-Amazon ECS). GuardDuty verwendet [Instanzidentitätsrollen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles), die den Security Agent für jeden Ressourcentyp authentifizieren, um die zugehörigen Laufzeitereignisse an den VPC-Endpunkt zu senden.
**Anmerkung**
GuardDuty macht die Runtime-Ereignisse für Sie nicht zugänglich.
Wenn Sie den Security Agent (entweder manuell oder über GuardDuty) in EKS Runtime Monitoring oder Runtime Monitoring for EC2-Instances verwalten und derzeit auf einer Amazon EC2 EC2-Instance bereitgestellt GuardDuty ist und diese [Gesammelte Laufzeit-Ereignistypen](runtime-monitoring-collected-events.md) von dieser Instance empfängt, GuardDuty wird Ihnen die Analyse der VPC-Flow-Logs von dieser Amazon EC2 EC2-Instance nicht in Rechnung gestellt. AWS-Konto Dadurch werden doppelte Nutzungskosten für das Konto GuardDuty vermieden.
In den folgenden Themen wird erklärt, wie die Aktivierung von Runtime Monitoring und die Verwaltung des GuardDuty Security Agents für jeden Ressourcentyp unterschiedlich funktionieren.
**Topics**
+ [Funktionsweise von Runtime Monitoring mit Amazon-EKS-Clustern](how-runtime-monitoring-works-eks.md)
+ [So funktioniert Runtime Monitoring mit Amazon EC2 EC2-Instances](how-runtime-monitoring-works-ec2.md)
+ [So funktioniert Runtime Monitoring mit Fargate (nur Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Nachdem Sie Runtime Monitoring aktiviert haben](runtime-monitoring-after-configuration.md)
# Funktionsweise von Runtime Monitoring mit Amazon-EKS-Clustern
Runtime Monitoring verwendet ein [EKS-Add-on `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), das auch als GuardDuty Security Agent bezeichnet wird. Nachdem der GuardDuty Security Agent auf Ihren EKS-Clustern installiert wurde, GuardDuty kann er Runtime-Ereignisse für diese EKS-Cluster empfangen.
**Hinweise**
Runtime Monitoring **unterstützt** Amazon EKS-Cluster, die auf Amazon EC2 EC2-Instances ausgeführt werden, und Amazon EKS Auto Mode.
Runtime Monitoring **unterstützt keine** Amazon EKS-Cluster mit Amazon EKS-Hybridknoten und solche, die darauf laufen AWS Fargate.
Informationen zu diesen Amazon EKS-Funktionen finden Sie unter [Was ist Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) im **Amazon EKS-Benutzerhandbuch**.
Sie können die Laufzeitereignisse Ihrer Amazon EKS-Cluster entweder auf Konto- oder Clusterebene überwachen. Sie können den GuardDuty Security Agent nur für die Amazon EKS-Cluster verwalten, die Sie im Hinblick auf die Erkennung von Bedrohungen überwachen möchten. Sie können den GuardDuty Security Agent entweder manuell verwalten oder indem GuardDuty Sie die automatische Agentenkonfiguration verwenden, indem Sie die automatische Agentenkonfiguration verwenden.
Wenn Sie den Ansatz der automatisierten Agentenkonfiguration verwenden, GuardDuty um die Bereitstellung des Security Agents in Ihrem Namen zu verwalten, wird automatisch **ein Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellt**. Der Security Agent übermittelt die Runtime-Ereignisse über diesen Amazon VPC-Endpunkt an. GuardDuty
Erstellt zusammen mit dem VPC-Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingangsregeln) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt eingehende Regeln hinzu, die dem VPC-CIDR-Bereich für Ihre Ressource entsprechen, und passt sich diesem auch an, wenn sich der CIDR-Bereich ändert. Weitere Informationen finden Sie unter [VPC CIDR-Bereich](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.
**Hinweise**
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
Arbeiten mit zentralisierter VPC mit automatisiertem Agenten — Wenn Sie die GuardDuty automatisierte Agentenkonfiguration für einen Ressourcentyp verwenden, GuardDuty wird in Ihrem Namen ein VPC-Endpunkt für alle erstellt. VPCs Dazu gehören die zentralisierte VPC und Spoke VPCs. GuardDuty unterstützt nicht die Erstellung eines VPC-Endpunkts nur für die zentralisierte VPC. Weitere Informationen zur Funktionsweise der zentralisierten VPC finden Sie unter [Interface VPC Endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) im *AWS Whitepaper — Aufbau einer skalierbaren und sicheren* Multi-VPC-Netzwerkinfrastruktur. AWS
## Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon EKS-Clustern
Vor dem 13. September 2023 konnten Sie den Security Agent so konfigurieren, GuardDuty dass er auf Kontoebene verwaltet wird. Dieses Verhalten deutete darauf hin, dass der Security Agent standardmäßig auf allen EKS-Clustern verwaltet GuardDuty wird, die zu einem gehören AWS-Konto. GuardDuty Bietet jetzt eine detaillierte Funktion, die Ihnen bei der Auswahl der EKS-Cluster hilft, auf denen Sie den Security Agent verwalten GuardDuty möchten.
Wenn Sie [Den GuardDuty Security Agent manuell verwalten](#eks-runtime-using-gdu-agent-manually) wählen, können Sie immer noch die EKS-Cluster auswählen, die Sie überwachen möchten. Um den Agenten jedoch manuell verwalten zu können, AWS-Konto ist die Erstellung eines Amazon VPC-Endpunkts für Sie Voraussetzung.
**Anmerkung**
Unabhängig davon, welchen Ansatz Sie zur Verwaltung des GuardDuty Security Agents verwenden, ist EKS Runtime Monitoring immer auf Kontoebene aktiviert.
**Topics**
+ [Verwalten Sie den Security Agent über GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Den GuardDuty Security Agent manuell verwalten](#eks-runtime-using-gdu-agent-manually)
### Verwalten Sie den Security Agent über GuardDuty
GuardDuty verteilt und verwaltet den Security Agent in Ihrem Namen. Sie können die EKS-Cluster in Ihrem Konto jederzeit überwachen, indem Sie einen der folgenden Ansätzen verwenden.
**Topics**
+ [Überwachen Sie alle EKS-Cluster](#gdu-security-agent-all-eks-custers)
+ [Schließt selektive EKS-Cluster aus](#eks-runtime-using-exclusion-tags)
+ [Ausgewählte EKS-Cluster einbeziehen](#eks-runtime-using-inclusion-tags)
#### Überwachen Sie alle EKS-Cluster
Verwenden Sie diesen Ansatz, wenn Sie GuardDuty den Security Agent für alle EKS-Cluster in Ihrem Konto bereitstellen und verwalten möchten. Standardmäßig GuardDuty wird der Security Agent auch auf einem potenziell neuen EKS-Cluster installiert, der in Ihrem Konto erstellt wurde.
**Auswirkungen der Verwendung dieses Ansatzes**
+ GuardDuty erstellt einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt, über den der GuardDuty Security Agent die Runtime-Ereignisse übermittelt GuardDuty. Es fallen keine zusätzlichen Kosten für die Erstellung des Amazon VPC-Endpunkts an, wenn Sie den Security Agent über GuardDuty verwalten.
+ Es ist erforderlich, dass Ihr Worker-Knoten über einen gültigen Netzwerkpfad zu einem aktiven `guardduty-data` VPC-Endpunkt verfügt. GuardDuty stellt den Security Agent auf Ihren EKS-Clustern bereit. Amazon Elastic Kubernetes Service (Amazon EKS) koordiniert die Bereitstellung des Sicherheitsagenten auf den Knoten innerhalb der EKS-Cluster.
+ GuardDuty Wählt auf der Grundlage der IP-Verfügbarkeit das Subnetz aus, um einen VPC-Endpunkt zu erstellen. Wenn Sie erweiterte Netzwerktopologien verwenden, müssen Sie überprüfen, ob die Konnektivität möglich ist.
#### Schließt selektive EKS-Cluster aus
Verwenden Sie diesen Ansatz, wenn Sie GuardDuty den Security Agent für alle EKS-Cluster in Ihrem Konto verwalten, aber ausgewählte EKS-Cluster ausschließen möchten. Bei dieser Methode wird ein Tag-basierter [1](#eks-runtime-inclusion-exclusion-tags) Ansatz verwendet, bei dem Sie die EKS-Cluster taggen können, für die Sie keine Laufzeit-Ereignisse erhalten möchten. Das vordefinierte Tag muss `GuardDutyManaged`-`false` als Schlüssel-Wert-Paar haben.
**Auswirkungen der Verwendung dieses Ansatzes**
Bei diesem Ansatz müssen Sie die automatische GuardDuty Agentenverwaltung erst aktivieren, nachdem Sie den EKS-Clustern, die Sie von der Überwachung ausschließen möchten, Tags hinzugefügt haben.
Daher gilt auch für diesen Ansatz die Auswirkung von [Verwalten Sie den Security Agent über GuardDuty](#eks-runtime-using-gdu-agent-management-auto). Wenn Sie Tags hinzufügen, bevor Sie die automatische GuardDuty Agentenverwaltung aktivieren, GuardDuty wird der Security Agent für die EKS-Cluster, die von der Überwachung ausgeschlossen sind, weder bereitgestellt noch verwaltet.
**Überlegungen**
+ Sie müssen das Tag-Schlüssel-Wert-Paar wie folgt hinzufügen`GuardDutyManaged`: `false` für die ausgewählten EKS-Cluster, bevor Sie die automatische Agentenkonfiguration aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern installiert, bis Sie das Tag verwenden.
+ Sie müssen verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.
**Wichtig**
Verwalten Sie die Berechtigungen zum Ändern des Werts des `GuardDutyManaged`-Tags für Ihren EKS-Cluster mithilfe von Service-Kontrollrichtlinie oder IAM-Richtlinien. Weitere Informationen finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch* oder [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
+ Bei einem potenziell neuen EKS-Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS-Clusters das Schlüssel-Wert-Paar `GuardDutyManaged`-`false` hinzufügen.
+ Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für [Überwachen Sie alle EKS-Cluster](#gdu-security-agent-all-eks-custers) angegeben.
#### Ausgewählte EKS-Cluster einbeziehen
Verwenden Sie diesen Ansatz, wenn Sie GuardDuty die Updates für den Security Agent nur für ausgewählte EKS-Cluster in Ihrem Konto bereitstellen und verwalten möchten. Bei dieser Methode wird ein Tag-basierter [1](#eks-runtime-inclusion-exclusion-tags)-Ansatz verwendet, bei dem Sie die EKS-Cluster markieren können, für die Sie Laufzeit-Ereignisse erhalten möchten.
**Auswirkungen der Verwendung dieses Ansatzes**
+ Durch die Verwendung von Inklusion-Tags GuardDuty wird der Security Agent automatisch nur für die ausgewählten EKS-Cluster bereitgestellt und verwaltet, die mit `GuardDutyManaged` - `true` als Schlüssel-Wert-Paar gekennzeichnet sind.
+ Dieser Ansatz hat auch die gleichen Auswirkungen, wie für [Überwachen Sie alle EKS-Cluster](#gdu-security-agent-all-eks-custers) angegeben.
**Überlegungen**
+ Wenn der Wert des `GuardDutyManaged`-Tags nicht auf `true` festgelegt ist, funktioniert das Einschließen-Tag nicht wie erwartet, und dies kann sich auf die Überwachung Ihres EKS-Clusters auswirken.
+ Um sicherzustellen, dass Ihre ausgewählten EKS-Cluster überwacht werden, müssen Sie verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.
**Wichtig**
Verwalten Sie die Berechtigungen zum Ändern des Werts des `GuardDutyManaged`-Tags für Ihren EKS-Cluster mithilfe von Service-Kontrollrichtlinie oder IAM-Richtlinien. Weitere Informationen finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch* oder [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
+ Bei einem potenziell neuen EKS-Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS-Clusters das Schlüssel-Wert-Paar `GuardDutyManaged`-`false` hinzufügen.
+ Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für [Überwachen Sie alle EKS-Cluster](#gdu-security-agent-all-eks-custers) angegeben.
1Weitere Informationen zum Markieren von ausgewählten EKS-Clustern finden Sie unter [Markieren Ihrer Amazon-EKS-Ressourcen](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) im **Amazon-EKS-Benutzerhandbuch**.
### Den GuardDuty Security Agent manuell verwalten
Verwenden Sie diesen Ansatz, wenn Sie den GuardDuty Security Agent auf all Ihren EKS-Clustern manuell verteilen und verwalten möchten. Stellen Sie sicher, dass EKS-Laufzeit-Überwachung für Ihre Konten aktiviert ist. Der GuardDuty Security Agent funktioniert möglicherweise nicht wie erwartet, wenn Sie EKS Runtime Monitoring nicht aktivieren.
**Auswirkungen der Verwendung dieses Ansatzes**
Sie müssen die Bereitstellung des GuardDuty Security Agents in Ihren EKS-Clustern für alle Konten und für alle Standorte, AWS-Regionen an denen diese Funktion verfügbar ist, koordinieren. Sie müssen auch die Agent-Version aktualisieren, wenn sie GuardDuty veröffentlicht wird. Weitere Informationen zu Agentenversionen für EKS finden Sie unter[GuardDuty Security-Agent-Versionen für Amazon EKS-Ressourcen](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Überlegungen**
Sie müssen einen sicheren Datenfluss unterstützen und gleichzeitig Deckungslücken überwachen und schließen, da ständig neue Cluster und Workloads bereitgestellt werden.
# So funktioniert Runtime Monitoring mit Amazon EC2 EC2-Instances
Ihre Amazon EC2 EC2-Instances können mehrere Arten von Anwendungen und Workloads in Ihrer AWS Umgebung ausführen. Wenn Sie Runtime Monitoring aktivieren und den GuardDuty Security Agent verwalten, GuardDuty hilft er Ihnen, Bedrohungen in Ihren bestehenden Amazon EC2 EC2-Instances und potenziell neuen zu erkennen. Diese Funktion unterstützt auch von Amazon ECS verwaltete Amazon EC2 EC2-Instances. Weitere Informationen finden Sie unter [Unterstützung für verwaltete Instances in Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).
**Anmerkung**
Runtime Monitoring unterstützt keine Anwendungen, die auf [Amazon ECS Managed Instances ausgeführt werden](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
Durch die Aktivierung von Runtime Monitoring können Runtime-Ereignisse von aktuell laufenden und neuen Prozessen innerhalb von Amazon EC2 EC2-Instances verarbeitet werden. GuardDuty GuardDuty erfordert einen Security Agent, an den Runtime-Ereignisse von Ihrer EC2-Instance gesendet werden. GuardDuty
Bei Amazon EC2 EC2-Instances arbeitet der GuardDuty Security Agent auf Instance-Ebene. Sie können entscheiden, ob Sie alle oder nur ausgewählte Amazon EC2 EC2-Instances in Ihrem Konto überwachen möchten. Wenn Sie ausgewählte Instances verwalten möchten, ist der Security Agent nur für diese Instances erforderlich.
GuardDuty kann auch Laufzeitereignisse von neuen Aufgaben und bestehenden Aufgaben verarbeiten, die in Amazon EC2 EC2-Instances innerhalb von Amazon ECS-Clustern ausgeführt werden.
Um den GuardDuty Security Agent zu installieren, bietet Runtime Monitoring die folgenden zwei Optionen:
+ [Verwenden Sie die automatische Agentenkonfiguration (empfohlen)](#use-automated-agent-config-ec2), oder
+ [Den Security Agent manuell verwalten](#ec2-security-agent-option2-manual)
## Verwenden Sie die automatische Agentenkonfiguration über GuardDuty (empfohlen)
Verwenden Sie die automatische Agentenkonfiguration, die es GuardDuty ermöglicht, den Security Agent in Ihrem Namen auf Ihren Amazon EC2 EC2-Instances zu installieren. GuardDuty verwaltet auch die Updates für den Security Agent.
GuardDuty Installiert den Security Agent standardmäßig auf allen Instanzen in Ihrem Konto. Wenn Sie den Security Agent nur für ausgewählte EC2-Instances installieren und verwalten möchten GuardDuty , fügen Sie Ihren EC2-Instances nach Bedarf Inklusions- oder Ausschluss-Tags hinzu.
Manchmal möchten Sie möglicherweise nicht die Laufzeitereignisse für alle Amazon EC2 EC2-Instances überwachen, die zu Ihrem Konto gehören. In Fällen, in denen Sie die Runtime-Ereignisse für eine begrenzte Anzahl von Instances überwachen möchten, fügen Sie diesen ausgewählten Instances ein Inclusion-Tag wie`GuardDutyManaged`: `true` hinzu. Beginnend mit der Verfügbarkeit der automatisierten Agentenkonfiguration für Amazon EC2 gilt: Wenn Ihre EC2-Instance über ein Inclusion-Tag (`GuardDutyManaged`:`true`) verfügt, GuardDuty berücksichtigt das Tag und verwaltet den Security Agent für die ausgewählten Instances, auch wenn Sie die automatische Agentenkonfiguration nicht explizit aktivieren.
Wenn es jedoch eine begrenzte Anzahl von EC2-Instances gibt, für die Sie Laufzeitereignisse nicht überwachen möchten, fügen Sie diesen ausgewählten Instances ein Ausschluss-Tag (`GuardDutyManaged`:`false`) hinzu. GuardDuty berücksichtigt das Ausschluss-Tag, indem der Security Agent für diese EC2-Ressourcen **weder** **installiert noch** verwaltet wird.
### Auswirkung
Wenn Sie die automatische Agentenkonfiguration in einer AWS-Konto oder einer Organisation verwenden, GuardDuty erlauben Sie, die folgenden Schritte in Ihrem Namen durchzuführen:
+ GuardDuty erstellt eine SSM-Zuordnung für all Ihre Amazon EC2 EC2-Instances, die SSM-verwaltet werden und in der Konsole unter **Fleet Manager** angezeigt werden. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Verwendung von Inclusion-Tags bei deaktivierter automatisierter Agentenkonfiguration — Wenn Sie nach der Aktivierung von Runtime Monitoring die automatische Agentenkonfiguration nicht aktivieren, sondern Ihrer Amazon EC2 EC2-Instance ein Inclusion-Tag hinzufügen, bedeutet dies, dass Sie erlauben, den Security Agent in Ihrem Namen GuardDuty zu verwalten. Die SSM-Zuordnung installiert dann den Security Agent in jeder Instance, die über das Inklusion-Tag (:) `GuardDutyManaged` verfügt. `true`
+ Wenn Sie die automatische Agentenkonfiguration aktivieren, installiert die SSM-Zuordnung den Security Agent dann auf allen EC2-Instances, die zu Ihrem Konto gehören.
+ Verwenden von Ausschluss-Tags mit automatisierter Agentenkonfiguration — Bevor Sie die automatische Agentenkonfiguration aktivieren und Ihrer Amazon EC2 EC2-Instance ein Ausschluss-Tag hinzufügen, bedeutet dies, dass Sie die Installation und Verwaltung des Security Agents für diese ausgewählte Instance verhindern. GuardDuty
Wenn Sie nun die automatische Agentenkonfiguration aktivieren, installiert und verwaltet die SSM-Verbindung den Security Agent in allen EC2-Instances mit Ausnahme der Instances, die mit dem Ausschluss-Tag gekennzeichnet sind.
+ GuardDuty erstellt VPC-Endpoints in allen VPCs, einschließlich gemeinsam genutzter VPCs, sofern in dieser VPC mindestens eine Linux EC2-Instance vorhanden ist, die sich nicht im Status Beendet oder Herunterfahren der Instance befindet. Dazu gehören die zentralisierte VPC und Spoke VPCs. GuardDuty unterstützt nicht die Erstellung eines VPC-Endpunkts nur für die zentralisierte VPC. Weitere Informationen zur Funktionsweise der zentralisierten VPC finden Sie unter [Interface VPC Endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) im *AWS Whitepaper — Aufbau einer skalierbaren und sicheren* Multi-VPC-Netzwerkinfrastruktur. AWS
Informationen zu den verschiedenen Instance-Status finden Sie unter [Instance-Lebenszyklus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
GuardDuty unterstützt [Gemeinsam genutzte VPC mit Runtime Monitoring verwenden](runtime-monitoring-shared-vpc.md) auch. Wenn alle Voraussetzungen für Ihre Organisation erfüllt sind AWS-Konto, GuardDuty wird die gemeinsam genutzte VPC zum Empfangen von Laufzeitereignissen verwendet.
**Anmerkung**
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
+ Erstellt zusammen mit dem VPC-Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingangsregeln) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt eingehende Regeln hinzu, die dem VPC-CIDR-Bereich für Ihre Ressource entsprechen, und passt sich diesem auch an, wenn sich der CIDR-Bereich ändert. Weitere Informationen finden Sie unter [VPC CIDR-Bereich](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.
## Den Security Agent manuell verwalten
Es gibt zwei Möglichkeiten, den Security Agent für Amazon EC2 manuell zu verwalten:
+ Verwenden Sie GuardDuty verwaltete Dokumente AWS Systems Manager , um den Security Agent auf Ihren Amazon EC2 EC2-Instances zu installieren, die bereits über SSM verwaltet werden.
Wenn Sie eine neue Amazon EC2 EC2-Instance starten, stellen Sie sicher, dass sie SSM-aktiviert ist.
+ Verwenden Sie RPM Package Manager (RPM) -Skripts, um den Security Agent auf Ihren Amazon EC2 EC2-Instances zu installieren, unabhängig davon, ob sie SSM-verwaltet werden oder nicht.
## Nächster Schritt
Erste Schritte mit der Runtime Monitoring-Konfiguration zur Überwachung Ihrer Amazon EC2 EC2-Instances finden Sie unter[Voraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances](prereq-runtime-monitoring-ec2-support.md).
# So funktioniert Runtime Monitoring mit Fargate (nur Amazon ECS)
Wenn Sie Runtime Monitoring aktivieren, ist GuardDuty es bereit, die Laufzeitereignisse einer Aufgabe zu verarbeiten. Diese Aufgaben werden innerhalb der Amazon ECS-Cluster ausgeführt, die wiederum auf den AWS Fargate Instances ausgeführt werden. GuardDuty Um diese Runtime-Ereignisse empfangen zu können, müssen Sie den vollständig verwalteten, dedizierten Security Agent verwenden.
**Anmerkung**
Runtime Monitoring unterstützt keine Anwendungen, die auf [Amazon ECS Managed Instances ausgeführt werden](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
Sie können zulassen GuardDuty , dass der GuardDuty Security Agent in Ihrem Namen verwaltet wird, indem Sie die automatische Agentenkonfiguration für ein AWS Konto oder eine Organisation verwenden. GuardDuty beginnt mit der Bereitstellung des Security Agents für die neuen Fargate-Aufgaben, die in Ihren Amazon ECS-Clustern gestartet werden. In der folgenden Liste wird angegeben, was zu erwarten ist, wenn Sie den GuardDuty Security Agent aktivieren.**Auswirkungen der Aktivierung des GuardDuty Security Agents**
**GuardDuty erstellt einen Virtual Private Cloud (VPC) -Endpunkt und eine Sicherheitsgruppe**
+ Wenn Sie den GuardDuty Security Agent bereitstellen, GuardDuty erstellt er einen VPC-Endpunkt, über den der Security Agent die Runtime-Ereignisse übermittelt GuardDuty.
Erstellt zusammen mit dem VPC-Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingangsregeln) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt eingehende Regeln hinzu, die dem VPC-CIDR-Bereich für Ihre Ressource entsprechen, und passt sich diesem auch an, wenn sich der CIDR-Bereich ändert. Weitere Informationen finden Sie unter [VPC CIDR-Bereich](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.
+ Arbeiten mit zentralisierter VPC mit automatisiertem Agenten — Wenn Sie die GuardDuty automatisierte Agentenkonfiguration für einen Ressourcentyp verwenden, GuardDuty wird in Ihrem Namen ein VPC-Endpunkt für alle erstellt. VPCs Dazu gehören die zentralisierte VPC und Spoke VPCs. GuardDutyunterstützt nicht die Erstellung eines VPC-Endpunkts nur für die zentralisierte VPC. Weitere Informationen zur Funktionsweise der zentralisierten VPC finden Sie unter [Interface VPC Endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) im *AWS Whitepaper — Aufbau einer skalierbaren und sicheren* Multi-VPC-Netzwerkinfrastruktur. AWS
+ Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.
**GuardDuty fügt einen Sidecar-Container hinzu**
Bei einer neuen Fargate-Aufgabe oder einem neuen Fargate-Dienst, der gestartet wird, hängt sich ein GuardDuty Container (Sidecar) an jeden Container innerhalb der Amazon ECS Fargate-Aufgabe an. Der GuardDuty Security Agent wird innerhalb des angehängten Containers ausgeführt. GuardDuty Auf diese Weise GuardDuty können die Laufzeitereignisse jedes Containers erfasst werden, der im Rahmen dieser Tasks ausgeführt wird.
Das GuardDuty Sidecar-Container-Image wird in Amazon Elastic Container Registry (Amazon ECR) gespeichert, und die Bildebenen werden in Amazon S3 gespeichert. Wenn Ihre Aufgabe gestartet wird, muss sie dieses Image aus ECR abrufen. Abhängig von Ihrer Netzwerkkonfiguration sind hierfür möglicherweise bestimmte Einstellungen erforderlich, um den Zugriff auf ECR und S3 sicherzustellen. Wenn Sie beispielsweise Sicherheitsgruppen mit eingeschränktem Zugriff verwenden, müssen Sie den Zugriff auf die Liste der verwalteten S3-Präfixe zulassen. Weitere Information dazu finden Sie unter [Voraussetzungen für den Zugriff auf Container-Images](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).
Wenn Sie eine Fargate-Aufgabe starten und der GuardDuty Container (Sidecar) nicht in einem fehlerfreien Zustand gestartet werden kann, ist Runtime Monitoring so konzipiert, dass die Ausführung der Aufgaben nicht verhindert wird.
Standardmäßig ist eine Fargate-Aufgabe unveränderlich. GuardDuty stellt den Sidecar nicht bereit, wenn sich eine Aufgabe bereits im laufenden Zustand befindet. Wenn Sie einen Container in einer bereits laufenden Aufgabe überwachen möchten, können Sie die Aufgabe beenden und erneut starten.
## Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon ECS-Fargate-Ressourcen
Runtime Monitoring bietet Ihnen die Möglichkeit, potenzielle Sicherheitsbedrohungen entweder auf allen Amazon ECS-Clustern (Kontoebene) oder auf ausgewählten Clustern (Cluster-Ebene) in Ihrem Konto zu erkennen. Wenn Sie die automatische Agentenkonfiguration für jede auszuführende Amazon ECS Fargate-Aufgabe aktivieren, GuardDuty wird für jeden Container-Workload innerhalb dieser Aufgabe ein Sidecar-Container hinzugefügt. Der GuardDuty Security Agent wird in diesem Sidecar-Container bereitgestellt. Auf diese Weise GuardDuty erhalten Sie Einblick in das Laufzeitverhalten der Container in den Amazon ECS-Aufgaben.
Runtime Monitoring unterstützt die Verwaltung des Security Agents für Ihre Amazon ECS-Cluster (AWS Fargate) nur über GuardDuty. Die manuelle Verwaltung des Security Agents auf Amazon ECS-Clustern wird nicht unterstützt.
Bevor Sie Ihre Konten konfigurieren, sollten Sie prüfen, ob Sie das Laufzeitverhalten aller Container überwachen möchten, die zu den Amazon ECS-Aufgaben gehören, oder ob Sie bestimmte Ressourcen ein- oder ausschließen möchten. Ziehen Sie die folgenden Ansätze in Betracht.
**Monitor für alle Amazon ECS-Cluster**
Dieser Ansatz hilft Ihnen dabei, potenzielle Sicherheitsbedrohungen auf Kontoebene zu erkennen. Verwenden Sie diesen Ansatz, wenn Sie potenzielle Sicherheitsbedrohungen für alle Amazon ECS-Cluster erkennen möchten GuardDuty , die zu Ihrem Konto gehören.
**Bestimmte Amazon ECS-Cluster ausschließen**
Verwenden Sie diesen Ansatz, wenn GuardDuty Sie potenzielle Sicherheitsbedrohungen für die meisten Amazon ECS-Cluster in Ihrer AWS Umgebung erkennen, einige Cluster jedoch ausschließen möchten. Dieser Ansatz hilft Ihnen, das Laufzeitverhalten der Container innerhalb Ihrer Amazon ECS-Aufgaben auf Cluster-Ebene zu überwachen. Die Anzahl der Amazon ECS-Cluster, die zu Ihrem Konto gehören, beträgt beispielsweise 1000. Sie möchten jedoch nur 930 Amazon ECS-Cluster überwachen.
Bei diesem Ansatz müssen Sie den Amazon ECS-Clustern, die Sie nicht überwachen möchten, ein vordefiniertes GuardDuty Tag hinzufügen. Weitere Informationen finden Sie unter [Verwaltung eines automatisierten Sicherheitsagenten für Fargate (nur Amazon ECS)](managing-gdu-agent-ecs-automated.md).
**Spezifische Amazon ECS-Cluster einbeziehen**
Verwenden Sie diesen Ansatz, wenn GuardDuty Sie potenzielle Sicherheitsbedrohungen für einige der Amazon ECS-Cluster erkennen möchten. Dieser Ansatz hilft Ihnen, das Laufzeitverhalten der Container innerhalb Ihrer Amazon ECS-Aufgaben auf Cluster-Ebene zu überwachen. Die Anzahl der Amazon ECS-Cluster, die zu Ihrem Konto gehören, beträgt beispielsweise 1000. Sie möchten jedoch nur 230 Cluster überwachen.
Bei diesem Ansatz müssen Sie den Amazon ECS-Clustern, die Sie überwachen möchten, ein vordefiniertes GuardDuty Tag hinzufügen. Weitere Informationen finden Sie unter [Verwaltung eines automatisierten Sicherheitsagenten für Fargate (nur Amazon ECS)](managing-gdu-agent-ecs-automated.md).
# Nachdem Sie Runtime Monitoring aktiviert haben
Nachdem Sie Runtime Monitoring aktiviert und den GuardDuty Security Agent in Ihrem eigenständigen Konto oder mehreren Mitgliedskonten installiert haben, können Sie mit den folgenden Schritten sicherstellen, dass die Schutzplan-Einstellung wie erwartet funktioniert, und überwachen, wie viel Speicher und CPU der GuardDuty Security Agent verwendet.
**Beurteilen Sie die Runtime-Abdeckung**
GuardDuty empfiehlt Ihnen, den Schutzstatus der Ressource, auf der Sie den Security Agent installiert haben, kontinuierlich zu überprüfen. Der Schutzstatus kann entweder fehlerfrei oder ****fehlerfrei**** sein. Der **Deckungsstatus** Fehlerfrei gibt an, dass GuardDuty die Laufzeitereignisse von der entsprechenden Ressource empfangen werden, wenn eine Aktivität auf Betriebssystemebene stattfindet.
**Wenn der Abdeckungsstatus für die Ressource auf Fehlerfrei gesetzt GuardDuty wird, kann sie die Laufzeitereignisse empfangen und sie zur Bedrohungserkennung analysieren.** Wenn eine potenzielle Sicherheitsbedrohung in den Aufgaben oder Anwendungen GuardDuty entdeckt wird, die in Ihren Container-Workloads und -Instances ausgeführt werden, GuardDuty generiert[GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md).
Sie können Amazon EventBridge (EventBridge) auch so konfigurieren, dass Sie eine Benachrichtigung erhalten, wenn sich der Versicherungsstatus von **Ungesund auf Gesund** **usw.** ändert. Weitere Informationen finden Sie unter [Überprüfung der Statistiken zur Laufzeitabdeckung und Behebung von Problemen](runtime-monitoring-assessing-coverage.md).
**Richten Sie die CPU- und Speicherüberwachung für den GuardDuty Security Agent ein**
Nachdem Sie festgestellt haben, dass der Schutzstatus als Fehlerfrei **angezeigt** wird, können Sie die Leistung des Security Agents für Ihren Ressourcentyp bewerten. GuardDuty Unterstützt für Amazon EKS-Cluster mit dem Security Agent Version v1.5 oder höher die Konfiguration der Parameter des (Add-on-) Security Agents. Weitere Informationen finden Sie unter [Einrichten der CPU- und Arbeitsspeicherüberwachung](runtime-monitoring-setting-cpu-mem-monitoring.md).
**GuardDuty erkennt potenzielle Bedrohungen**
Sobald GuardDuty die Laufzeitereignisse für Ihre Ressource empfangen werden, beginnt es mit der Analyse dieser Ereignisse. Wenn eine potenzielle Sicherheitsbedrohung in einer Ihrer Amazon EC2 EC2-Instances, Amazon ECS-Cluster oder Amazon EKS-Cluster GuardDuty erkannt wird, generiert es eine oder mehrere[GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md). Sie können auf die Ergebnisdetails zugreifen, um die betroffenen Ressourcen einzusehen.