Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Funcionamiento
<a name="how-does-runtime-monitoring-work"></a>

Para utilizar Runtime Monitoring, debe habilitar Runtime Monitoring y, a continuación, administrar el agente de GuardDuty seguridad. La siguiente lista explica este proceso en dos pasos:

1. **Habilite Runtime Monitoring** en su cuenta para que GuardDuty pueda aceptar los eventos de tiempo de ejecución que reciba de sus instancias de Amazon EC2, clústeres de Amazon ECS y cargas de trabajo de Amazon EKS.

1. **Administre el GuardDuty agente** para los recursos individuales cuyo comportamiento en tiempo de ejecución desee supervisar. Según el tipo de recurso, puede:
   + Utilice una configuración de agentes automatizada, en la que se GuardDuty gestiona el despliegue del agente y automáticamente un punto final de Amazon Virtual Private Cloud (Amazon VPC).
   + Instalar el agente de manera manual, lo que requiere crear un punto de conexión de VPC como requisito previo.

   El agente de seguridad utiliza el punto final de la VPC para enviar los eventos y garantizar que los datos permanezcan dentro de la AWS red. GuardDuty Este enfoque mejora la seguridad y permite GuardDuty supervisar y analizar el comportamiento del tiempo de ejecución en todos sus recursos (Amazon EKS, Amazon EC2 y AWS Fargate-Amazon ECS). GuardDuty utiliza [funciones de identidad de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles) que autentican el agente de seguridad de cada tipo de recurso para enviar los eventos de tiempo de ejecución asociados al punto final de la VPC.

**nota**  
GuardDuty no le permite acceder a los eventos de tiempo de ejecución.

Si administra el agente de seguridad (de forma manual o a través de él GuardDuty) en EKS Runtime Monitoring o Runtime Monitoring for EC2, y si actualmente GuardDuty está desplegado en una instancia de Amazon EC2 y recibe [Tipos de eventos de tiempo de ejecución recopilados](runtime-monitoring-collected-events.md) el de esta instancia GuardDuty , no se le Cuenta de AWS cobrará por el análisis de los registros de flujo de VPC de esta instancia de Amazon EC2. Esto ayuda a GuardDuty evitar el doble de los gastos de uso de la cuenta.

En los siguientes temas se explica cómo la activación de Runtime Monitoring y la administración del agente de GuardDuty seguridad funcionan de forma diferente para cada tipo de recurso.

**Topics**
+ [Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS](how-runtime-monitoring-works-eks.md)
+ [Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2](how-runtime-monitoring-works-ec2.md)
+ [Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Después de habilitar la supervisión en tiempo de ejecución](runtime-monitoring-after-configuration.md)

# Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS
<a name="how-runtime-monitoring-works-eks"></a>

Runtime Monitoring utiliza un [complemento EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), también denominado agente GuardDuty de seguridad. Una vez desplegado el agente de GuardDuty seguridad en los clústeres de EKS, GuardDuty puede recibir los eventos de tiempo de ejecución de dichos clústeres de EKS. 

**Notas**  
Runtime Monitoring **admite** los clústeres de Amazon EKS que se ejecutan en instancias de Amazon EC2 y en Amazon EKS Auto Mode.  
Runtime Monitoring **no admite** los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en AWS Fargate.  
Para obtener más información sobre estas características de Amazon EKS, consulte [¿Qué es Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) en la **Guía del usuario de Amazon EKS**.

Puede supervisar los eventos en tiempo de ejecución de los clústeres de Amazon EKS a nivel de cuenta o de clúster. Puede administrar el agente GuardDuty de seguridad solo para los clústeres de Amazon EKS que desee supervisar para detectar amenazas. Puede administrar el agente GuardDuty de seguridad manualmente o GuardDuty permitir que lo administre en su nombre mediante la configuración automática del agente.

Cuando utilice el enfoque de configuración de agentes automatizado GuardDuty para poder gestionar el despliegue del agente de seguridad en su nombre, este **creará automáticamente un punto final de Amazon Virtual Private Cloud (Amazon VPC)**. El agente de seguridad entrega los eventos de tiempo de ejecución GuardDuty mediante este punto de enlace de Amazon VPC. 

Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

**Notas**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.
Trabajar con una VPC centralizada con un agente automatizado: cuando utilice la configuración de agente GuardDuty automatizada para un tipo de recurso, GuardDuty se creará un punto final de VPC en su nombre para todos los. VPCs Esto incluye la VPC centralizada y los radios. VPCs GuardDuty no admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 

## Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS
<a name="eksrunmon-approach-to-monitor-eks-clusters"></a>

Antes del 13 de septiembre de 2023, podía configurarlo GuardDuty para administrar el agente de seguridad a nivel de cuenta. Este comportamiento indicaba que, de forma predeterminada, GuardDuty administrará el agente de seguridad en todos los clústeres de EKS que pertenezcan a un Cuenta de AWS. Ahora, GuardDuty proporciona una capacidad granular que le ayuda a elegir los clústeres de EKS en los que GuardDuty desea administrar el agente de seguridad.

Si decide [Administre el agente GuardDuty de seguridad manualmente](#eks-runtime-using-gdu-agent-manually), puede seguir seleccionando los clústeres de EKS que desee supervisar. Sin embargo, para gestionar el agente de forma manual, Cuenta de AWS es imprescindible crear un punto de enlace de Amazon VPC para usted.

**nota**  
Independientemente del enfoque que utilice para administrar el agente de GuardDuty seguridad, EKS Runtime Monitoring siempre está activado a nivel de cuenta. 

**Topics**
+ [Administre el agente de seguridad mediante GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Administre el agente GuardDuty de seguridad manualmente](#eks-runtime-using-gdu-agent-manually)

### Administre el agente de seguridad mediante GuardDuty
<a name="eks-runtime-using-gdu-agent-management-auto"></a>

GuardDuty despliega y administra el agente de seguridad en su nombre. En cualquier momento, puede supervisar los clústeres de EKS de su cuenta con uno de los siguientes enfoques.

**Topics**
+ [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers)
+ [Excluir determinados clústeres de EKS](#eks-runtime-using-exclusion-tags)
+ [Incluir determinados clústeres de EKS](#eks-runtime-using-inclusion-tags)

#### Supervisar todos los clústeres de EKS
<a name="gdu-security-agent-all-eks-custers"></a>

Utilice este enfoque cuando desee GuardDuty implementar y administrar el agente de seguridad para todos los clústeres de EKS de su cuenta. De forma predeterminada, también GuardDuty implementará el agente de seguridad en un clúster de EKS potencialmente nuevo creado en su cuenta.

**Impacto de optar por este enfoque**  
+ GuardDuty crea un punto final de Amazon Virtual Private Cloud (Amazon VPC) a través del cual el agente de GuardDuty seguridad envía los eventos de tiempo de ejecución. GuardDuty La creación del punto de conexión de Amazon VPC no conlleva ningún coste adicional si se gestiona el agente de seguridad a través de él. GuardDuty
+ Es necesario que el nodo de trabajo tenga una ruta de red válida a un punto final de `guardduty-data` VPC activo. GuardDuty despliega el agente de seguridad en sus clústeres de EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordinará la implementación del agente de seguridad en los nodos de los clústeres de EKS.
+ En función de la disponibilidad de IP, GuardDuty selecciona la subred para crear un punto final de VPC. Si utiliza topologías de red avanzadas, debe validar que la conectividad sea posible.

#### Excluir determinados clústeres de EKS
<a name="eks-runtime-using-exclusion-tags"></a>

Utilice este enfoque cuando desee administrar el agente de seguridad GuardDuty para todos los clústeres de EKS de su cuenta, pero excluya algunos clústeres de EKS. Este método utiliza un enfoque basado en etiquetas[1](#eks-runtime-inclusion-exclusion-tags) en el que puede etiquetar los clústeres de EKS para los que no desea recibir los eventos de tiempo de ejecución. La etiqueta predefinida debe tener `GuardDutyManaged`-`false` como par de clave-valor.

**Impacto de optar por este enfoque**  
Este enfoque requiere que habilite la administración automática de los GuardDuty agentes solo después de agregar etiquetas a los clústeres de EKS que desee excluir de la supervisión.  
Por lo tanto, el impacto que se produce al [Administre el agente de seguridad mediante GuardDuty](#eks-runtime-using-gdu-agent-management-auto) también se aplica este enfoque. Cuando añada etiquetas antes de habilitar la administración automática del GuardDuty agente, no GuardDuty implementará ni administrará el agente de seguridad para los clústeres de EKS que están excluidos de la supervisión.

**Consideraciones**  
+ Debe añadir el par clave-valor de la siguiente manera`GuardDutyManaged`: `false` para los clústeres de EKS selectivos antes de activar la configuración automática de agentes; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS hasta que utilice la etiqueta.
+ Debe impedir que se modifiquen las etiquetas, excepto por parte de identidades de confianza.
**importante**  
Administre los permisos para modificar el valor de la etiqueta `GuardDutyManaged` de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario* o [Control del acceso a AWS los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de *IAM*.
+ En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor `GuardDutyManaged`-`false` al crear este clúster de EKS.
+ Este enfoque también tendrá las mismas consideraciones que las especificadas para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers).

#### Incluir determinados clústeres de EKS
<a name="eks-runtime-using-inclusion-tags"></a>

Utilice este enfoque cuando desee GuardDuty implementar y administrar las actualizaciones del agente de seguridad solo para algunos clústeres de EKS de su cuenta. Este método utiliza un enfoque basado en etiquetas[1](#eks-runtime-inclusion-exclusion-tags) en el que puede etiquetar el clúster de EKS para el que desea recibir los eventos de tiempo de ejecución.

**Impacto de optar por este enfoque**  
+ Al usar etiquetas de inclusión, GuardDuty implementará y administrará automáticamente el agente de seguridad solo para los clústeres de EKS selectivos que estén etiquetados con `GuardDutyManaged` el par clave-valor. `true`
+ El uso de este enfoque también tendrá el mismo impacto que el especificado para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers). 

**Consideraciones**  
+ Si el valor de la etiqueta `GuardDutyManaged` no está establecido en `true`, la etiqueta de inclusión no funcionará como se esperaba y esto podría afectar a la supervisión del clúster de EKS.
+ Para asegurarse de que se estén supervisando determinados clústeres de EKS, debe evitar que las etiquetas se modifiquen, salvo por parte de identidades de confianza.
**importante**  
Administre los permisos para modificar el valor de la etiqueta `GuardDutyManaged` de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario* o [Control del acceso a AWS los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de *IAM*.
+ En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor `GuardDutyManaged`-`false` al crear este clúster de EKS.
+ Este enfoque también tendrá las mismas consideraciones que las especificadas para [Supervisar todos los clústeres de EKS](#gdu-security-agent-all-eks-custers).<a name="eks-runtime-inclusion-exclusion-tags"></a>

1 Para obtener más información sobre el etiquetado de determinados clústeres de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

### Administre el agente GuardDuty de seguridad manualmente
<a name="eks-runtime-using-gdu-agent-manually"></a>

Utilice este enfoque cuando desee implementar y administrar el agente de GuardDuty seguridad en todos los clústeres de EKS de forma manual. Asegúrese de que la supervisión en tiempo de ejecución de EKS esté habilitada en sus cuentas. Es posible que el agente de GuardDuty seguridad no funcione según lo esperado si no habilita EKS Runtime Monitoring.

**Impacto de optar por este enfoque**  
Deberá coordinar el despliegue del agente de GuardDuty seguridad en sus clústeres de EKS en todas las cuentas y en los Regiones de AWS lugares en los que esté disponible esta función. También tendrás que actualizar la versión del agente cuando la GuardDuty publiques. Para obtener más información sobre las versiones de los agentes para EKS, consulte [GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

**Consideraciones**  
Debe admitir un flujo de datos seguro a la vez que supervisa y soluciona las deficiencias de cobertura a medida que se implementan continuamente nuevos clústeres y cargas de trabajo.

# Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2
<a name="how-runtime-monitoring-works-ec2"></a>

Las instancias de Amazon EC2 pueden ejecutar varios tipos de aplicaciones y cargas de trabajo en el entorno de AWS . Cuando habilita Runtime Monitoring y administra el agente de GuardDuty seguridad, le GuardDuty ayuda a detectar amenazas en sus instancias Amazon EC2 existentes y en posibles instancias nuevas. Además, esta característica es compatible con las instancias de Amazon EC2 administradas por Amazon ECS. Para obtener más información, consulte el [soporte de instancias administradas en Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).

**nota**  
Runtime Monitoring no admite aplicaciones que se ejecuten en [instancias administradas por Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).

La activación de Runtime GuardDuty Monitoring permite consumir eventos de tiempo de ejecución de procesos nuevos y en ejecución en instancias de Amazon EC2. GuardDuty requiere un agente de seguridad al que enviar los eventos de tiempo de ejecución desde su instancia EC2 a. GuardDuty 

En el caso de las instancias Amazon EC2, el agente GuardDuty de seguridad funciona a nivel de instancia. Puede decidir si desea supervisar todas las instancias de Amazon EC2 en la cuenta o solo algunas. Si desea administrar instancias determinadas, el agente de seguridad solo será necesario para estas instancias.

GuardDuty también puede consumir eventos de tiempo de ejecución de tareas nuevas y tareas existentes que se ejecutan en instancias de Amazon EC2 dentro de los clústeres de Amazon ECS. 

Para instalar el agente GuardDuty de seguridad, Runtime Monitoring ofrece las dos opciones siguientes:
+ [Utilice la configuración automatizada de agentes (opción recomendada)](#use-automated-agent-config-ec2), or
+ [Administrar el agente de seguridad manualmente](#ec2-security-agent-option2-manual)

## Utilice la configuración automática del agente mediante GuardDuty (recomendado)
<a name="use-automated-agent-config-ec2"></a>

Utilice una configuración de agente automatizada que permita GuardDuty instalar el agente de seguridad en sus instancias de Amazon EC2 en su nombre. GuardDuty también administra las actualizaciones del agente de seguridad.

De forma predeterminada, GuardDuty instala el agente de seguridad en todas las instancias de su cuenta. Si desea GuardDuty instalar y administrar el agente de seguridad solo para determinadas instancias de EC2, añada etiquetas de inclusión o exclusión a las instancias de EC2, según sea necesario.

En algunos casos, es posible que no desee supervisar los eventos en tiempo de ejecución de todas las instancias de Amazon EC2 pertenecientes a la cuenta. Para los casos en los que desee supervisar los eventos en tiempo de ejecución de una cantidad limitada de instancias, agregue una etiqueta de inclusión como `GuardDutyManaged`:`true` a estas instancias determinadas. Empezando por la disponibilidad de la configuración de agentes automatizada para Amazon EC2, si su instancia de EC2 tiene una etiqueta de inclusión (`GuardDutyManaged`:`true`), GuardDuty respetará la etiqueta y gestionará el agente de seguridad para las instancias seleccionadas, incluso si no habilita explícitamente la configuración automática del agente.

Por otro lado, si hay un número limitado de instancias de EC2 para las que no desea supervisar los eventos de tiempo de ejecución, añada una etiqueta de exclusión (`GuardDutyManaged`:`false`) a las instancias seleccionadas. GuardDuty respetará la etiqueta de exclusión al **no** instalar **ni** administrar el agente de seguridad para estos recursos de EC2.

### Impact
<a name="impact-automated-security-agent-ec2"></a>

Cuando utiliza la configuración de agentes automatizada en una Cuenta de AWS u otra organización, permite GuardDuty realizar los siguientes pasos en su nombre:
+ GuardDuty crea una asociación de SSM para todas las instancias de Amazon EC2 gestionadas por SSM y que aparecen en **Fleet Manager en** la consola. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 
+ Uso de etiquetas de inclusión con la configuración automática del agente deshabilitada: después de habilitar Runtime Monitoring, si no habilita la configuración automática del agente pero agrega una etiqueta de inclusión a su instancia de Amazon EC2, significa que está permitiendo GuardDuty administrar el agente de seguridad en su nombre. La asociación de SSM instalará entonces el agente de seguridad en cada instancia que tenga la etiqueta de inclusión (`GuardDutyManaged`:`true`).
+ Si habilita la configuración automatizada del agente: la asociación de SSM instalará entonces el agente de seguridad en todas las instancias de EC2 pertenecientes a la cuenta. 
+ Uso de etiquetas de exclusión con configuración de agente automatizada: antes de habilitar la configuración automática de agentes, al añadir una etiqueta de exclusión a la instancia de Amazon EC2, significa que está permitiendo GuardDuty impedir la instalación y la administración del agente de seguridad para la instancia seleccionada.

  Ahora, al habilitar la configuración automatizada del agente, la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 excepto en aquellas etiquetadas con la etiqueta de exclusión. 
+ GuardDuty crea puntos de enlace de VPC en todas las VPC, incluidas las VPC compartidas, siempre que haya al menos una instancia EC2 de Linux en esa VPC que no se encuentre en los estados de instancia terminada o de cierre. Esto incluye la VPC centralizada y los radios. VPCs GuardDuty no admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 

  Para obtener información sobre los diferentes estados de las instancias, consulte [Ciclo de vida de las instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) en la *Guía del usuario de Amazon EC2*.

  GuardDuty también es compatible. [Uso de VPC compartida con Runtime Monitoring](runtime-monitoring-shared-vpc.md) Cuando se tengan en cuenta todos los requisitos previos para su organización Cuenta de AWS, GuardDuty utilizará la VPC compartida para recibir los eventos de tiempo de ejecución.
**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.
+ Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

## Administrar el agente de seguridad manualmente
<a name="ec2-security-agent-option2-manual"></a>

Existen dos formas de administrar manualmente el agente de seguridad para Amazon EC2:
+ Utilice los documentos GuardDuty gestionados AWS Systems Manager para instalar el agente de seguridad en las instancias de Amazon EC2 que ya están gestionadas por SSM.

  Siempre que lance una nueva instancia de Amazon EC2, asegúrese de que esté habilitada para SSM.
+ Utilice scripts del administrador de paquetes RPM (RPM) para instalar el agente de seguridad en las instancias de Amazon EC2, independientemente de si son administradas por SSM o no.

## Siguiente paso
<a name="next-step-prerequisites-ec2"></a>

Para comenzar a utilizar la configuración de supervisión en tiempo de ejecución para supervisar las instancias de Amazon EC2, consulte [Requisitos previos para la compatibilidad con instancias de Amazon EC2](prereq-runtime-monitoring-ec2-support.md).

# Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)
<a name="how-runtime-monitoring-works-ecs-fargate"></a>

Cuando habilita la monitorización del tiempo de ejecución, GuardDuty estará preparado para consumir los eventos de tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los clústeres de Amazon ECS, que a su vez se ejecutan en las AWS Fargate instancias. GuardDuty Para recibir estos eventos de tiempo de ejecución, debe usar el agente de seguridad dedicado y totalmente administrado.

**nota**  
Runtime Monitoring no admite aplicaciones que se ejecuten en [instancias administradas por Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).

Puede GuardDuty permitir la administración del agente GuardDuty de seguridad en su nombre mediante la configuración automática del agente para una AWS cuenta o una organización. GuardDuty empezará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lanzan en sus clústeres de Amazon ECS. La siguiente lista especifica qué esperar al habilitar el agente de GuardDuty seguridad.**Impacto de habilitar el agente GuardDuty de seguridad**

**GuardDuty crea un grupo de seguridad y punto final de nube privada virtual (VPC)**  
+ Al implementar el agente de GuardDuty seguridad, GuardDuty creará un punto final de VPC a través del cual el agente de seguridad envía los eventos de tiempo de ejecución. GuardDuty

  Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte [Rango de CIDR de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.
+ Trabajar con una VPC centralizada con un agente automatizado: cuando utilice la configuración de agente GuardDuty automatizada para un tipo de recurso, GuardDuty se creará un punto final de VPC en su nombre para todos los. VPCs Esto incluye la VPC centralizada y los radios. VPCs GuardDutyno admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) en el *AWS documento técnico: Creación de una* infraestructura de red multiVPC escalable y segura. AWS 
+ El uso del punto de conexión de VPC no conlleva ningún costo adicional.

**GuardDuty añade un contenedor con sidecar**  
Para una nueva tarea o servicio de Fargate que comience a ejecutarse, se adjunta un GuardDuty contenedor (sidecar) a cada contenedor de la tarea Fargate de Amazon ECS. El agente de GuardDuty seguridad se encuentra dentro del contenedor adjunto. GuardDuty Esto ayuda GuardDuty a recopilar los eventos de tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.  
La imagen del contenedor GuardDuty sidecar se almacena en Amazon Elastic Container Registry (Amazon ECR) y sus capas de imágenes se almacenan en Amazon S3. Cuando comience la tarea, necesitará extraer esta imagen del ECR. Según la configuración de la red, esto puede requerir ajustes específicos para garantizar el acceso tanto al ECR como al S3. Por ejemplo, si se utilizan grupos de seguridad con acceso restringido, se tendrá que permitir el acceso a la lista de prefijos administrados de S3. Para obtener más información acerca de cómo hacerlo, consulte [Requisitos previos para el acceso a imágenes de contenedores](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).  
Cuando inicias una tarea de Fargate, si el GuardDuty contenedor (sidecar) no puede iniciarse en buen estado, Runtime Monitoring está diseñado para no impedir que las tareas se ejecuten.  
De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no desplegará el sidecar cuando una tarea ya esté en ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.

## Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate
<a name="gdu-runtime-approaches-agent-deployment-ecs-clusters"></a>

La supervisión en tiempo de ejecución brinda la opción de detectar posibles amenazas a la seguridad en todos los clústeres de Amazon ECS (nivel de cuenta) o en clústeres concretos (nivel de clúster) en la cuenta. Al habilitar la configuración automática de agentes para cada tarea de Amazon ECS Fargate que se vaya a ejecutar, GuardDuty añadirá un contenedor sidecar para cada carga de trabajo de contenedores incluida en esa tarea. El agente GuardDuty de seguridad se despliega en este contenedor de sidecar. Así es como GuardDuty obtiene visibilidad del comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS.

Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.

Antes de configurar las cuentas, valore si desea supervisar el comportamiento en tiempo de ejecución de todos los contenedores que pertenecen a las tareas de Amazon ECS, o incluir o excluir recursos específicos. Tenga en cuenta los siguientes enfoques.

**Supervisión de todos los clústeres de Amazon ECS**  
Este enfoque ayudará a detectar posibles amenazas a la seguridad a nivel de cuenta. Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para todos los clústeres de Amazon ECS que pertenecen a su cuenta.

**Exclusión de clústeres de Amazon ECS específicos**  
Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para la mayoría de los clústeres de Amazon ECS de su AWS entorno, pero excluya algunos de ellos. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 930 clústeres de Amazon ECS.  
Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que no desee supervisar. Para obtener más información, consulte [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).

**Incluir clústeres de Amazon ECS específicos**  
Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para algunos de los clústeres de Amazon ECS. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 230 clústeres.  
Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que desee supervisar. Para obtener más información, consulte [Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).

# Después de habilitar la supervisión en tiempo de ejecución
<a name="runtime-monitoring-after-configuration"></a>

Después de activar Runtime Monitoring e instalar el agente de GuardDuty seguridad en su cuenta independiente o en las cuentas de varios miembros, puede seguir los siguientes pasos para asegurarse de que la configuración del plan de protección funcione según lo esperado y controlar la cantidad de memoria y CPU que utiliza el agente de GuardDuty seguridad. 

**Evaluar la cobertura en tiempo de ejecución**  
GuardDuty le recomienda que evalúe continuamente el estado de cobertura del recurso en el que ha desplegado el agente de seguridad. La cobertura puede estar en **buen** estado o en **mal** estado. Un estado de cobertura en **buen** estado indica que GuardDuty está recibiendo los eventos de tiempo de ejecución del recurso correspondiente cuando hay una actividad a nivel del sistema operativo.  
Cuando el estado de cobertura pasa a **ser** Correcto para el recurso, GuardDuty puede recibir los eventos de tiempo de ejecución y analizarlos para detectar amenazas. Cuando GuardDuty detecta una posible amenaza a la seguridad en las tareas o aplicaciones que se ejecutan en su contenedor, GuardDuty genera [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) cargas de trabajo e instancias.  
También puedes configurar Amazon EventBridge (EventBridge) para recibir una notificación cuando el estado de la cobertura cambie de **Insalubre** a **Saludable** o de otra manera. Para obtener más información, consulte [Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas](runtime-monitoring-assessing-coverage.md).

**Configure el monitoreo de la CPU y la memoria para el agente GuardDuty de seguridad**  
Una vez que haya comprobado que la cobertura esté en buen estado, podrá evaluar el rendimiento del agente de seguridad para el tipo de recurso.**** Para los clústeres de Amazon EKS que tienen la versión 1.5 o superior del agente de seguridad, GuardDuty admite la configuración de los parámetros del agente de seguridad (complementario). Para obtener más información, consulte [Configuración de la supervisión de la CPU y la memoria](runtime-monitoring-setting-cpu-mem-monitoring.md).

**GuardDuty detecta posibles amenazas**  
A medida que GuardDuty comienza a recibir los eventos de tiempo de ejecución de su recurso, comienza a analizarlos. Cuando GuardDuty detecta una posible amenaza de seguridad en cualquiera de sus instancias de Amazon EC2, clústeres de Amazon ECS o clústeres de Amazon EKS, genera una o más. [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) Puede acceder a los detalles del resultado para ver los detalles del recurso impactado.