Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comment ça marche
Pour utiliser le Runtime Monitoring, vous devez activer le Runtime Monitoring, puis gérer l'agent GuardDuty de sécurité. La liste suivante explique ce processus en deux étapes :
1. **Activez la surveillance du temps d'exécution** pour votre compte afin qu'il GuardDuty puisse accepter les événements d'exécution qu'il reçoit de vos instances Amazon EC2, de vos clusters Amazon ECS et de vos charges de travail Amazon EKS.
1. **Gérez l' GuardDuty agent** pour les ressources individuelles dont vous souhaitez surveiller le comportement d'exécution. En fonction du type de ressource, vous pouvez choisir de :
+ Utilisez une configuration d'agent automatisée, GuardDuty qui gère le déploiement de l'agent et un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) automatiquement.
+ Installez l'agent manuellement, ce qui vous oblige à créer le point de terminaison VPC comme condition préalable.
L'agent de sécurité utilise le point de terminaison VPC pour transmettre des événements GuardDuty, garantissant ainsi que les données restent sur le AWS réseau. Cette approche améliore la sécurité et permet de GuardDuty surveiller et d'analyser le comportement d'exécution sur l'ensemble de vos ressources (Amazon EKS, Amazon EC2 et AWS Fargate-Amazon ECS). GuardDuty utilise des [rôles d'identité d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles) qui authentifient l'agent de sécurité pour chaque type de ressource afin d'envoyer les événements d'exécution associés au point de terminaison du VPC.
**Note**
GuardDuty ne vous permet pas d'accéder aux événements d'exécution.
Lorsque vous gérez l'agent de sécurité (manuellement ou via GuardDuty) dans EKS Runtime Monitoring ou Runtime Monitoring pour les instances EC2, et qu'GuardDuty il est actuellement déployé sur une instance Amazon EC2 et que vous [Types d'événement d'exécution collectés](runtime-monitoring-collected-events.md) le recevez de cette instance GuardDuty , l'analyse des journaux de flux VPC provenant de cette instance Amazon EC2 ne Compte AWS vous sera pas facturée. Cela permet GuardDuty d'éviter le double coût d'utilisation sur le compte.
Les rubriques suivantes expliquent comment l'activation de la surveillance du temps d'exécution et la gestion GuardDuty de l'agent de sécurité fonctionnent différemment pour chaque type de ressource.
**Topics**
+ [Comment fonctionne la surveillance de l’exécution avec les clusters Amazon EKS](how-runtime-monitoring-works-eks.md)
+ [Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2](how-runtime-monitoring-works-ec2.md)
+ [Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon ECS uniquement)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Après avoir activé la surveillance du temps d'exécution](runtime-monitoring-after-configuration.md)
# Comment fonctionne la surveillance de l’exécution avec les clusters Amazon EKS
Runtime Monitoring utilise un [module complémentaire EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), également appelé agent GuardDuty de sécurité. Une fois l'agent de GuardDuty sécurité déployé sur vos clusters EKS, GuardDuty il est en mesure de recevoir des événements d'exécution pour ces clusters EKS.
**Remarques**
La surveillance du temps d'exécution **prend en charge** les clusters Amazon EKS exécutés sur des instances Amazon EC2 et le mode automatique Amazon EKS.
La surveillance du temps d'exécution **ne prend pas en charge** les clusters Amazon EKS dotés de nœuds hybrides Amazon EKS, ni ceux qui s'exécutent sur AWS Fargate.
Pour plus d'informations sur ces fonctionnalités d'Amazon EKS, consultez [Qu'est-ce qu'Amazon EKS ?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) dans le **guide de l'utilisateur Amazon EKS**.
Vous pouvez surveiller les événements d'exécution de vos clusters Amazon EKS au niveau du compte ou du cluster. Vous ne pouvez gérer l'agent GuardDuty de sécurité que pour les clusters Amazon EKS que vous souhaitez surveiller pour détecter les menaces. Vous pouvez gérer l'agent GuardDuty de sécurité manuellement ou en l'autorisant GuardDuty à le gérer en votre nom, à l'aide de la configuration automatisée de l'agent.
Lorsque vous utilisez l'approche de configuration automatique de l'agent pour GuardDuty permettre de gérer le déploiement de l'agent de sécurité en votre nom, **un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) est automatiquement créé**. L'agent de sécurité fournit les événements d'exécution à l'aide GuardDuty de ce point de terminaison Amazon VPC.
Outre le point de terminaison VPC, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la plage d'adresses CIDR VPC de votre ressource, et s'y adapte également lorsque la plage d'adresses CIDR change. Pour plus d'informations, consultez la section [Gamme d'adresses CIDR VPC dans le guide de](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) l'utilisateur Amazon *VPC.*
**Remarques**
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.
Utilisation d'un VPC centralisé avec agent automatisé — Lorsque vous utilisez la configuration d'agent GuardDuty automatisée pour un type de ressource, GuardDuty vous créez un point de terminaison VPC en votre nom pour tous les. VPCs Cela inclut le VPC centralisé et le Spoke. VPCs GuardDuty ne prend pas en charge la création d'un point de terminaison VPC uniquement pour le VPC centralisé. Pour plus d'informations sur le fonctionnement du VPC centralisé, consultez la section Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) du *AWS livre blanc intitulé « Création d'une infrastructure réseau multi-VPC évolutive et sécurisée* ». AWS
## Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS
Avant le 13 septembre 2023, vous pouviez configurer GuardDuty pour gérer l'agent de sécurité au niveau du compte. Ce comportement indique que, par défaut, l'agent de sécurité GuardDuty sera géré sur tous les clusters EKS appartenant à un Compte AWS. Désormais, GuardDuty fournit une fonctionnalité granulaire pour vous aider à choisir les clusters EKS dans lesquels vous GuardDuty souhaitez gérer l'agent de sécurité.
Lorsque vous choisissez d'[Gestion manuelle GuardDuty de l'agent de sécurité](#eks-runtime-using-gdu-agent-manually), vous pouvez toujours sélectionner les clusters EKS que vous souhaitez surveiller. Toutefois, pour gérer l'agent manuellement, il Compte AWS est indispensable de créer un point de terminaison Amazon VPC pour vous.
**Note**
Quelle que soit l'approche que vous utilisez pour gérer l'agent GuardDuty de sécurité, EKS Runtime Monitoring est toujours activé au niveau du compte.
**Topics**
+ [Gérez l'agent de sécurité via GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Gestion manuelle GuardDuty de l'agent de sécurité](#eks-runtime-using-gdu-agent-manually)
### Gérez l'agent de sécurité via GuardDuty
GuardDuty déploie et gère l'agent de sécurité en votre nom. À tout moment, vous pouvez surveiller les clusters EKS de votre compte en utilisant l'une des approches suivantes.
**Topics**
+ [Surveillez tous les clusters EKS](#gdu-security-agent-all-eks-custers)
+ [Exclure les clusters EKS sélectifs](#eks-runtime-using-exclusion-tags)
+ [Inclure des clusters EKS sélectifs](#eks-runtime-using-inclusion-tags)
#### Surveillez tous les clusters EKS
Utilisez cette approche lorsque vous souhaitez GuardDuty déployer et gérer l'agent de sécurité pour tous les clusters EKS de votre compte. Par défaut, l'agent de sécurité GuardDuty sera également déployé sur un cluster EKS potentiellement nouveau créé dans votre compte.
**Impact de l'utilisation de cette approche**
+ GuardDuty crée un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) via lequel l'agent GuardDuty de sécurité transmet les événements d'exécution. GuardDuty La création du point de terminaison Amazon VPC n'entraîne aucun coût supplémentaire lorsque vous gérez l'agent de sécurité via. GuardDuty
+ Il est nécessaire que votre nœud de travail dispose d'un chemin réseau valide vers un point de terminaison `guardduty-data` VPC actif. GuardDuty déploie l'agent de sécurité sur vos clusters EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordonnera le déploiement de l'agent de sécurité sur les nœuds des clusters EKS.
+ Sur la base de la disponibilité des adresses IP, GuardDuty sélectionne le sous-réseau pour créer un point de terminaison VPC. Si vous utilisez des topologies réseau avancées, vous devez vérifier que la connectivité est possible.
#### Exclure les clusters EKS sélectifs
Utilisez cette approche lorsque vous GuardDuty souhaitez gérer l'agent de sécurité pour tous les clusters EKS de votre compte, mais exclure certains clusters EKS. Cette méthode utilise une approche basée sur les balises[1](#eks-runtime-inclusion-exclusion-tags) dans laquelle vous pouvez étiqueter les clusters EKS pour lesquels vous ne souhaitez pas recevoir les événements d'exécution. La balise prédéfinie doit avoir `GuardDutyManaged`-`false` comme paire clé-valeur.
**Impact de l'utilisation de cette approche**
Cette approche nécessite que vous n'activiez la gestion automatique des GuardDuty agents qu'après avoir ajouté des balises aux clusters EKS que vous souhaitez exclure de la surveillance.
Par conséquent, l'impact lorsque vous [Gérez l'agent de sécurité via GuardDuty](#eks-runtime-using-gdu-agent-management-auto) s'applique également à cette approche. Lorsque vous ajoutez des balises avant d'activer la gestion automatique des agents, l' GuardDuty agent de sécurité ne GuardDuty sera ni déployé ni géré pour les clusters EKS exclus de la surveillance.
**Considérations**
+ Vous devez ajouter la paire clé-valeur de balise sous la forme suivante `GuardDutyManaged` : `false` pour les clusters EKS sélectifs avant d'activer la configuration automatisée de l'agent, sinon l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS jusqu'à ce que vous utilisiez la balise.
+ Vous devez empêcher la modification des balises, sauf par des identités approuvées.
**Important**
Gérez les autorisations permettant de modifier la valeur de la balise `GuardDutyManaged` pour votre cluster EKS à l'aide de politiques de contrôle des services ou de politiques IAM. Pour plus d'informations, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur* ou [Contrôler l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
+ Pour un cluster EKS potentiellement nouveau que vous ne souhaitez pas surveiller, assurez-vous d'ajouter la paire clé-valeur `GuardDutyManaged`-`false` au moment de créer ce cluster EKS.
+ Cette approche tiendra également compte des mêmes considérations que celles spécifiées pour [Surveillez tous les clusters EKS](#gdu-security-agent-all-eks-custers).
#### Inclure des clusters EKS sélectifs
Utilisez cette approche lorsque vous GuardDuty souhaitez déployer et gérer les mises à jour de l'agent de sécurité uniquement pour certains clusters EKS de votre compte. Cette méthode utilise une approche basée sur les balises[1](#eks-runtime-inclusion-exclusion-tags) dans laquelle vous pouvez étiqueter le cluster EKS pour lesquels vous souhaitez recevoir les événements d'exécution.
**Impact de l'utilisation de cette approche**
+ En utilisant des balises d'inclusion, l'agent de sécurité GuardDuty sera automatiquement déployé et géré uniquement pour les clusters EKS sélectionnés marqués « `GuardDutyManaged` - » `true` en tant que paire clé-valeur.
+ L'utilisation de cette approche aura également le même impact que celui spécifié pour [Surveillez tous les clusters EKS](#gdu-security-agent-all-eks-custers).
**Considérations**
+ Si la valeur de la balise `GuardDutyManaged` n'est pas définie sur `true`, la balise d'inclusion ne fonctionnera pas comme prévu, ce qui peut avoir un impact sur la surveillance de votre cluster EKS.
+ Pour vous assurer que vos clusters EKS sélectifs sont surveillés, vous devez empêcher la modification des balises, sauf par des identités approuvées.
**Important**
Gérez les autorisations permettant de modifier la valeur de la balise `GuardDutyManaged` pour votre cluster EKS à l'aide de politiques de contrôle des services ou de politiques IAM. Pour plus d'informations, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur* ou [Contrôler l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
+ Pour un cluster EKS potentiellement nouveau que vous ne souhaitez pas surveiller, assurez-vous d'ajouter la paire clé-valeur `GuardDutyManaged`-`false` au moment de créer ce cluster EKS.
+ Cette approche tiendra également compte des mêmes considérations que celles spécifiées pour [Surveillez tous les clusters EKS](#gdu-security-agent-all-eks-custers).
1 Pour plus d'informations sur l'étiquetage de clusters EKS sélectifs, veuillez consulter [Étiquetage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **Guide de l'utilisateur Amazon EKS**.
### Gestion manuelle GuardDuty de l'agent de sécurité
Utilisez cette approche lorsque vous souhaitez déployer et gérer manuellement l'agent de GuardDuty sécurité sur tous vos clusters EKS. Assurez-vous que la surveillance d'exécution EKS est activée pour vos comptes. L'agent GuardDuty de sécurité risque de ne pas fonctionner comme prévu si vous n'activez pas EKS Runtime Monitoring.
**Impact de l'utilisation de cette approche**
Vous devrez coordonner le déploiement de l'agent de GuardDuty sécurité au sein de vos clusters EKS sur tous les comptes et sur les Régions AWS lieux où cette fonctionnalité est disponible. Vous devrez également mettre à jour la version de l'agent lors GuardDuty de sa publication. Pour plus d'informations sur les versions des agents pour EKS, consultez[GuardDuty versions de l'agent de sécurité pour les ressources Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Considérations**
Vous devez garantir un flux de données sécurisé tout en surveillant et en comblant les lacunes de couverture à mesure que de nouveaux clusters et de nouvelles charges de travail sont déployés en permanence.
# Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2
Vos instances Amazon EC2 peuvent exécuter plusieurs types d'applications et de charges de travail dans votre environnement. AWS Lorsque vous activez la surveillance du temps d'exécution et que vous gérez l'agent de GuardDuty sécurité, GuardDuty cela vous aide à détecter les menaces dans vos instances Amazon EC2 existantes et dans les nouvelles instances potentielles. Cette fonctionnalité prend également en charge les instances Amazon EC2 gérées par Amazon ECS. Pour en savoir plus, consultez la section [Support des instances gérées dans Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).
**Note**
La surveillance du temps d'exécution ne prend pas en charge les applications exécutées sur les [instances gérées Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
L'activation de la surveillance du temps d'exécution permet de GuardDuty préparer les événements d'exécution provenant des processus en cours d'exécution et des nouveaux processus au sein des instances Amazon EC2. GuardDuty nécessite qu'un agent de sécurité envoie les événements d'exécution de votre instance EC2 à GuardDuty.
Pour les instances Amazon EC2, l'agent GuardDuty de sécurité fonctionne au niveau de l'instance. Vous pouvez décider si vous souhaitez surveiller toutes les instances Amazon EC2 de votre compte ou certaines d'entre elles. Si vous souhaitez gérer des instances sélectives, l'agent de sécurité n'est requis que pour ces instances.
GuardDuty peut également consommer des événements d'exécution provenant de nouvelles tâches et de tâches existantes exécutées dans des instances Amazon EC2 au sein de clusters Amazon ECS.
Pour installer l'agent GuardDuty de sécurité, Runtime Monitoring propose les deux options suivantes :
+ [Utiliser la configuration automatique des agents (recommandé)](#use-automated-agent-config-ec2), ou
+ [Gestion manuelle de l'agent de sécurité](#ec2-security-agent-option2-manual)
## Utiliser la configuration automatique des agents via GuardDuty (recommandé)
Utilisez la configuration automatique de l'agent qui GuardDuty permet d'installer l'agent de sécurité sur vos instances Amazon EC2 en votre nom. GuardDuty gère également les mises à jour de l'agent de sécurité.
Par défaut, GuardDuty installe l'agent de sécurité sur toutes les instances de votre compte. Si vous souhaitez GuardDuty installer et gérer l'agent de sécurité pour certaines instances EC2 uniquement, ajoutez des balises d'inclusion ou d'exclusion à vos instances EC2, selon vos besoins.
Il peut arriver que vous ne souhaitiez pas surveiller les événements d'exécution pour toutes les instances Amazon EC2 associées à votre compte. Dans les cas où vous souhaitez surveiller les événements d'exécution pour un nombre limité d'instances, ajoutez une balise d'inclusion sous la forme `GuardDutyManaged` : `true` à ces instances sélectionnées. À partir de la disponibilité de la configuration automatique des agents pour Amazon EC2, si votre instance EC2 possède une balise d'inclusion (`GuardDutyManaged`:`true`), cette balise GuardDuty sera respectée et l'agent de sécurité sera géré pour les instances sélectionnées, même si vous n'activez pas explicitement la configuration automatique des agents.
En revanche, s'il existe un nombre limité d'instances EC2 pour lesquelles vous ne souhaitez pas surveiller les événements d'exécution, ajoutez une balise d'exclusion (`GuardDutyManaged`:`false`) à ces instances sélectionnées. GuardDuty respectera la balise d'exclusion en **n'**installant **ni en ne** gérant l'agent de sécurité pour ces ressources EC2.
### Impact
Lorsque vous utilisez la configuration automatique des agents dans une organisation Compte AWS ou une organisation, vous autorisez GuardDuty à effectuer les étapes suivantes en votre nom :
+ GuardDuty crée une association SSM pour toutes vos instances Amazon EC2 qui sont gérées par SSM et apparaissent **sous Fleet** Manager dans la console. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Utilisation de balises d'inclusion avec désactivation de la configuration automatique des agents : après avoir activé la surveillance du temps d'exécution, lorsque vous n'activez pas la configuration automatique des agents mais que vous ajoutez une balise d'inclusion à votre instance Amazon EC2, cela signifie que vous êtes autorisé GuardDuty à gérer l'agent de sécurité en votre nom. L'association SSM installera ensuite l'agent de sécurité dans chaque instance dotée de la balise d'inclusion (`GuardDutyManaged`:`true`).
+ Si vous activez la configuration automatique de l'agent, l'association SSM installera ensuite l'agent de sécurité dans toutes les instances EC2 appartenant à votre compte.
+ Utilisation de balises d'exclusion avec configuration automatique des agents : avant d'activer la configuration automatique des agents, lorsque vous ajoutez des balises d'exclusion à votre instance Amazon EC2, cela signifie que vous autorisez GuardDuty à empêcher l'installation et la gestion de l'agent de sécurité pour cette instance sélectionnée.
Désormais, lorsque vous activez la configuration automatique de l'agent, l'association SSM installe et gère l'agent de sécurité dans toutes les instances EC2, à l'exception de celles qui sont étiquetées avec la balise d'exclusion.
+ GuardDuty crée des points de terminaison VPC dans tous les VPC, y compris les VPC partagés, à condition qu'il y ait au moins une instance Linux EC2 dans ce VPC qui ne soit pas dans l'état d'instance terminée ou en état d'arrêt. Cela inclut le VPC centralisé et le Spoke. VPCs GuardDuty ne prend pas en charge la création d'un point de terminaison VPC uniquement pour le VPC centralisé. Pour plus d'informations sur le fonctionnement du VPC centralisé, consultez la section Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) du *AWS livre blanc intitulé « Création d'une infrastructure réseau multi-VPC évolutive et sécurisée* ». AWS
Pour plus d'informations sur les différents états des instances, consultez la section [Cycle de vie des instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) dans le *guide de l'utilisateur Amazon EC2*.
GuardDuty prend également en charge[Utilisation d'un VPC partagé avec surveillance du temps d'exécution](runtime-monitoring-shared-vpc.md). Lorsque tous les prérequis sont pris en compte pour votre organisation et Compte AWS que GuardDuty vous utiliserez le VPC partagé pour recevoir les événements d'exécution.
**Note**
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.
+ Outre le point de terminaison VPC, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la plage d'adresses CIDR VPC de votre ressource, et s'y adapte également lorsque la plage d'adresses CIDR change. Pour plus d'informations, consultez la section [Gamme d'adresses CIDR VPC dans le guide de](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) l'utilisateur Amazon *VPC.*
## Gestion manuelle de l'agent de sécurité
Il existe deux méthodes pour gérer manuellement l'agent de sécurité pour Amazon EC2 :
+ Utilisez des documents GuardDuty gérés AWS Systems Manager pour installer l'agent de sécurité sur vos instances Amazon EC2 déjà gérées par SSM.
Chaque fois que vous lancez une nouvelle instance Amazon EC2, assurez-vous qu'elle est activée par SSM.
+ Utilisez des scripts RPM Package Manager (RPM) pour installer l'agent de sécurité sur vos instances Amazon EC2, qu'elles soient ou non gérées par SSM.
## Étape suivante
Pour commencer à configurer la surveillance du temps d'exécution afin de surveiller vos instances Amazon EC2, consultez. [Conditions préalables à la prise en charge des instances Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
# Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon ECS uniquement)
Lorsque vous activez la surveillance du temps d' GuardDuty exécution, il est prêt à consommer les événements d'exécution d'une tâche. Ces tâches s'exécutent au sein des clusters Amazon ECS, qui à leur tour s'exécutent sur les AWS Fargate instances. GuardDuty Pour recevoir ces événements d'exécution, vous devez utiliser l'agent de sécurité dédié entièrement géré.
**Note**
La surveillance du temps d'exécution ne prend pas en charge les applications exécutées sur les [instances gérées Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
Vous pouvez GuardDuty autoriser la gestion de l'agent GuardDuty de sécurité en votre nom, en utilisant la configuration automatique de l'agent pour un AWS compte ou une organisation. GuardDuty commencera à déployer l'agent de sécurité sur les nouvelles tâches Fargate lancées dans vos clusters Amazon ECS. La liste suivante indique ce à quoi vous devez vous attendre lorsque vous activez l'agent GuardDuty de sécurité.**Impact de l'activation de l'agent GuardDuty de sécurité**
**GuardDuty crée un point de terminaison et un groupe de sécurité de cloud privé virtuel (VPC)**
+ Lorsque vous déployez l'agent GuardDuty de sécurité, GuardDuty vous créez un point de terminaison VPC via lequel l'agent de sécurité transmet les événements d'exécution. GuardDuty
Outre le point de terminaison VPC, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la plage d'adresses CIDR VPC de votre ressource, et s'y adapte également lorsque la plage d'adresses CIDR change. Pour plus d'informations, consultez la section [Gamme d'adresses CIDR VPC dans le guide de](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) l'utilisateur Amazon *VPC.*
+ Utilisation d'un VPC centralisé avec agent automatisé — Lorsque vous utilisez la configuration d'agent GuardDuty automatisée pour un type de ressource, GuardDuty vous créez un point de terminaison VPC en votre nom pour tous les. VPCs Cela inclut le VPC centralisé et le Spoke. VPCs GuardDutyne prend pas en charge la création d'un point de terminaison VPC uniquement pour le VPC centralisé. Pour plus d'informations sur le fonctionnement du VPC centralisé, consultez la section Interface [VPC endpoints](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) du *AWS livre blanc intitulé « Création d'une infrastructure réseau multi-VPC évolutive et sécurisée* ». AWS
+ L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.
**GuardDuty ajoute un conteneur de sidecar**
Pour une nouvelle tâche ou un nouveau service Fargate qui commence à s'exécuter, GuardDuty un conteneur (sidecar) s'attache à chaque conteneur au sein de la tâche Amazon ECS Fargate. L'agent GuardDuty de sécurité fonctionne dans le GuardDuty conteneur joint. Cela permet GuardDuty de collecter les événements d'exécution de chaque conteneur exécuté dans le cadre de ces tâches.
L'image du conteneur GuardDuty sidecar est stockée dans Amazon Elastic Container Registry (Amazon ECR), et ses couches d'images sont stockées dans Amazon S3. Lorsque votre tâche démarre, elle doit extraire cette image de l'ECR. Selon la configuration de votre réseau, cela peut nécessiter des paramètres spécifiques pour garantir l'accès à la fois à ECR et à S3. Par exemple, si vous utilisez des groupes de sécurité à accès restreint, vous devez autoriser l'accès à la liste des préfixes gérés S3. Pour en savoir plus à ce sujet, consultez [Conditions préalables à l'accès aux images du conteneur](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).
Lorsque vous démarrez une tâche Fargate, si GuardDuty le conteneur (sidecar) ne peut pas être lancé correctement, la surveillance du temps d'exécution est conçue pour ne pas empêcher l'exécution des tâches.
Par défaut, une tâche Fargate est immuable. GuardDuty ne déploiera pas le sidecar lorsqu'une tâche est déjà en cours d'exécution. Si vous souhaitez surveiller un conteneur dans une tâche déjà en cours d'exécution, vous pouvez arrêter la tâche et la redémarrer.
## Approches pour gérer les agents GuardDuty de sécurité dans les ressources Amazon ECS-Fargate
La surveillance du temps d'exécution vous permet de détecter les menaces de sécurité potentielles sur tous les clusters Amazon ECS (au niveau du compte) ou sur des clusters sélectifs (au niveau du cluster) de votre compte. Lorsque vous activez la configuration automatisée des agents pour chaque tâche Amazon ECS Fargate qui sera exécutée GuardDuty , un conteneur annexe sera ajouté pour chaque charge de travail de conteneur au sein de cette tâche. L'agent GuardDuty de sécurité est déployé dans ce conteneur de side-car. C'est ainsi que l' GuardDuty on obtient une visibilité sur le comportement d'exécution des conteneurs dans les tâches Amazon ECS.
Runtime Monitoring prend en charge la gestion de l'agent de sécurité pour vos clusters Amazon ECS (AWS Fargate) uniquement via GuardDuty. La gestion manuelle de l'agent de sécurité sur les clusters Amazon ECS n'est pas prise en charge.
Avant de configurer vos comptes, déterminez si vous souhaitez surveiller le comportement d'exécution de tous les conteneurs appartenant aux tâches Amazon ECS, ou si vous souhaitez inclure ou exclure des ressources spécifiques. Envisagez les approches suivantes.
**Surveillez tous les clusters Amazon ECS**
Cette approche vous aidera à détecter les menaces de sécurité potentielles au niveau du compte. Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour tous les clusters Amazon ECS appartenant à votre compte.
**Exclure des clusters Amazon ECS spécifiques**
Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour la plupart des clusters Amazon ECS de votre AWS environnement, mais en exclure certains. Cette approche vous permet de surveiller le comportement d'exécution des conteneurs au sein de vos tâches Amazon ECS au niveau du cluster. Par exemple, le nombre de clusters Amazon ECS appartenant à votre compte est de 1 000. Toutefois, vous ne souhaitez surveiller que 930 clusters Amazon ECS.
Cette approche vous oblige à ajouter une GuardDuty balise prédéfinie aux clusters Amazon ECS que vous ne souhaitez pas surveiller. Pour de plus amples informations, veuillez consulter [Gestion de l'agent de sécurité automatisé pour Fargate (Amazon ECS uniquement)](managing-gdu-agent-ecs-automated.md).
**Inclure des clusters Amazon ECS spécifiques**
Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour certains clusters Amazon ECS. Cette approche vous permet de surveiller le comportement d'exécution des conteneurs au sein de vos tâches Amazon ECS au niveau du cluster. Par exemple, le nombre de clusters Amazon ECS appartenant à votre compte est de 1 000. Toutefois, vous ne souhaitez surveiller que 230 clusters.
Cette approche nécessite que vous ajoutiez une GuardDuty balise prédéfinie aux clusters Amazon ECS que vous souhaitez surveiller. Pour de plus amples informations, veuillez consulter [Gestion de l'agent de sécurité automatisé pour Fargate (Amazon ECS uniquement)](managing-gdu-agent-ecs-automated.md).
# Après avoir activé la surveillance du temps d'exécution
Après avoir activé la surveillance du temps d'exécution et installé l'agent de GuardDuty sécurité sur votre compte autonome ou sur plusieurs comptes membres, vous pouvez suivre les étapes suivantes pour vous assurer que le paramètre du plan de protection fonctionne comme prévu et surveiller la quantité de mémoire et de processeur utilisée par l'agent GuardDuty de sécurité.
**Évaluez la couverture d'exécution**
GuardDuty vous recommande d'évaluer en permanence l'état de couverture de la ressource sur laquelle vous avez déployé l'agent de sécurité. L'état de couverture peut être **sain** ou **malsain**. Un état de couverture **sain** indique que la ressource correspondante GuardDuty reçoit les événements d'exécution en cas d'activité au niveau du système d'exploitation.
Lorsque l'état de couverture devient **sain** pour la ressource, elle GuardDuty est en mesure de recevoir les événements d'exécution et de les analyser pour détecter les menaces. Lorsque GuardDuty détecte une menace de sécurité potentielle dans les tâches ou les applications exécutées dans vos instances et charges de travail de conteneur, GuardDuty génère[GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md).
Vous pouvez également configurer un Amazon EventBridge (EventBridge) pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Santé** ou autre. Pour de plus amples informations, veuillez consulter [Examen des statistiques de couverture du temps d'exécution et résolution des problèmes](runtime-monitoring-assessing-coverage.md).
**Configuration de la surveillance du processeur et de la mémoire pour l'agent GuardDuty de sécurité**
Après avoir vérifié que l'état de couverture est « **sain** », vous pouvez évaluer les performances de l'agent de sécurité pour votre type de ressource. Pour les clusters Amazon EKS dotés de la version 1.5 ou supérieure de l'agent de sécurité, GuardDuty prend en charge la configuration des paramètres de l'agent de sécurité (module complémentaire). Pour de plus amples informations, veuillez consulter [Configuration de la surveillance du processeur et de la mémoire](runtime-monitoring-setting-cpu-mem-monitoring.md).
**GuardDuty détecte les menaces potentielles**
Dès qu'il GuardDuty commence à recevoir les événements d'exécution de votre ressource, il commence à analyser ces événements. Lorsqu'une menace de sécurité potentielle est GuardDuty détectée dans l'une de vos instances Amazon EC2, vos clusters Amazon ECS ou vos clusters Amazon EKS, elle en génère une ou plusieurs. [GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md) Vous pouvez accéder aux détails de la recherche pour consulter les détails des ressources concernées.