Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Cara kerjanya
Untuk menggunakan Runtime Monitoring, Anda harus mengaktifkan Runtime Monitoring dan kemudian mengelola agen GuardDuty keamanan. Daftar berikut menjelaskan proses dua langkah ini:
1. **Aktifkan Runtime Monitoring** untuk akun Anda sehingga GuardDuty dapat menerima peristiwa runtime yang diterimanya dari instans Amazon EC2, kluster Amazon ECS, dan beban kerja Amazon EKS.
1. **Kelola GuardDuty agen** untuk sumber daya individual yang ingin Anda pantau perilaku runtime. Berdasarkan jenis sumber daya, Anda dapat memilih untuk:
+ Gunakan konfigurasi agen otomatis, tempat GuardDuty mengelola penyebaran agen dan secara otomatis titik akhir Amazon Virtual Private Cloud (Amazon VPC).
+ Instal agen secara manual, yang mengharuskan Anda untuk membuat titik akhir VPC sebagai prasyarat.
Agen keamanan menggunakan titik akhir VPC untuk mengirimkan acara GuardDuty, memastikan bahwa data tetap berada di dalam jaringan. AWS Pendekatan ini meningkatkan keamanan dan memungkinkan GuardDuty untuk memantau dan menganalisis perilaku runtime di seluruh sumber daya Anda (Amazon EKS, Amazon EC2, AWS Fargate dan -Amazon ECS). GuardDuty menggunakan [peran identitas Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles) yang mengautentikasi agen keamanan untuk setiap jenis sumber daya untuk mengirim peristiwa runtime terkait ke titik akhir VPC.
**catatan**
GuardDuty tidak membuat acara runtime dapat diakses oleh Anda.
Saat Anda mengelola agen keamanan (baik secara manual atau melalui GuardDuty) di EKS Runtime Monitoring atau Runtime Monitoring untuk instans EC2, dan saat GuardDuty ini digunakan pada instans Amazon EC2 dan menerima [Jenis acara runtime yang dikumpulkan](runtime-monitoring-collected-events.md) dari instance ini GuardDuty , Anda tidak akan membebankan biaya Akun AWS untuk analisis log aliran VPC dari instans Amazon EC2 ini. Ini membantu GuardDuty menghindari biaya penggunaan ganda di akun.
Topik berikut menjelaskan cara mengaktifkan Runtime Monitoring dan mengelola agen GuardDuty keamanan bekerja secara berbeda untuk setiap jenis sumber daya.
**Topics**
+ [Cara kerja Pemantauan Runtime dengan klaster Amazon EKS](how-runtime-monitoring-works-eks.md)
+ [Cara kerja Runtime Monitoring dengan instans Amazon EC2](how-runtime-monitoring-works-ec2.md)
+ [Bagaimana Runtime Monitoring bekerja dengan Fargate (hanya Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Setelah Anda mengaktifkan Runtime Monitoring](runtime-monitoring-after-configuration.md)
# Cara kerja Pemantauan Runtime dengan klaster Amazon EKS
Runtime Monitoring menggunakan [add-on EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), juga disebut sebagai agen GuardDuty keamanan. Setelah agen GuardDuty keamanan diterapkan di kluster EKS Anda, GuardDuty dapat menerima peristiwa runtime untuk kluster EKS ini.
**Catatan**
Runtime Monitoring **mendukung** klaster Amazon EKS yang berjalan di instans Amazon EC2 dan Mode Otomatis Amazon EKS.
Runtime Monitoring **tidak mendukung** klaster Amazon EKS dengan Amazon EKS Hybrid Nodes, dan yang berjalan. AWS Fargate
Untuk informasi tentang fitur Amazon EKS ini, lihat [Apa itu Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) di **Panduan Pengguna Amazon EKS**.
Anda dapat memantau peristiwa runtime kluster Amazon EKS di level akun atau klaster. Anda dapat mengelola agen GuardDuty keamanan hanya untuk kluster Amazon EKS yang ingin Anda pantau untuk deteksi ancaman. Anda dapat mengelola agen GuardDuty keamanan baik secara manual atau dengan mengizinkan GuardDuty untuk mengelolanya atas nama Anda, dengan menggunakan konfigurasi agen Otomatis.
Ketika Anda menggunakan pendekatan konfigurasi agen otomatis GuardDuty untuk memungkinkan mengelola penyebaran agen keamanan atas nama Anda, itu akan secara otomatis **membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC**). Agen keamanan mengirimkan peristiwa runtime GuardDuty dengan menggunakan titik akhir VPC Amazon ini.
Seiring dengan titik akhir VPC, GuardDuty juga membuat grup keamanan baru. Aturan masuk (ingress) mengontrol lalu lintas yang diizinkan untuk mencapai sumber daya, yang terkait dengan grup keamanan. GuardDuty menambahkan aturan masuk yang cocok dengan rentang CIDR VPC untuk sumber daya Anda, dan juga menyesuaikannya saat rentang CIDR berubah. Untuk informasi selengkapnya, lihat [rentang VPC CIDR di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) Pengguna Amazon *VPC*.
**Catatan**
Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.
Bekerja dengan VPC terpusat dengan agen otomatis — Saat Anda GuardDuty menggunakan konfigurasi agen otomatis untuk jenis sumber daya GuardDuty , akan membuat titik akhir VPC atas nama Anda untuk semua. VPCs Ini termasuk VPC terpusat dan bicara. VPCs GuardDuty tidak mendukung pembuatan titik akhir VPC hanya untuk VPC terpusat. Untuk informasi selengkapnya tentang cara kerja VPC terpusat, lihat Endpoint VPC [Antarmuka di Whitepaper - Membangun Infrastruktur Jaringan Multi-VPC AWS](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) *yang* Dapat Diskalakan dan Aman. AWS
## Pendekatan untuk mengelola agen GuardDuty keamanan di cluster Amazon EKS
Sebelum 13 September 2023, Anda dapat mengonfigurasi GuardDuty untuk mengelola agen keamanan di tingkat akun. Perilaku ini menunjukkan bahwa secara default, GuardDuty akan mengelola agen keamanan pada semua kluster EKS milik. Akun AWS Sekarang, GuardDuty berikan kemampuan granular untuk membantu Anda memilih kluster EKS tempat Anda GuardDuty ingin mengelola agen keamanan.
Ketika Anda memilih untuk[Kelola agen GuardDuty keamanan secara manual](#eks-runtime-using-gdu-agent-manually), Anda masih dapat memilih kluster EKS yang ingin Anda pantau. Namun, untuk mengelola agen secara manual, membuat titik akhir VPC Amazon untuk Anda Akun AWS adalah prasyarat.
**catatan**
Terlepas dari pendekatan yang Anda gunakan untuk mengelola agen GuardDuty keamanan, EKS Runtime Monitoring selalu diaktifkan di tingkat akun.
**Topics**
+ [Mengelola agen keamanan melalui GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Kelola agen GuardDuty keamanan secara manual](#eks-runtime-using-gdu-agent-manually)
### Mengelola agen keamanan melalui GuardDuty
GuardDuty menyebarkan dan mengelola agen keamanan atas nama Anda. Kapan saja, Anda dapat memantau kluster EKS di akun Anda dengan menggunakan salah satu pendekatan berikut.
**Topics**
+ [Pantau semua kluster EKS](#gdu-security-agent-all-eks-custers)
+ [Kecualikan kluster EKS selektif](#eks-runtime-using-exclusion-tags)
+ [Sertakan kluster EKS selektif](#eks-runtime-using-inclusion-tags)
#### Pantau semua kluster EKS
Gunakan pendekatan ini ketika Anda GuardDuty ingin menyebarkan dan mengelola agen keamanan untuk semua kluster EKS di akun Anda. Secara default, juga GuardDuty akan menyebarkan agen keamanan pada kluster EKS yang berpotensi baru yang dibuat di akun Anda.
**Dampak menggunakan pendekatan ini**
+ GuardDuty membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC) tempat agen GuardDuty keamanan mengirimkan peristiwa runtime. GuardDuty Tidak ada biaya tambahan untuk pembuatan titik akhir VPC Amazon saat Anda mengelola agen keamanan melalui. GuardDuty
+ Diperlukan bahwa node pekerja Anda memiliki jalur jaringan yang valid ke titik akhir `guardduty-data` VPC yang aktif. GuardDuty menyebarkan agen keamanan di kluster EKS Anda. Amazon Elastic Kubernetes Service (Amazon EKS) akan mengoordinasikan penyebaran agen keamanan pada node dalam cluster EKS.
+ Atas dasar ketersediaan IP, GuardDuty pilih subnet untuk membuat titik akhir VPC. Jika Anda menggunakan topologi jaringan tingkat lanjut, Anda harus memvalidasi bahwa konektivitas dimungkinkan.
#### Kecualikan kluster EKS selektif
Gunakan pendekatan ini ketika Anda ingin mengelola agen keamanan GuardDuty untuk semua kluster EKS di akun Anda tetapi tidak termasuk kluster EKS selektif. Metode ini menggunakan pendekatan berbasis tag [1](#eks-runtime-inclusion-exclusion-tags) di mana Anda dapat menandai cluster EKS yang Anda tidak ingin menerima peristiwa runtime. Tag yang telah ditentukan harus memiliki `GuardDutyManaged` - `false` sebagai pasangan kunci-nilai.
**Dampak menggunakan pendekatan ini**
Pendekatan ini mengharuskan Anda untuk mengaktifkan manajemen otomatis GuardDuty agen hanya setelah menambahkan tag ke kluster EKS yang ingin Anda kecualikan dari pemantauan.
Oleh karena itu, dampaknya ketika Anda [Mengelola agen keamanan melalui GuardDuty](#eks-runtime-using-gdu-agent-management-auto) menerapkan pendekatan ini juga. Saat Anda menambahkan tag sebelum mengaktifkan manajemen otomatis GuardDuty agen, tidak GuardDuty akan menyebarkan atau mengelola agen keamanan untuk kluster EKS yang dikecualikan dari pemantauan.
**Pertimbangan-pertimbangan**
+ Anda harus menambahkan pasangan nilai kunci tag sebagai`GuardDutyManaged`: `false` untuk kluster EKS selektif sebelum mengaktifkan konfigurasi agen Otomatis jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS sampai Anda menggunakan tag.
+ Anda harus mencegah tag diubah, kecuali oleh identitas tepercaya.
**penting**
Kelola izin untuk mengubah nilai `GuardDutyManaged` tag untuk kluster EKS Anda dengan menggunakan kebijakan kontrol layanan atau kebijakan IAM. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna* atau [Kontrol akses ke AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.
+ Untuk cluster EKS yang berpotensi baru yang tidak ingin Anda pantau, pastikan untuk menambahkan pasangan `GuardDutyManaged` - `false` kunci-nilai pada saat membuat cluster EKS ini.
+ Pendekatan ini juga akan memiliki pertimbangan yang sama seperti yang ditentukan untuk[Pantau semua kluster EKS](#gdu-security-agent-all-eks-custers).
#### Sertakan kluster EKS selektif
Gunakan pendekatan ini ketika Anda GuardDuty ingin menyebarkan dan mengelola pembaruan ke agen keamanan hanya untuk kluster EKS selektif di akun Anda. Metode ini menggunakan pendekatan berbasis tag [1](#eks-runtime-inclusion-exclusion-tags) di mana Anda dapat menandai cluster EKS yang ingin Anda terima peristiwa runtime.
**Dampak menggunakan pendekatan ini**
+ Dengan menggunakan tag inklusi, secara otomatis GuardDuty akan menyebarkan dan mengelola agen keamanan hanya untuk kluster EKS selektif yang ditandai dengan `GuardDutyManaged` - `true` sebagai pasangan kunci-nilai.
+ Menggunakan pendekatan ini juga akan memiliki dampak yang sama seperti yang ditentukan untuk[Pantau semua kluster EKS](#gdu-security-agent-all-eks-custers).
**Pertimbangan-pertimbangan**
+ Jika nilai tag tidak disetel ke`true`, `GuardDutyManaged` tag inklusi tidak akan berfungsi seperti yang diharapkan dan ini dapat memengaruhi pemantauan kluster EKS Anda.
+ Untuk memastikan bahwa klaster EKS selektif Anda dipantau, Anda perlu mencegah tag diubah, kecuali oleh identitas tepercaya.
**penting**
Kelola izin untuk mengubah nilai `GuardDutyManaged` tag untuk kluster EKS Anda dengan menggunakan kebijakan kontrol layanan atau kebijakan IAM. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna* atau [Kontrol akses ke AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.
+ Untuk cluster EKS yang berpotensi baru yang tidak ingin Anda pantau, pastikan untuk menambahkan pasangan `GuardDutyManaged` - `false` kunci-nilai pada saat membuat cluster EKS ini.
+ Pendekatan ini juga akan memiliki pertimbangan yang sama seperti yang ditentukan untuk[Pantau semua kluster EKS](#gdu-security-agent-all-eks-custers).
1 Untuk informasi selengkapnya tentang menandai kluster EKS selektif, lihat [Menandai sumber daya Amazon EKS Anda](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) di Panduan Pengguna **Amazon** EKS.
### Kelola agen GuardDuty keamanan secara manual
Gunakan pendekatan ini saat Anda ingin menyebarkan dan mengelola agen GuardDuty keamanan di semua kluster EKS Anda secara manual. Pastikan bahwa EKS Runtime Monitoring diaktifkan untuk akun Anda. Agen GuardDuty keamanan mungkin tidak berfungsi seperti yang diharapkan jika Anda tidak mengaktifkan EKS Runtime Monitoring.
**Dampak menggunakan pendekatan ini**
Anda perlu mengoordinasikan penyebaran agen GuardDuty keamanan dalam kluster EKS Anda di semua akun dan Wilayah AWS di mana fitur ini tersedia. Anda juga perlu memperbarui versi agen saat GuardDuty merilisnya. Untuk informasi selengkapnya tentang versi agen untuk EKS, lihat[GuardDuty versi agen keamanan untuk sumber daya Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Pertimbangan-pertimbangan**
Anda harus mendukung aliran data yang aman sambil memantau dan mengatasi kesenjangan cakupan karena klaster dan beban kerja baru terus digunakan.
# Cara kerja Runtime Monitoring dengan instans Amazon EC2
Instans Amazon EC2 Anda dapat menjalankan beberapa jenis aplikasi dan beban kerja di lingkungan Anda. AWS Saat Anda mengaktifkan Runtime Monitoring dan mengelola agen GuardDuty keamanan, GuardDuty membantu Anda mendeteksi ancaman di instans Amazon EC2 yang ada dan yang berpotensi baru. Fitur ini juga mendukung instans Amazon EC2 yang dikelola Amazon ECS. Untuk selengkapnya lihat [dukungan Instans Terkelola di Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).
**catatan**
Runtime Monitoring tidak mendukung aplikasi yang berjalan di [Instans Terkelola Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
Mengaktifkan Runtime Monitoring akan GuardDuty siap untuk mengkonsumsi peristiwa runtime dari proses yang sedang berjalan dan proses baru dalam instans Amazon EC2. GuardDuty memerlukan agen keamanan untuk mengirim peristiwa runtime dari instans EC2 Anda ke. GuardDuty
Untuk instans Amazon EC2, agen GuardDuty keamanan beroperasi pada tingkat instans. Anda dapat memutuskan apakah Anda ingin memantau semua atau selektif Amazon EC2 instans di akun Anda. Jika Anda ingin mengelola instance selektif, agen keamanan hanya diperlukan untuk instans ini.
GuardDuty juga dapat menggunakan peristiwa runtime dari tugas baru dan tugas yang ada yang berjalan di instans Amazon EC2 dalam kluster Amazon ECS.
Untuk menginstal agen GuardDuty keamanan, Runtime Monitoring menyediakan dua opsi berikut:
+ [Gunakan konfigurasi agen otomatis (disarankan)](#use-automated-agent-config-ec2), atau
+ [Kelola agen keamanan secara manual](#ec2-security-agent-option2-manual)
## Gunakan konfigurasi agen otomatis melalui GuardDuty (disarankan)
Gunakan konfigurasi agen otomatis yang memungkinkan GuardDuty untuk menginstal agen keamanan di instans Amazon EC2 Anda atas nama Anda. GuardDuty juga mengelola pembaruan ke agen keamanan.
Secara default, GuardDuty instal agen keamanan pada semua instans di akun Anda. Jika Anda GuardDuty ingin menginstal dan mengelola agen keamanan hanya untuk instans EC2 yang dipilih, tambahkan tag inklusi atau pengecualian ke instans EC2 Anda, sesuai kebutuhan.
Terkadang, Anda mungkin tidak ingin memantau peristiwa runtime untuk semua instans Amazon EC2 milik akun Anda. Untuk kasus ketika Anda ingin memantau peristiwa runtime untuk sejumlah instance terbatas, tambahkan tag inklusi sebagai`GuardDutyManaged`: `true` ke instance yang dipilih ini. Dimulai dengan ketersediaan konfigurasi agen otomatis untuk Amazon EC2, jika instans EC2 Anda memiliki tag inklusi (`GuardDutyManaged`:`true`), GuardDuty akan menghormati tag dan mengelola agen keamanan untuk instans yang dipilih meskipun Anda tidak secara eksplisit mengaktifkan konfigurasi agen otomatis.
Di sisi lain, jika ada sejumlah instans EC2 yang tidak ingin Anda pantau peristiwa runtime, tambahkan tag pengecualian (`GuardDutyManaged`:`false`) ke instance yang dipilih ini. GuardDuty akan menghormati tag pengecualian dengan **tidak** menginstal **atau** mengelola agen keamanan untuk sumber daya EC2 ini.
### Dampak
Ketika Anda menggunakan konfigurasi agen otomatis dalam suatu Akun AWS atau organisasi, Anda mengizinkan GuardDuty untuk mengambil langkah-langkah berikut atas nama Anda:
+ GuardDuty membuat satu asosiasi SSM untuk semua instans Amazon EC2 Anda yang dikelola SSM dan muncul **di bawah Fleet** Manager di konsol. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Menggunakan tag penyertaan dengan konfigurasi agen otomatis dinonaktifkan — Setelah mengaktifkan Runtime Monitoring, ketika Anda tidak mengaktifkan konfigurasi agen otomatis tetapi menambahkan tag inklusi ke instans Amazon EC2 Anda, itu berarti Anda GuardDuty mengizinkan untuk mengelola agen keamanan atas nama Anda. Asosiasi SSM kemudian akan menginstal agen keamanan di setiap instance yang memiliki tag inklusi (`GuardDutyManaged`:`true`).
+ Jika Anda mengaktifkan konfigurasi agen otomatis — Asosiasi SSM kemudian akan menginstal agen keamanan di semua instans EC2 milik akun Anda.
+ Menggunakan tag pengecualian dengan konfigurasi agen otomatis — Sebelum Anda mengaktifkan konfigurasi agen otomatis, ketika Anda menambahkan tag pengecualian ke instans Amazon EC2 Anda, itu berarti Anda GuardDuty mengizinkan untuk mencegah menginstal dan mengelola agen keamanan untuk instance yang dipilih ini.
Sekarang, ketika Anda mengaktifkan konfigurasi agen otomatis, asosiasi SSM akan menginstal dan mengelola agen keamanan di semua instans EC2 kecuali yang ditandai dengan tag pengecualian.
+ GuardDuty membuat titik akhir VPC di semua VPC, termasuk VPC bersama, selama setidaknya ada satu instans EC2 Linux di VPC yang tidak dalam status instance yang dihentikan atau dimatikan. Ini termasuk VPC terpusat dan bicara. VPCs GuardDuty tidak mendukung pembuatan titik akhir VPC hanya untuk VPC terpusat. Untuk informasi selengkapnya tentang cara kerja VPC terpusat, lihat Endpoint VPC [Antarmuka di Whitepaper - Membangun Infrastruktur Jaringan Multi-VPC AWS](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) *yang* Dapat Diskalakan dan Aman. AWS
Untuk informasi tentang status instans yang berbeda, lihat [Siklus hidup instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) di Panduan Pengguna *Amazon EC2*.
GuardDuty juga mendukung[Menggunakan VPC bersama dengan Runtime Monitoring](runtime-monitoring-shared-vpc.md). Ketika semua prasyarat dipertimbangkan untuk organisasi Anda dan Akun AWS, GuardDuty akan menggunakan VPC bersama untuk menerima acara runtime.
**catatan**
Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.
+ Seiring dengan titik akhir VPC, GuardDuty juga membuat grup keamanan baru. Aturan masuk (ingress) mengontrol lalu lintas yang diizinkan untuk mencapai sumber daya, yang terkait dengan grup keamanan. GuardDuty menambahkan aturan masuk yang cocok dengan rentang CIDR VPC untuk sumber daya Anda, dan juga menyesuaikannya saat rentang CIDR berubah. Untuk informasi selengkapnya, lihat [rentang VPC CIDR di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) Pengguna Amazon *VPC*.
## Kelola agen keamanan secara manual
Ada dua cara untuk mengelola agen keamanan untuk Amazon EC2 secara manual:
+ Gunakan dokumen GuardDuty terkelola AWS Systems Manager untuk menginstal agen keamanan di instans Amazon EC2 Anda yang sudah dikelola SSM.
Setiap kali Anda meluncurkan instans Amazon EC2 baru, pastikan SSM diaktifkan.
+ Gunakan skrip pengelola paket RPM (RPM) untuk menginstal agen keamanan di instans Amazon EC2 Anda, terlepas dari apakah itu dikelola SSM atau tidak.
## Langkah berikutnya
Untuk memulai konfigurasi Runtime Monitoring untuk memantau instans Amazon EC2 Anda, lihat. [Prasyarat untuk dukungan instans Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
# Bagaimana Runtime Monitoring bekerja dengan Fargate (hanya Amazon ECS)
Saat Anda mengaktifkan Runtime Monitoring, GuardDuty menjadi siap untuk mengkonsumsi peristiwa runtime dari tugas. Tugas-tugas ini berjalan dalam kluster Amazon ECS, yang pada gilirannya berjalan pada instance. AWS Fargate GuardDuty Untuk menerima acara runtime ini, Anda harus menggunakan agen keamanan khusus yang dikelola sepenuhnya.
**catatan**
Runtime Monitoring tidak mendukung aplikasi yang berjalan di [Instans Terkelola Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html).
Anda dapat mengizinkan GuardDuty untuk mengelola agen GuardDuty keamanan atas nama Anda, dengan menggunakan konfigurasi agen otomatis untuk AWS akun atau organisasi. GuardDuty akan mulai menyebarkan agen keamanan ke tugas Fargate baru yang diluncurkan di cluster Amazon ECS Anda. Daftar berikut menentukan apa yang diharapkan ketika Anda mengaktifkan agen GuardDuty keamanan.**Dampak memungkinkan agen GuardDuty keamanan**
**GuardDuty membuat titik akhir dan grup keamanan virtual private cloud (VPC)**
+ Saat Anda menerapkan agen GuardDuty keamanan, GuardDuty akan membuat titik akhir VPC tempat agen keamanan mengirimkan peristiwa runtime. GuardDuty
Seiring dengan titik akhir VPC, GuardDuty juga membuat grup keamanan baru. Aturan masuk (ingress) mengontrol lalu lintas yang diizinkan untuk mencapai sumber daya, yang terkait dengan grup keamanan. GuardDuty menambahkan aturan masuk yang cocok dengan rentang CIDR VPC untuk sumber daya Anda, dan juga menyesuaikannya saat rentang CIDR berubah. Untuk informasi selengkapnya, lihat [rentang VPC CIDR di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) Pengguna Amazon *VPC*.
+ Bekerja dengan VPC terpusat dengan agen otomatis — Saat Anda GuardDuty menggunakan konfigurasi agen otomatis untuk jenis sumber daya GuardDuty , akan membuat titik akhir VPC atas nama Anda untuk semua. VPCs Ini termasuk VPC terpusat dan bicara. VPCs GuardDutytidak mendukung pembuatan titik akhir VPC hanya untuk VPC terpusat. Untuk informasi selengkapnya tentang cara kerja VPC terpusat, lihat Endpoint VPC [Antarmuka di Whitepaper - Membangun Infrastruktur Jaringan Multi-VPC AWS](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) *yang* Dapat Diskalakan dan Aman. AWS
+ Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.
**GuardDuty menambahkan wadah sespan**
Untuk tugas atau layanan Fargate baru yang mulai berjalan, GuardDuty kontainer (sespan) menempel pada setiap kontainer dalam tugas Amazon ECS Fargate. Agen GuardDuty keamanan berjalan di dalam GuardDuty wadah terlampir. Ini GuardDuty membantu mengumpulkan peristiwa runtime dari setiap kontainer yang berjalan dalam tugas-tugas ini.
Gambar wadah GuardDuty sespan disimpan di Amazon Elastic Container Registry (Amazon ECR) Registry, dengan lapisan gambarnya disimpan di Amazon S3. Saat tugas Anda dimulai, perlu menarik gambar ini dari ECR. Tergantung pada konfigurasi jaringan Anda, ini mungkin memerlukan pengaturan khusus untuk memastikan akses ke ECR dan S3. Misalnya, jika Anda menggunakan grup keamanan dengan akses terbatas, Anda harus mengizinkan akses ke daftar awalan terkelola S3. Untuk informasi lebih lanjut tentang cara melakukan ini, lihat[Prasyarat untuk akses gambar kontainer](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).
Saat Anda memulai tugas Fargate, jika GuardDuty container (sespan) tidak dapat diluncurkan dalam keadaan sehat, Runtime Monitoring dirancang untuk tidak mencegah tugas berjalan.
Secara default, tugas Fargate tidak dapat diubah. GuardDuty tidak akan menyebarkan sespan saat tugas sudah dalam keadaan berjalan. Jika Anda ingin memantau wadah dalam tugas yang sudah berjalan, Anda dapat menghentikan tugas dan memulainya lagi.
## Pendekatan untuk mengelola agen GuardDuty keamanan di sumber daya Amazon ECS-Fargate
Runtime Monitoring memberi Anda opsi untuk mendeteksi potensi ancaman keamanan pada semua kluster Amazon ECS (tingkat akun) atau cluster selektif (tingkat klaster) di akun Anda. Saat Anda mengaktifkan konfigurasi agen Otomatis untuk setiap tugas Amazon ECS Fargate yang akan berjalan GuardDuty , akan menambahkan wadah sespan untuk setiap beban kerja kontainer dalam tugas tersebut. Agen GuardDuty keamanan akan dikerahkan ke wadah sespan ini. Beginilah cara GuardDuty mendapatkan visibilitas ke dalam perilaku runtime container di dalam tugas Amazon ECS.
Runtime Monitoring mendukung pengelolaan agen keamanan untuk cluster Amazon ECS (AWS Fargate) Anda hanya melalui. GuardDuty Tidak ada dukungan untuk mengelola agen keamanan secara manual di cluster Amazon ECS.
Sebelum mengonfigurasi akun, periksa apakah Anda ingin memantau perilaku runtime semua container yang termasuk dalam tugas Amazon ECS, atau menyertakan atau mengecualikan sumber daya tertentu. Pertimbangkan pendekatan berikut.
**Monitor untuk semua cluster Amazon ECS**
Pendekatan ini akan membantu Anda mendeteksi potensi ancaman keamanan di tingkat akun. Gunakan pendekatan ini saat Anda GuardDuty ingin mendeteksi potensi ancaman keamanan untuk semua kluster Amazon ECS milik akun Anda.
**Kecualikan cluster Amazon ECS tertentu**
Gunakan pendekatan ini saat Anda GuardDuty ingin mendeteksi potensi ancaman keamanan untuk sebagian besar kluster Amazon ECS di AWS lingkungan Anda, tetapi kecualikan beberapa klaster. Pendekatan ini membantu Anda memantau perilaku runtime container dalam tugas Amazon ECS Anda di tingkat klaster. Misalnya, jumlah cluster Amazon ECS milik akun Anda adalah 1000. Namun, Anda hanya ingin memantau 930 cluster Amazon ECS.
Pendekatan ini mengharuskan Anda untuk menambahkan GuardDuty tag yang telah ditentukan sebelumnya ke cluster Amazon ECS yang tidak ingin Anda pantau. Untuk informasi selengkapnya, lihat [Mengelola agen keamanan otomatis untuk Fargate (hanya Amazon ECS)](managing-gdu-agent-ecs-automated.md).
**Sertakan kluster Amazon ECS tertentu**
Gunakan pendekatan ini saat Anda GuardDuty ingin mendeteksi potensi ancaman keamanan untuk beberapa cluster Amazon ECS. Pendekatan ini membantu Anda memantau perilaku runtime container dalam tugas Amazon ECS Anda di tingkat klaster. Misalnya, jumlah cluster Amazon ECS milik akun Anda adalah 1000. Namun, Anda ingin memantau 230 cluster saja.
Pendekatan ini mengharuskan Anda untuk menambahkan GuardDuty tag yang telah ditentukan sebelumnya ke cluster Amazon ECS yang ingin Anda pantau. Untuk informasi selengkapnya, lihat [Mengelola agen keamanan otomatis untuk Fargate (hanya Amazon ECS)](managing-gdu-agent-ecs-automated.md).
# Setelah Anda mengaktifkan Runtime Monitoring
Setelah mengaktifkan Runtime Monitoring dan menginstal agen GuardDuty keamanan di akun mandiri atau beberapa akun anggota, Anda dapat mengambil langkah-langkah berikut untuk memastikan bahwa pengaturan rencana perlindungan berfungsi seperti yang diharapkan, dan memantau berapa banyak memori dan CPU yang digunakan agen GuardDuty keamanan.
**Menilai cakupan runtime**
GuardDuty merekomendasikan Anda untuk terus menilai status cakupan sumber daya tempat Anda menggunakan agen keamanan. Status cakupan bisa **sehat** atau **tidak sehat**. Status cakupan **Sehat** menunjukkan GuardDuty bahwa menerima peristiwa runtime dari sumber daya yang sesuai ketika ada aktivitas tingkat sistem operasi.
Ketika status cakupan menjadi **Sehat** untuk sumber daya, GuardDuty dapat menerima peristiwa runtime dan menganalisisnya untuk deteksi ancaman. Saat GuardDuty mendeteksi potensi ancaman keamanan dalam tugas atau aplikasi yang berjalan di beban kerja dan instance container Anda, hasilkan. GuardDuty [GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md)
Anda juga dapat mengonfigurasi Amazon EventBridge (EventBridge) untuk menerima pemberitahuan ketika status cakupan berubah dari **Tidak Sehat** menjadi **Sehat** dan sebaliknya. Untuk informasi selengkapnya, lihat [Meninjau statistik cakupan runtime dan masalah pemecahan masalah](runtime-monitoring-assessing-coverage.md).
**Mengatur CPU dan pemantauan memori untuk agen GuardDuty keamanan**
Setelah Anda menilai bahwa status cakupan ditampilkan sebagai **Sehat**, Anda dapat mengevaluasi kinerja agen keamanan untuk jenis sumber daya Anda. Untuk kluster Amazon EKS yang memiliki rilis agen keamanan v1.5 atau lebih tinggi, GuardDuty mendukung konfigurasi parameter agen keamanan (add-on). Untuk informasi selengkapnya, lihat [Menyiapkan CPU dan pemantauan memori](runtime-monitoring-setting-cpu-mem-monitoring.md).
**GuardDuty Mendeteksi potensi ancaman**
Saat GuardDuty mulai menerima peristiwa runtime untuk sumber daya Anda, ia mulai menganalisis peristiwa tersebut. Saat GuardDuty mendeteksi potensi ancaman keamanan di instans Amazon EC2, kluster Amazon ECS, atau kluster Amazon EKS, itu menghasilkan satu atau lebih. [GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md) Anda dapat mengakses detail temuan untuk melihat detail sumber daya yang terkena dampak.