Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona
Per utilizzare Runtime Monitoring, è necessario abilitare il Runtime Monitoring e quindi gestire il security agent. GuardDuty L'elenco seguente illustra questo processo in due fasi:
1. **Abilita il monitoraggio del runtime** per il tuo account in modo che GuardDuty possa accettare gli eventi di runtime che riceve dalle tue istanze Amazon EC2, dai cluster Amazon ECS e dai carichi di lavoro Amazon EKS.
1. **Gestisci GuardDuty l'agente** per le singole risorse di cui desideri monitorare il comportamento di runtime. In base al tipo di risorsa, puoi scegliere di:
+ Utilizza la configurazione automatizzata degli agenti, che GuardDuty gestisce la distribuzione degli agenti e automaticamente un endpoint Amazon Virtual Private Cloud (Amazon VPC).
+ Installa l'agente manualmente, il che richiede la creazione dell'endpoint VPC come prerequisito.
L'agente di sicurezza utilizza l'endpoint VPC per fornire eventi GuardDuty, garantendo che i dati rimangano all'interno della rete. AWS Questo approccio migliora la sicurezza e consente di GuardDuty monitorare e analizzare il comportamento di runtime tra le tue risorse (Amazon EKS, Amazon EC2 AWS Fargate e -Amazon ECS). GuardDuty utilizza i [ruoli di identità dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles) che autenticano il security agent per ogni tipo di risorsa per inviare gli eventi di runtime associati all'endpoint VPC.
**Nota**
GuardDuty non rende gli eventi di runtime accessibili all'utente.
Quando gestisci l'agente di sicurezza (manualmente o tramite GuardDuty) in EKS Runtime Monitoring o Runtime Monitoring for EC2 e GuardDuty viene attualmente distribuito su un'istanza Amazon EC2 e riceve i dati [Tipi di eventi di runtime raccolti](runtime-monitoring-collected-events.md) da questa istanza, non GuardDuty ti verrà addebitato alcun costo per Account AWS l'analisi dei log di flusso VPC da questa istanza Amazon EC2. Questo aiuta a GuardDuty evitare il doppio dei costi di utilizzo dell'account.
I seguenti argomenti spiegano come l'attivazione del Runtime Monitoring e la gestione del GuardDuty Security Agent funzionino in modo diverso per ogni tipo di risorsa.
**Topics**
+ [Come funziona il monitoraggio del runtime con i cluster Amazon EKS](how-runtime-monitoring-works-eks.md)
+ [Come funziona il monitoraggio del runtime con le istanze Amazon EC2](how-runtime-monitoring-works-ec2.md)
+ [Come funziona il monitoraggio del runtime con Fargate (solo Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [Dopo aver abilitato il monitoraggio del runtime](runtime-monitoring-after-configuration.md)
# Come funziona il monitoraggio del runtime con i cluster Amazon EKS
Runtime Monitoring utilizza un [componente aggiuntivo EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), chiamato anche agente di GuardDuty sicurezza. Dopo che l'agente GuardDuty di sicurezza è stato distribuito sui cluster EKS, GuardDuty è in grado di ricevere eventi di runtime per questi cluster EKS.
**Note**
Runtime Monitoring **supporta** i cluster Amazon EKS in esecuzione su istanze Amazon EC2 e Amazon EKS Auto Mode.
Runtime Monitoring **non supporta** i cluster Amazon EKS con Amazon EKS Hybrid Nodes e quelli in AWS Fargate esecuzione.
Per informazioni su queste funzionalità di Amazon EKS, consulta [Cos'è Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) nella **Guida per l'utente di Amazon EKS**.
Puoi monitorare gli eventi di runtime dei tuoi cluster Amazon EKS a livello di account o di cluster. Puoi gestire l'agente GuardDuty di sicurezza solo per i cluster Amazon EKS che desideri monitorare per il rilevamento delle minacce. Puoi gestire l'agente GuardDuty di sicurezza manualmente o consentendone la gestione GuardDuty per tuo conto, utilizzando la configurazione automatizzata dell'agente.
Quando utilizzi l'approccio di configurazione automatizzata degli agenti GuardDuty per consentire di gestire l'implementazione del security agent per tuo conto, questo **creerà automaticamente un endpoint Amazon Virtual Private Cloud (Amazon VPC)**. Il security agent fornisce gli eventi di runtime GuardDuty utilizzando questo endpoint Amazon VPC.
Oltre all'endpoint VPC, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la [gamma VPC CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.
**Note**
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
Utilizzo di un VPC centralizzato con agente automatizzato: quando GuardDuty utilizzi la configurazione automatica degli agenti per un tipo di risorsa GuardDuty , creerà un endpoint VPC per tuo conto per tutti. VPCs Ciò include il VPC e lo spoke centralizzati. VPCs GuardDuty non supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta [Interface VPC endpoint nel *Whitepaper - Creazione di un'infrastruttura di AWS rete* multi-VPC](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) scalabile e sicura. AWS
## Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS
Prima del 13 settembre 2023, era possibile configurare GuardDuty la gestione del security agent a livello di account. Questo comportamento indicava che, per impostazione predefinita, GuardDuty gestirà il security agent su tutti i cluster EKS che appartengono a un Account AWS. Ora GuardDuty fornisce una funzionalità granulare per aiutarvi a scegliere i cluster EKS in cui desiderate gestire l'agente GuardDuty di sicurezza.
Se scegli [Gestisci l'agente GuardDuty di sicurezza manualmente](#eks-runtime-using-gdu-agent-manually), puoi comunque selezionare i cluster EKS che desideri monitorare. Tuttavia, per gestire l'agente manualmente, la creazione di un endpoint Amazon VPC per il tuo Account AWS è un prerequisito.
**Nota**
Indipendentemente dall'approccio utilizzato per gestire l'agente di GuardDuty sicurezza, EKS Runtime Monitoring è sempre abilitato a livello di account.
**Topics**
+ [Gestisci l'agente di sicurezza tramite GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Gestisci l'agente GuardDuty di sicurezza manualmente](#eks-runtime-using-gdu-agent-manually)
### Gestisci l'agente di sicurezza tramite GuardDuty
GuardDuty implementa e gestisce il security agent per tuo conto. Puoi monitorare i cluster EKS nel tuo account in qualsiasi momento utilizzando uno degli approcci seguenti.
**Topics**
+ [Monitora tutti i cluster EKS](#gdu-security-agent-all-eks-custers)
+ [Esclude i cluster EKS selettivi](#eks-runtime-using-exclusion-tags)
+ [Includi cluster EKS selettivi](#eks-runtime-using-inclusion-tags)
#### Monitora tutti i cluster EKS
Utilizza questo approccio quando desideri GuardDuty implementare e gestire l'agente di sicurezza per tutti i cluster EKS del tuo account. Per impostazione predefinita, GuardDuty implementerà il security agent anche su un cluster EKS potenzialmente nuovo creato nel tuo account.
**Impatto dell'utilizzo di questo approccio**
+ GuardDuty crea un endpoint Amazon Virtual Private Cloud (Amazon VPC) attraverso il quale il GuardDuty security agent consegna gli eventi di runtime. GuardDuty Non sono previsti costi aggiuntivi per la creazione dell'endpoint Amazon VPC quando si gestisce il security agent tramite. GuardDuty
+ È necessario che il nodo di lavoro disponga di un percorso di rete valido verso un endpoint `guardduty-data` VPC attivo. GuardDuty implementa il security agent sui tuoi cluster EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordinerà l'implementazione dell'agente di sicurezza sui nodi all'interno dei cluster EKS.
+ In base alla disponibilità IP, GuardDuty seleziona la sottorete per creare un endpoint VPC. Se utilizzi topologie di rete avanzate, devi verificare che la connettività sia possibile.
#### Esclude i cluster EKS selettivi
Utilizza questo approccio quando desideri gestire l'agente GuardDuty di sicurezza per tutti i cluster EKS del tuo account ma escludere i cluster EKS selettivi. Questo metodo utilizza un approccio[1](#eks-runtime-inclusion-exclusion-tags) basato su tag in cui puoi assegnare tag ai cluster EKS per i quali non desideri ricevere gli eventi di runtime. La coppia chiave-valore del tag predefinito deve essere `GuardDutyManaged`-`false`.
**Impatto dell'utilizzo di questo approccio**
Questo approccio richiede l'attivazione della gestione automatica degli GuardDuty agenti solo dopo aver aggiunto tag ai cluster EKS che si desidera escludere dal monitoraggio.
Pertanto, [Gestisci l'agente di sicurezza tramite GuardDuty](#eks-runtime-using-gdu-agent-management-auto) incide anche su questo approccio. Quando aggiungi tag prima di abilitare la gestione automatica degli GuardDuty agenti, non GuardDuty distribuirà né gestirà l'agente di sicurezza per i cluster EKS esclusi dal monitoraggio.
**Considerazioni**
+ È necessario aggiungere la coppia chiave-valore del tag come`GuardDutyManaged`: `false` per i cluster EKS selettivi prima di abilitare la configurazione automatizzata dell'agente, altrimenti, l'agente di GuardDuty sicurezza verrà distribuito su tutti i cluster EKS fino a quando non si utilizza il tag.
+ È necessario fare in modo che i tag vengano modificati solo da identità affidabili.
**Importante**
Gestisci le autorizzazioni per modificare il valore del tag `GuardDutyManaged` per il cluster EKS utilizzando le policy di controllo dei servizi o le policy IAM. *Per ulteriori informazioni, consulta [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l'AWS Organizations utente* o [Control access to AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella IAM User Guide.*
+ Assicurati di aggiungere la coppia chiave-valore `GuardDutyManaged`-`false` al momento della creazione di un cluster EKS potenzialmente nuovo che non desideri monitorare.
+ La considerazione specificata per [Monitora tutti i cluster EKS](#gdu-security-agent-all-eks-custers) vale anche per questo approccio.
#### Includi cluster EKS selettivi
Utilizza questo approccio quando desideri GuardDuty distribuire e gestire gli aggiornamenti del security agent solo per i cluster EKS selettivi del tuo account. Questo metodo utilizza un approccio[1](#eks-runtime-inclusion-exclusion-tags) basato su tag in cui puoi assegnare tag al cluster EKS per il quale desideri ricevere gli eventi di runtime.
**Impatto dell'utilizzo di questo approccio**
+ Utilizzando i tag di inclusione, GuardDuty implementerà e gestirà automaticamente il security agent solo per i cluster EKS selettivi contrassegnati con `GuardDutyManaged` - `true` come coppia chiave-valore.
+ L'utilizzo di questo approccio avrà lo stesso impatto specificato per [Monitora tutti i cluster EKS](#gdu-security-agent-all-eks-custers).
**Considerazioni**
+ Se il valore del tag `GuardDutyManaged` non è impostato su `true`, il tag di inclusione non funzionerà come previsto e ciò potrebbe influire sul monitoraggio del cluster EKS.
+ Per garantire il monitoraggio dei cluster EKS selettivi, è necessario fare in modo che i tag vengano modificati solo da identità affidabili.
**Importante**
Gestisci le autorizzazioni per modificare il valore del tag `GuardDutyManaged` per il cluster EKS utilizzando le policy di controllo dei servizi o le policy IAM. *Per ulteriori informazioni, consulta [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l'AWS Organizations utente* o [Control access to AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella IAM User Guide.*
+ Assicurati di aggiungere la coppia chiave-valore `GuardDutyManaged`-`false` al momento della creazione di un cluster EKS potenzialmente nuovo che non desideri monitorare.
+ La considerazione specificata per [Monitora tutti i cluster EKS](#gdu-security-agent-all-eks-custers) vale anche per questo approccio.
1 Per ulteriori informazioni su come assegnare tag ai cluster EKS selettivi, consulta [Assegnazione di tag alle risorse Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) nella **Guida per l'utente di Amazon EKS**.
### Gestisci l'agente GuardDuty di sicurezza manualmente
Utilizza questo approccio quando desideri implementare e gestire manualmente il GuardDuty security agent su tutti i cluster EKS. Assicurati che il monitoraggio del runtime EKS sia abilitato per i tuoi account. L'agente GuardDuty di sicurezza potrebbe non funzionare come previsto se non abiliti EKS Runtime Monitoring.
**Impatto dell'utilizzo di questo approccio**
Dovrete coordinare l'implementazione del GuardDuty security agent all'interno dei cluster EKS su tutti gli account e Regioni AWS laddove questa funzionalità sia disponibile. Sarà inoltre necessario aggiornare la versione dell'agente quando viene GuardDuty rilasciata. Per ulteriori informazioni sulle versioni degli agenti per EKS, consulta[GuardDuty versioni degli agenti di sicurezza per le risorse Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Considerazioni**
È necessario supportare un flusso di dati sicuro monitorando e risolvendo al contempo le lacune di copertura man mano che nuovi cluster e carichi di lavoro vengono continuamente implementati.
# Come funziona il monitoraggio del runtime con le istanze Amazon EC2
Le tue istanze Amazon EC2 possono eseguire diversi tipi di applicazioni e carichi di lavoro nel tuo ambiente. AWS Quando abiliti il monitoraggio del runtime e gestisci l'agente GuardDuty di sicurezza, ti GuardDuty aiuta a rilevare le minacce nelle istanze Amazon EC2 esistenti e in quelle potenzialmente nuove. Questa funzionalità supporta anche le istanze Amazon EC2 gestite da Amazon ECS. Per ulteriori informazioni, consulta il supporto delle [istanze gestite](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html) in Guardduty.
**Nota**
Il monitoraggio del runtime non supporta le applicazioni in esecuzione su [Amazon ECS Managed Instances.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)
L'abilitazione del monitoraggio del runtime consente GuardDuty di utilizzare gli eventi di runtime dei processi attualmente in esecuzione e dei nuovi processi all'interno delle istanze Amazon EC2. GuardDuty richiede un agente di sicurezza a cui inviare gli eventi di runtime dall'istanza EC2 a. GuardDuty
Per le istanze Amazon EC2, il GuardDuty security agent opera a livello di istanza. Puoi decidere se monitorare tutte le istanze Amazon EC2 o solo alcune istanze Amazon EC2 nel tuo account. Se desideri gestire istanze selettive, l'agente di sicurezza è necessario solo per queste istanze.
GuardDuty può anche utilizzare eventi di runtime da nuove attività e attività esistenti in esecuzione in istanze Amazon EC2 all'interno di cluster Amazon ECS.
Per installare l'agente GuardDuty di sicurezza, Runtime Monitoring offre le seguenti due opzioni:
+ [Utilizza la configurazione automatica degli agenti (scelta consigliata)](#use-automated-agent-config-ec2), oppure
+ [Gestisci l'agente di sicurezza manualmente](#ec2-security-agent-option2-manual)
## Utilizza la configurazione automatica degli agenti tramite GuardDuty (consigliato)
Utilizza la configurazione automatizzata dell'agente che consente GuardDuty di installare l'agente di sicurezza sulle tue istanze Amazon EC2 per tuo conto. GuardDuty gestisce anche gli aggiornamenti del security agent.
Per impostazione predefinita, GuardDuty installa il security agent su tutte le istanze del tuo account. Se desideri GuardDuty installare e gestire il security agent solo per istanze EC2 selezionate, aggiungi tag di inclusione o esclusione alle tue istanze EC2, se necessario.
A volte, potresti non voler monitorare gli eventi di runtime per tutte le istanze Amazon EC2 che appartengono al tuo account. Nei casi in cui desideri monitorare gli eventi di runtime per un numero limitato di istanze, aggiungi un tag di inclusione come`GuardDutyManaged`: `true` a queste istanze selezionate. A partire dalla disponibilità della configurazione automatizzata degli agenti per Amazon EC2, se l'istanza EC2 ha un tag di inclusione (`GuardDutyManaged`:`true`), GuardDuty rispetterà il tag e gestirà il security agent per le istanze selezionate anche quando non abiliti esplicitamente la configurazione automatica dell'agente.
D'altra parte, se esiste un numero limitato di istanze EC2 per le quali non desideri monitorare gli eventi di runtime, aggiungi un tag di esclusione (:) `GuardDutyManaged` a queste istanze selezionate. `false` GuardDuty rispetterà il tag di esclusione **non installando **né**** gestendo il security agent per queste risorse EC2.
### Impatto
Quando utilizzi la configurazione automatizzata degli agenti in un'organizzazione Account AWS o in un'organizzazione, autorizzi GuardDuty a eseguire le seguenti operazioni per tuo conto:
+ GuardDuty crea un'associazione SSM per tutte le istanze Amazon EC2 gestite da SSM e visualizzate **in Fleet** Manager nella console. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Utilizzo dei tag di inclusione con la configurazione automatica dell'agente disabilitata: dopo aver abilitato il Runtime Monitoring, quando non abiliti la configurazione automatica dell'agente ma aggiungi il tag di inclusione alla tua istanza Amazon EC2, significa che stai autorizzando GuardDuty a gestire il security agent per tuo conto. L'associazione SSM installerà quindi l'agente di sicurezza in ogni istanza che presenta il tag di inclusione (:)`GuardDutyManaged`. `true`
+ Se abiliti la configurazione automatica dell'agente, l'associazione SSM installerà quindi il security agent in tutte le istanze EC2 che appartengono al tuo account.
+ Utilizzo dei tag di esclusione con la configurazione automatica degli agenti: prima di abilitare la configurazione automatica degli agenti, quando aggiungi un tag di esclusione alla tua istanza Amazon EC2, significa che stai GuardDuty autorizzando a impedire l'installazione e la gestione del security agent per l'istanza selezionata.
Ora, quando abiliti la configurazione automatizzata dell'agente, l'associazione SSM installerà e gestirà l'agente di sicurezza in tutte le istanze EC2 ad eccezione di quelle contrassegnate con il tag di esclusione.
+ GuardDuty crea endpoint VPC in tutti i VPC, compresi i VPC condivisi, purché in quel VPC sia presente almeno un'istanza Linux EC2 che non si trovi nello stato di terminazione o di chiusura dell'istanza. Ciò include il VPC e lo spoke centralizzati. VPCs GuardDuty non supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta [Interface VPC endpoint nel *Whitepaper - Creazione di un'infrastruttura di AWS rete* multi-VPC](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) scalabile e sicura. AWS
Per informazioni sui diversi stati delle istanze, consulta il [ciclo di vita dell'istanza nella Guida](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html) per l'utente di *Amazon EC2*.
GuardDuty supporta anche. [Utilizzo di un VPC condiviso con Runtime Monitoring](runtime-monitoring-shared-vpc.md) Dopo aver considerato tutti i prerequisiti per l'organizzazione Account AWS, GuardDuty utilizzerà il VPC condiviso per ricevere eventi di runtime.
**Nota**
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
+ Oltre all'endpoint VPC, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la [gamma VPC CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.
## Gestisci l'agente di sicurezza manualmente
Esistono due modi per gestire manualmente l'agente di sicurezza per Amazon EC2:
+ Utilizza i documenti GuardDuty gestiti AWS Systems Manager per installare l'agente di sicurezza sulle tue istanze Amazon EC2 che sono già gestite tramite SSM.
Ogni volta che avvii una nuova istanza Amazon EC2, assicurati che sia abilitata SSM.
+ Usa gli script RPM Package Manager (RPM) per installare il security agent sulle tue istanze Amazon EC2, indipendentemente dal fatto che siano gestite tramite SSM o meno.
## Approfondimenti
Per iniziare a utilizzare la configurazione di Runtime Monitoring per monitorare le istanze Amazon EC2, consulta. [Prerequisiti per il supporto delle istanze Amazon EC2](prereq-runtime-monitoring-ec2-support.md)
# Come funziona il monitoraggio del runtime con Fargate (solo Amazon ECS)
Quando abiliti il monitoraggio del runtime, GuardDuty diventa pronto a consumare gli eventi di runtime di un'attività. Queste attività vengono eseguite all'interno dei cluster Amazon ECS, che a loro volta vengono eseguiti sulle AWS Fargate istanze. GuardDuty Per ricevere questi eventi di runtime, devi utilizzare il security agent dedicato e completamente gestito.
**Nota**
Il monitoraggio del runtime non supporta le applicazioni in esecuzione su [Amazon ECS Managed Instances.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)
Puoi consentire la gestione del GuardDuty security agent GuardDuty per tuo conto, utilizzando la configurazione automatizzata dell'agente per un AWS account o un'organizzazione. GuardDuty inizierà a distribuire il security agent nelle nuove attività di Fargate che vengono lanciate nei cluster Amazon ECS. L'elenco seguente specifica cosa aspettarsi quando si abilita il security agent. GuardDuty **Impatto dell'attivazione del GuardDuty Security Agent**
**GuardDuty crea un endpoint e un gruppo di sicurezza su cloud privato virtuale (VPC)**
+ Quando si distribuisce il GuardDuty security agent, GuardDuty verrà creato un endpoint VPC attraverso il quale il security agent consegna gli eventi di runtime. GuardDuty
Oltre all'endpoint VPC, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la [gamma VPC CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.
+ Utilizzo di un VPC centralizzato con agente automatizzato: quando GuardDuty utilizzi la configurazione automatica degli agenti per un tipo di risorsa GuardDuty , creerà un endpoint VPC per tuo conto per tutti. VPCs Ciò include il VPC e lo spoke centralizzati. VPCs GuardDutynon supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta [Interface VPC endpoint nel *Whitepaper - Creazione di un'infrastruttura di AWS rete* multi-VPC](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) scalabile e sicura. AWS
+ Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
**GuardDuty aggiunge un contenitore sidecar**
Per una nuova attività o servizio Fargate che inizia a funzionare, un GuardDuty container (sidecar) si collega a ciascun contenitore all'interno dell'attività Amazon ECS Fargate. L'agente di GuardDuty sicurezza viene eseguito all'interno del contenitore collegato. GuardDuty Questo aiuta GuardDuty a raccogliere gli eventi di runtime di ogni contenitore in esecuzione nell'ambito di queste attività.
L'immagine del contenitore GuardDuty sidecar è archiviata in Amazon Elastic Container Registry (Amazon ECR), con i relativi livelli di immagine archiviati in Amazon S3. Quando l'attività inizia, deve estrarre questa immagine da ECR. A seconda della configurazione di rete, potrebbero essere necessarie impostazioni specifiche per garantire l'accesso sia a ECR che a S3. Ad esempio, se utilizzi gruppi di sicurezza con accesso limitato, dovrai consentire l'accesso all'elenco dei prefissi gestiti di S3. Per ulteriori informazioni su come effettuare tale operazione, consulta [Prerequisiti per l'accesso all'immagine del contenitore](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).
Quando si avvia un'attività Fargate, se il GuardDuty contenitore (sidecar) non è in grado di avviarsi in uno stato integro, il Runtime Monitoring è progettato per non impedire l'esecuzione delle attività.
Per impostazione predefinita, un'attività Fargate è immutabile. GuardDuty non distribuirà il sidecar quando un'attività è già in esecuzione. Se desideri monitorare un contenitore in un'attività già in esecuzione, puoi interrompere l'attività e riavviarla.
## Approcci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate
Runtime Monitoring ti offre la possibilità di rilevare potenziali minacce alla sicurezza su tutti i cluster Amazon ECS (a livello di account) o sui cluster selettivi (a livello di cluster) del tuo account. Quando abiliti la configurazione automatizzata degli agenti per ogni attività di Amazon ECS Fargate che verrà eseguita GuardDuty , aggiungerà un contenitore secondario per ogni carico di lavoro del container all'interno di tale attività. L'agente GuardDuty di sicurezza viene distribuito in questo contenitore secondario. In questo modo si GuardDuty ottiene visibilità sul comportamento di runtime dei contenitori all'interno delle attività di Amazon ECS.
Runtime Monitoring supporta la gestione dell'agente di sicurezza per i cluster Amazon ECS (AWS Fargate) solo tramite. GuardDuty Non è disponibile alcun supporto per la gestione manuale del security agent sui cluster Amazon ECS.
Prima di configurare i tuoi account, valuta se desideri monitorare il comportamento di runtime di tutti i contenitori che appartengono alle attività di Amazon ECS o includere o escludere risorse specifiche. Prendi in considerazione i seguenti approcci.
**Monitoraggio per tutti i cluster Amazon ECS**
Questo approccio ti aiuterà a rilevare potenziali minacce alla sicurezza a livello di account. Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per tutti i cluster Amazon ECS che appartengono al tuo account.
**Escludi cluster Amazon ECS specifici**
Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per la maggior parte dei cluster Amazon ECS nel tuo AWS ambiente ma escluderne alcuni. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue attività Amazon ECS a livello di cluster. Ad esempio, il numero di cluster Amazon ECS che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 930 cluster Amazon ECS.
Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai cluster Amazon ECS che non desideri monitorare. Per ulteriori informazioni, consulta [Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).
**Includi cluster Amazon ECS specifici**
Utilizza questo approccio quando desideri GuardDuty rilevare potenziali minacce alla sicurezza per alcuni cluster Amazon ECS. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue attività Amazon ECS a livello di cluster. Ad esempio, il numero di cluster Amazon ECS che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 230 cluster.
Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai cluster Amazon ECS che desideri monitorare. Per ulteriori informazioni, consulta [Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)](managing-gdu-agent-ecs-automated.md).
# Dopo aver abilitato il monitoraggio del runtime
Dopo aver abilitato il Runtime Monitoring e installato il GuardDuty Security Agent nel tuo account standalone o negli account con più membri, puoi eseguire le seguenti operazioni per assicurarti che l'impostazione del piano di protezione funzioni come previsto e monitorare la quantità di memoria e CPU utilizzata dal GuardDuty Security Agent.
**Valuta la copertura del runtime**
GuardDuty consiglia di valutare continuamente lo stato di copertura della risorsa in cui è stato distribuito il security agent. Lo stato della copertura potrebbe essere Inintegro o ****Insalubre****. Uno stato di copertura **integro** indica che GuardDuty sta ricevendo gli eventi di runtime dalla risorsa corrispondente quando è in corso un'attività a livello di sistema operativo.
Quando lo stato di copertura diventa **Inattivo** per la risorsa, GuardDuty è in grado di ricevere gli eventi di runtime e analizzarli per il rilevamento delle minacce. Quando GuardDuty rileva una potenziale minaccia alla sicurezza nelle attività o nelle applicazioni in esecuzione nei carichi di lavoro e nelle istanze del container, genera. GuardDuty [GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md)
Puoi anche configurare un Amazon EventBridge (EventBridge) per ricevere una notifica quando lo stato della copertura cambia da **Insalutare a **Healthy**** e altro. Per ulteriori informazioni, consulta [Revisione delle statistiche sulla copertura del runtime e risoluzione dei problemi](runtime-monitoring-assessing-coverage.md).
**Configura il monitoraggio della CPU e della memoria per il GuardDuty security agent**
Dopo aver verificato che lo stato di copertura risulti **integro**, puoi valutare le prestazioni del security agent per il tuo tipo di risorsa. Per i cluster Amazon EKS con la release Security Agent v1.5 o successiva, GuardDuty supporta la configurazione dei parametri del security agent (aggiuntivo). Per ulteriori informazioni, consulta [Configurazione del monitoraggio della CPU e della memoria](runtime-monitoring-setting-cpu-mem-monitoring.md).
**GuardDuty rileva potenziali minacce**
Quando GuardDuty inizia a ricevere gli eventi di runtime della risorsa, inizia ad analizzarli. Quando GuardDuty rileva una potenziale minaccia alla sicurezza in una delle tue istanze Amazon EC2, nei cluster Amazon ECS o nei cluster Amazon EKS, ne genera una o più. [GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md) Puoi accedere ai dettagli dei risultati per visualizzare i dettagli delle risorse interessate.