# Identificação de comportamentos não autorizados usando o monitoramento de runtime
<a name="ecs-guard-duty-integration"></a>

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

O monitoramento de runtime no GuardDuty protege workloads em execução nas instâncias de contêiner do Fargate e do EC2, monitorando continuamente as atividades de log e rede da AWS para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime usa um agente de segurança do GuardDuty leve e totalmente gerenciado que analisa o comportamento no host, como acesso a arquivos, execução de processos e conexões de rede. Isso inclui problemas como escalação de privilégios, uso de credenciais expostas, comunicação com endereços IP ou domínios maliciosos e a presença de malware nas instâncias e workloads de contêiner do Amazon EC2. Para obter mais informações, consulte [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) no *Guia do usuário do GuardDuty*.

Seu administrador de segurança habilita o monitoramento de runtime para uma ou várias contas no AWS Organizations para o GuardDuty. Ele também seleciona se o GuardDuty implanta automaticamente o agente de segurança do GuardDuty ao usar o Fargate. Todos os clusters são protegidos automaticamente, e o GuardDuty gerencia o agente de segurança em seu nome.

Você também pode configurar manualmente o agente de segurança do GuardDuty nos seguintes casos:
+ Você usa instâncias de contêiner do EC2
+ Você precisa de controle granular para habilitar o monitoramento de runtime no nível do cluster

Para usar o monitoramento de runtime, você deve configurar os clusters protegidos, bem como instalar e gerenciar o agente de segurança do GuardDuty nas instâncias de contêiner do EC2.

## Como o monitoramento de runtime funciona com o Amazon ECS
<a name="ecs-runtime-monitoring-events"></a>

O monitoramento de runtime usa um agente de segurança leve do GuardDuty que monitora a atividade de workload do Amazon ECS para saber como as aplicações estão solicitando, obtendo acesso e consumindo os recursos subjacentes do sistema.

Para tarefas do Fargate, o agente de segurança do GuardDuty é executado como um contêiner auxiliar em cada tarefa. 

Para instâncias de contêiner do EC2, o agente de segurança do GuardDuty é executado como um processo na instância. 

O agente de segurança do GuardDuty coleta dados dos recursos a seguir e envia os dados ao GuardDuty para processamento. É possível visualizar as descobertas no console do GuardDuty. Você também pode enviá-los a outros Serviços da AWS, como o AWS Security Hub CSPM, ou a um fornecedor de segurança terceiro para agregação e remediação. Para obter informações sobre como visualizar e gerenciar descobertas, consulte [Managing Amazon GuardDuty findings](https://docs.aws.amazon.com/guardduty/latest/ug/findings_management.html) no *Guia do usuário do Amazon GuardDuty*.
+ Respostas das seguintes chamadas de API do Amazon ECS:
  + [https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeClusters.html)

    Os parâmetros de resposta incluem a tag do monitoramento de runtime (quando a tag é definida) ao usar a opção `--include TAGS`.
  + [https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)

    Para o Fargate, os parâmetros de resposta incluem o contêiner auxiliar do GuardDuty.
  + [https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListAccountSettings.html](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListAccountSettings.html)

    Os parâmetros de resposta incluem a configuração da conta do monitoramento de runtime, definida pelo administrador de segurança.
+ Os dados de introspecção do agente de contêiner. Para obter mais informações, consulte [Introspecção de contêiner do Amazon ECS](ecs-agent-introspection.md).
+ O endpoint de metadados de tarefas para a opção de computação:
  +  [Endpoint de metadados de tarefas do Amazon ECS versão 4](task-metadata-endpoint-v4.md)
  +  [Endpoint de metadados de tarefas do Amazon ECS versão 4 para tarefas no Fargate](task-metadata-endpoint-v4-fargate.md)

## Considerações
<a name="ecs-guard-duty-support"></a>

Considere o seguinte ao usar o monitoramento de runtime:
+ O monitoramento de runtime tem um custo associado a ele. Para obter mais informações, consulte [Amazon GuardDuty Pricing](https://aws.amazon.com/guardduty/pricing/).
+ O monitoramento de runtime não é compatível com o Amazon ECS Anywhere.
+ O monitoramento de runtime não é compatível com o sistema operacional Windows.
+ Ao usar o Amazon ECS Exec no Fargate, você deve especificar o nome do contêiner, porque o agente de segurança do GuardDuty é executado como um contêiner auxiliar.
+ Você não pode usar o Amazon ECS Exec no contêiner auxiliar do agente de segurança do GuardDuty.
+ O usuário do IAM que controla o monitoramento de runtime no nível do cluster deve ter as permissões apropriadas do IAM para marcação. Para obter mais informações, consulte [Tutorial do IAM: Definir permissões para acessar recursos da AWS com base em tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
+ As tarefas do Fargate devem usar um perfil de execução de tarefas. Esse perfil concede às tarefas permissão para recuperar, atualizar e gerenciar o agente de segurança do GuardDuty, que é armazenado em um repositório privado do Amazon ECR, em seu nome.
+ O monitoramento de runtime não oferece suporte para aplicações executadas em instâncias gerenciadas do Amazon ECS.

## Utilização de recursos
<a name="ecs-guard-duty-resources"></a>

A tag adicionada ao cluster é contabilizada na cota de tags do cluster.

O contêiner auxiliar do agente do GuardDuty não é contabilizado na cota de definição de contêineres por tarefa.

Como acontece com a maioria dos softwares de segurança, há uma pequena sobrecarga no GuardDuty. Para obter informações sobre os limites de memória do Fargate, consulte [CPU and memory limits](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html#ecs-runtime-agent-cpu-memory-limits) no *Guia do usuário do GuardDuty*. Para obter informações sobre os limites de memória do Amazon EC2, consulte [CPU and memory limit for GuardDuty agent](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#ec2-cpu-memory-limits-gdu-agent).