本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 工作原理
要使用运行时监控,必须启用运行时监控,然后管理 GuardDuty 安全代理。以下列表说明了这一两步过程:
1. 为您的账户@@ **启用运行时监控**,这样它 GuardDuty 就可以接受从您的 Amazon EC2 实例、Amazon ECS 集群和 Amazon EKS 工作负载接收的运行时事件。
1. **管理要监控其运行时行为的各个资源的 GuardDuty 代理**。根据资源类型,您可以选择:
+ 使用自动代理配置,其中 GuardDuty 管理代理部署,并自动使用亚马逊虚拟私有云 (Amazon VPC) 终端节点。
+ 要手动安装代理,先决条件之一是创建 VPC 端点。
安全代理使用 VPC 终端节点向传送事件 GuardDuty,确保数据保留在 AWS 网络中。这种方法增强了安全性, GuardDuty 允许监控和分析您的资源(Amazon EKS、Amazon EC2 和 AWS Fargate-Amazon ECS)的运行时行为。 GuardDuty 使用[实例身份角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles)对每种资源类型的安全代理进行身份验证,将关联的运行时事件发送到 VPC 终端节点。
**注意**
GuardDuty 不会让你访问运行时事件。
如果您在 EKS 运行时监控或 EC2 实例的运行时监控中管理安全代理(手动或通过 GuardDuty),并且GuardDuty 目前部署在 Amazon EC2 实例上并[收集的运行时事件类型](runtime-monitoring-collected-events.md)从该实例接收安全代理, GuardDuty 则不会向您 AWS 账户 收取分析来自此 Amazon EC2 实例的 VPC 流日志的费用。这有助于 GuardDuty 避免账户中的双重使用成本。
以下主题说明了为每种资源类型启用运行时监控和管理 GuardDuty 安全代理的工作方式有何不同。
**Topics**
+ [运行时监控如何与 Amazon EKS 集群结合使用](how-runtime-monitoring-works-eks.md)
+ [运行时监控如何与 Amazon EC2 实例结合使用](how-runtime-monitoring-works-ec2.md)
+ [运行时监控如何与 Fargate(仅限 Amazon ECS)结合使用](how-runtime-monitoring-works-ecs-fargate.md)
+ [启用运行时监控之后](runtime-monitoring-after-configuration.md)
# 运行时监控如何与 Amazon EKS 集群结合使用
运行时监控使用 E [KS 附加组件 `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks),也称为 GuardDuty 安全代理。在您的 EKS 集群上部署 GuardDuty安全代理后, GuardDuty 就可以接收这些 EKS 集群的运行时事件了。
**注意**
运行时监控**支持**在 Amazon EC2 实例上运行的 Amazon EKS 集群和 Amazon EKS 自动模式。
运行时监控**不支持**带有 Amazon EKS 混合节点功能的 Amazon EKS 集群以及在 AWS Fargate上运行的集群。
有关这些 Amazon EKS 功能的更多信息,请参阅《Amazon EKS 用户指南》****中的[什么是 Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)
您可以在账户或集群级别监控 Amazon EKS 集群的运行时事件。您只能管理要监控以进行威胁检测的 Amazon EKS 集群 GuardDuty 的安全代理。您可以手动管理 GuardDuty 安全客户端,也可以使用自动代理配置来代表您管理安全客户端。 GuardDuty
当您使用自动代理配置方法 GuardDuty 来允许代表您管理安全代理的部署时,它将自动**创建亚马逊虚拟私有云 (Amazon VPC) 终端节点**。安全代理使用此 Amazon VPC 终端节点将 GuardDuty 运行时事件传送到。
除了 VPC 终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源的 VPC CIDR 范围相匹配的入站规则,并在 CIDR 范围发生变化时对其进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 [VPC CIDR 范围](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)**。
**注意**
使用 VPC 端点不会产生额外的成本。
使用带有自动代理的集中式 VPC — 当您对资源类型使用 GuardDuty 自动代理配置时, GuardDuty 将代表您为所有资源类型创建 VPC 终端节点 VPCs。这包括集中式 VPC 和分支 VPCs。 GuardDuty 不支持仅为集中式 VPC 创建 VPC 终端节点。有关集中式 VPC 工作原理的更多信息,请参阅*AWS 白皮书《构建可扩展且安全的多 VPC AWS 网络基础设施》中的 “接口 VPC* [终端节点](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)”。
## 在 Amazon EKS 集群中管理 GuardDuty 安全代理的方法
在 2023 年 9 月 13 日之前,您可以配置 GuardDuty 为在账户级别管理安全代理。此行为表明,默认情况下, GuardDuty 将在属于的所有 EKS 集群上管理安全代理 AWS 账户。现在, GuardDuty 提供了精细的功能来帮助您选择 GuardDuty 要管理安全代理的 EKS 集群。
选择 [手动管理 GuardDuty 安全代理](#eks-runtime-using-gdu-agent-manually) 后,您仍然可以选择要监控的 EKS 集群。但是,要手动管理代理,先决条件 AWS 账户 是为您创建 Amazon VPC 终端节点。
**注意**
无论您使用哪种方法来管理 GuardDuty 安全代理,EKS 运行时监控始终在账户级别启用。
**Topics**
+ [通过以下方式管理安全代理 GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [手动管理 GuardDuty 安全代理](#eks-runtime-using-gdu-agent-manually)
### 通过以下方式管理安全代理 GuardDuty
GuardDuty 代表您部署和管理安全客户端。在任何时候,您都可以使用以下方法之一监控账户中的 EKS 集群。
**Topics**
+ [监控所有 EKS 集群](#gdu-security-agent-all-eks-custers)
+ [排除选定的 EKS 集群](#eks-runtime-using-exclusion-tags)
+ [包含选定的 EKS 集群](#eks-runtime-using-inclusion-tags)
#### 监控所有 EKS 集群
当您想要 GuardDuty 为账户中的所有 EKS 集群部署和管理安全代理时,请使用此方法。默认情况下,还 GuardDuty 会在您的账户中创建的潜在新 EKS 集群上部署安全代理。
**使用此方法的影响**
+ GuardDuty 创建一个 Amazon Virtual Private Cloud (Amazon VPC) 终端节点, GuardDuty 安全代理通过该终端节点将运行时事件传送到 GuardDuty。当您通过管理安全代理时,创建 Amazon VPC 终端节点不会产生额外费用 GuardDuty。
+ 您的工作节点必须具有通往活动 `guardduty-data` VPC 终端节点的有效网络路径。 GuardDuty 在您的 EKS 集群上部署安全代理。Amazon Elastic Kubernetes Service(Amazon EKS)将协调 EKS 集群内节点上安全代理的部署。
+ 根据 IP 可用性, GuardDuty 选择要创建 VPC 终端节点的子网。如果您使用高级网络拓扑,则必须验证连接是否可行。
#### 排除选定的 EKS 集群
如果您想要 GuardDuty 管理账户中所有 EKS 集群的安全代理,但不包括特定的 EKS 集群,请使用此方法。此方法使用基于标签 [1](#eks-runtime-inclusion-exclusion-tags) 的方法,在这种方法中,您可以标记不希望接收运行时事件的 EKS 集群。预定义标签必须以 `GuardDutyManaged`-`false` 作为键值对。
**使用此方法的影响**
此方法要求只有在向要排除在监控范围之外的 EKS 集群添加标签后,才能启用 GuardDuty 代理自动管理。
因此,当 [通过以下方式管理安全代理 GuardDuty](#eks-runtime-using-gdu-agent-management-auto) 适用于此方法时,也会产生影响。在启用 GuardDuty 代理自动管理之前添加标签时,既 GuardDuty 不会为不受监控的 EKS 集群部署也不管理安全代理。
**注意事项**
+ 在启用自动代理配置之前,您必须将标签键值对添加为`GuardDutyManaged`:`false`对于选定的 EKS 集群,否则,在您使用标签之前, GuardDuty 安全代理将部署在所有 EKS 集群上。
+ 您必须防止标签被修改,除非由可信身份修改。
**重要**
使用服务控制策略或 IAM policy 管理修改 EKS 集群 `GuardDutyManaged` 标签值的权限。有关更多信息,请参阅用户指南中的[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或 *IAM *AWS Organizations 用户指南**中的[控制 AWS 资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
+ 对于您不想监控的潜在新 EKS 集群,请确保在创建此 EKS 集群时添加 `GuardDutyManaged`-`false` 键值对。
+ 此方法的注意事项与 [监控所有 EKS 集群](#gdu-security-agent-all-eks-custers) 的注意事项相同。
#### 包含选定的 EKS 集群
如果您只 GuardDuty 想为账户中的精选 EKS 集群部署和管理安全代理更新,请使用此方法。此方法使用基于标签 [1](#eks-runtime-inclusion-exclusion-tags) 的方法,在这种方法中,您可以标记要接收运行时事件的 EKS 集群。
**使用此方法的影响**
+ 通过使用包含标签, GuardDuty 将仅为标有 `GuardDutyManaged`-`true` 作为键值对的精选 EKS 集群自动部署和管理安全代理。
+ 使用此方法的影响与 [监控所有 EKS 集群](#gdu-security-agent-all-eks-custers) 的影响相同。
**注意事项**
+ 如果 `GuardDutyManaged` 标签的值未设置为 `true`,则包含标签将无法按预期工作,这可能会影响对您的 EKS 集群的监控。
+ 为确保监控您选择性 EKS 集群,您需要防止标签被修改,除非由可信身份进行修改。
**重要**
使用服务控制策略或 IAM policy 管理修改 EKS 集群 `GuardDutyManaged` 标签值的权限。有关更多信息,请参阅用户指南中的[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或 *IAM *AWS Organizations 用户指南**中的[控制 AWS 资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
+ 对于您不想监控的潜在新 EKS 集群,请确保在创建此 EKS 集群时添加 `GuardDutyManaged`-`false` 键值对。
+ 此方法的注意事项与 [监控所有 EKS 集群](#gdu-security-agent-all-eks-custers) 的注意事项相同。
1 有关标记选择性 EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》****中的[标记 Amazon EKS 资源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。
### 手动管理 GuardDuty 安全代理
如果您想在所有 EKS 集群上手动部署和管理 GuardDuty 安全代理,请使用此方法。确保为您的账户启用 EKS 运行时监控。如果您不启用 EKS 运行时监控,则 GuardDuty安全代理可能无法按预期运行。
**使用此方法的影响**
您需要在 EKS 集群中协调 GuardDuty 安全代理的部署,跨所有账户以及该功能可用 AWS 区域 的地方。发布代理 GuardDuty 版本时,您还需要对其进行更新。有关适用于 EKS 的代理版本的更多信息,请参阅[GuardDuty Amazon EKS 资源的安全代理版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
**注意事项**
随着新集群和工作负载的持续部署,您必须在监控和解决覆盖率缺口的同时,支持安全的数据流。
# 运行时监控如何与 Amazon EC2 实例结合使用
Amazon EC2 实例可能会在您的 AWS 环境中运行多种类型的应用程序和工作负载。启用运行时监控并管理 GuardDuty 安全代理后, GuardDuty 可帮助您检测现有 Amazon EC2 实例以及可能的新实例中的威胁。此功能还支持由 Amazon ECS 托管的 Amazon EC2 实例。有关更多信息,请参阅 [Guardduty 中对托管实例的支持](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html)。
**注意**
运行时监控不支持在 [Amazon ECS 托管实例](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)上运行的应用程序。
启用运行时监控可以 GuardDuty 随时使用当前正在运行的运行时事件以及 Amazon EC2 实例中的新进程。 GuardDuty 需要安全代理将运行时事件从您的 EC2 实例发送到 GuardDuty。
对于 Amazon EC2 实例, GuardDuty 安全代理在实例级别运行。您可以决定是要监控账户中的全部还是部分 Amazon EC2 实例。如果要管理选定的实例,则只有这些实例才需要安全代理。
GuardDuty 还可以使用在 Amazon ECS 集群内的 Amazon EC2 实例中运行的新任务和现有任务的运行时事件。
要安装 GuardDuty 安全代理,运行时监控提供了以下两个选项:
+ [使用自动代理配置(推荐)](#use-automated-agent-config-ec2) 或
+ [手动管理安全代理](#ec2-security-agent-option2-manual)
## 通过以下方式使用自动代理配置 GuardDuty (推荐)
使用允许 GuardDuty 代表您在 Amazon EC2 实例上安装安全代理的自动代理配置。 GuardDuty 还管理安全客户端的更新。
默认情况下, GuardDuty 会在您账户中的所有实例上安装安全代理。如果您只 GuardDuty 想为选定的 EC2 实例安装和管理安全代理,请根据需要为您的 EC2 实例添加包含或排除标签。
有时,您可能不想监控您账户中全部 Amazon EC2 实例的运行时事件。如果您想监控有限数量实例的运行时事件,请为这些实例添加包含标签 `GuardDutyManaged`:`true`。从可用于 Amazon EC2 的自动代理配置开始,如果您的 EC2 实例具有包含标签 (`GuardDutyManaged`:`true`),即使您没有明确启用自动代理配置,也 GuardDuty 将遵守该标签并管理所选实例的安全代理。
另一方面,如果您不想监控运行时事件的 EC2 实例数量有限,请为这些选定的实例添加排除标签 (`GuardDutyManaged`:`false`)。 GuardDuty 将通过**既不**安装**也不**管理这些 EC2 资源的安全代理来遵守排除标签。
### 影响
当您在 AWS 账户 或组织中使用自动代理配置时,您 GuardDuty 允许代表您执行以下步骤:
+ GuardDuty 为您的所有 Amazon EC2 实例创建一个 SSM 关联,这些实例由 SSM 管理并显示在控制台的**队列管理器**下。[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ 在禁用自动代理配置的情况下使用包含标签 — 启用运行时监控后,如果您不启用自动代理配置,而是向 Amazon EC2 实例添加包含标签,则表示 GuardDuty 允许您代表您管理安全代理。然后,该 SSM 关联将在每个具有包含标签 (`GuardDutyManaged`:`true`) 的实例中安装安全代理。
+ 如果您启用自动代理配置:则 SSM 关联将在属于您账户的所有 EC2 实例中安装安全代理。
+ 在自动代理配置中使用排除标签 — 在启用自动代理配置之前,当您向 Amazon EC2 实例添加排除标签时,表示 GuardDuty 允许您阻止为该选定实例安装和管理安全代理。
现在,当您启用自动代理配置时,该 SSM 关联将在所有 EC2 实例中安装和管理安全代理,但使用排除标签标记的实例除外。
+ GuardDuty 在所有 VPC(包括共享 VPC)中创建 VPC 终端节点,前提是该 VPC 中至少有一个未处于已终止或关闭实例状态的 Linux EC2 实例。这包括集中式 VPC 和分支 VPCs。 GuardDuty 不支持仅为集中式 VPC 创建 VPC 终端节点。有关集中式 VPC 工作原理的更多信息,请参阅*AWS 白皮书《构建可扩展且安全的多 VPC AWS 网络基础设施》中的 “接口 VPC* [终端节点](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)”。
有关不同实例状态的信息,请参阅《Amazon EC2 用户指南》中的[实例生命周期](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html)**。
GuardDuty 还支持[使用带运行时监控功能的共享 VPC](runtime-monitoring-shared-vpc.md)。当您的组织考虑了所有先决条件时 AWS 账户, GuardDuty 将使用共享 VPC 接收运行时事件。
**注意**
使用 VPC 端点不会产生额外的成本。
+ 除了 VPC 终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源的 VPC CIDR 范围相匹配的入站规则,并在 CIDR 范围发生变化时对其进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 [VPC CIDR 范围](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)**。
## 手动管理安全代理
可以通过两种方法来手动管理 Amazon EC2 安全代理:
+ 使用中的 GuardDuty 托管文档在 AWS Systems Manager 已由 SSM 托管的 Amazon EC2 实例上安装安全代理。
每当您启动新的 Amazon EC2 实例时,请确保该实例已启用 SSM。
+ 使用 RPM 包管理器(RPM)脚本在 Amazon EC2 实例上安装安全代理,无论这些实例是否由 SSM 托管。
## 后续步骤
要开始使用运行时监控配置来监控您的 Amazon EC2 实例,请参阅 [Amazon EC2 实例支持的先决条件](prereq-runtime-monitoring-ec2-support.md)。
# 运行时监控如何与 Fargate(仅限 Amazon ECS)结合使用
启用运行时监控后 GuardDuty ,即可使用任务中的运行时事件。这些任务在 Amazon ECS 集群中运行,而这些集群又在 AWS Fargate 实例上运行。 GuardDuty 要接收这些运行时事件,必须使用完全托管的专用安全代理。
**注意**
运行时监控不支持在 [Amazon ECS 托管实例](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)上运行的应用程序。
您可以通过使用 AWS 账户或组织的自动代理配置来允许 GuardDuty 代表您管理 GuardDuty 安全客户端。 GuardDuty 将开始将安全代理部署到在您的 Amazon ECS 集群中启动的新 Fargate 任务。以下列表列出了启用 GuardDuty 安全代理时的预期情况。**启用 GuardDuty 安全代理的影响**
**GuardDuty 创建虚拟私有云 (VPC) 端点和安全组**
+ 部署 GuardDuty 安全代理时, GuardDuty 将创建一个 VPC 终端节点,安全代理通过该终端节点将运行时事件传送到 GuardDuty。
除了 VPC 终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源的 VPC CIDR 范围相匹配的入站规则,并在 CIDR 范围发生变化时对其进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 [VPC CIDR 范围](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)**。
+ 使用带有自动代理的集中式 VPC — 当您对资源类型使用 GuardDuty自动代理配置时, GuardDuty 将代表您为所有资源类型创建 VPC 终端节点 VPCs。这包括集中式 VPC 和分支 VPCs。 GuardDuty不支持仅为集中式 VPC 创建 VPC 终端节点。有关集中式 VPC 工作原理的更多信息,请参阅*AWS 白皮书《构建可扩展且安全的多 VPC AWS 网络基础设施》中的 “接口 VPC* [终端节点](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)”。
+ 使用 VPC 端点不会产生额外的成本。
**GuardDuty 添加边车容器**
对于开始运行的新 Fargate 任务或服务, GuardDuty 容器(边车)将自身附加到 Amazon ECS Fargate 任务中的每个容器。 GuardDuty 安全代理在连接的 GuardDuty 容器内运行。这 GuardDuty 有助于收集在这些任务中运行的每个容器的运行时事件。
GuardDuty 边车容器镜像存储在亚马逊弹性容器注册表 (Amazon ECR) Elastic Registry 中,其图像层存储在亚马逊 S3 中。任务开始时,需要从 ECR 中拉取此映像。根据您的网络配置,这可能需要特定的设置才能确保能够同时访问 ECR 和 S3。例如,如果您使用访问受限的安全组,则需要允许访问 S3 托管前缀列表。有关此操作的更多信息,请参阅[访问容器映像的先决条件](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs)。
启动 Fargate 任务时,如果 GuardDuty 容器(sidecar)无法在正常状态下启动,则运行时监控的设计不会阻止任务运行。
默认情况下,Fargate 任务是不可变的。 GuardDuty 当任务已经处于运行状态时,不会部署边车。要监控已在运行的任务中的容器,可以停止并重新启动该任务。
## 在 Amazon ECS-Fargate 资源中管理 GuardDuty 安全代理的方法
运行时监控提供了相应的选型来检测账户中所有 Amazon ECS 集群(账户级别)或选定集群(集群级别)的潜在安全威胁。当您为将要运行的每个 Amazon ECS Fargate 任务启用自动代理配置时, GuardDuty 将为该任务中的每个容器工作负载添加一个边车容器。 GuardDuty 安全代理被部署到这个 sidecar 容器上。通过这种方式 GuardDuty 可以了解 Amazon ECS 任务中容器的运行时行为。
运行时监控仅支持通过管理您的 Amazon ECS 集群 (AWS Fargate) 的安全代理 GuardDuty。不支持在 Amazon ECS 集群上手动管理安全代理。
在配置账户之前,请评估是要监控属于 Amazon ECS 任务的所有容器的运行时行为,还是要包含或排除特定的资源。可考虑以下方法。
**监控所有 Amazon ECS 集群**
这种方法有助您在账户级别检测潜在的安全威胁。如果您 GuardDuty 想检测属于您账户的所有 Amazon ECS 集群的潜在安全威胁,请使用此方法。
**排除特定的 Amazon ECS 集群**
如果您 GuardDuty 想检测 AWS 环境中大多数 Amazon ECS 集群的潜在安全威胁,但不包括部分集群,请使用此方法。此方法有助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如,您的账户中有 1000 个 Amazon ECS 集群,但您只想监控其中 930 个 Amazon ECS 集群。
此方法要求您向不想监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息,请参阅 [管理 Fargate(仅限 Amazon ECS)的自动安全代理](managing-gdu-agent-ecs-automated.md)。
**包含特定的 Amazon ECS 集群**
当您想要 GuardDuty 检测某些 Amazon ECS 集群的潜在安全威胁时,请使用此方法。此方法有助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如,您的账户中有 1000 个 Amazon ECS 集群,但您想监控其中 230 个集群。
此方法要求您向要监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息,请参阅 [管理 Fargate(仅限 Amazon ECS)的自动安全代理](managing-gdu-agent-ecs-automated.md)。
# 启用运行时监控之后
启用 Runtime Monitoring 并在您的独立账户或多个成员账户中安装 GuardDuty 安全代理后,您可以采取以下步骤来确保保护计划设置按预期运行,并监控 GuardDuty 安全代理使用了多少内存和 CPU。
**评估运行时覆盖率**
GuardDuty 建议您持续评估部署安全代理的资源的覆盖状态。覆盖率状态可能为**正常**或**不正常**。**健康**覆盖状态表示当存在操作系统级活动时, GuardDuty 正在接收来自相应资源的运行时事件。
当资源的覆盖状态变为 “**健康**” 时, GuardDuty 可以接收运行时事件并对其进行分析以进行威胁检测。在容器工作负载和实例中运行的任务或应用程序中 GuardDuty 检测到潜在的安全威胁时, GuardDuty 会生成[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)。
**您还可以将 Amazon EventBridge (EventBridge) 配置为在保险状态从 “**不健康” 变为 “健康**” 等时收到通知。**有关更多信息,请参阅 [检查运行时间覆盖率统计数据并对问题进行故障排除](runtime-monitoring-assessing-coverage.md)。
**为 GuardDuty 安全代理设置 CPU 和内存监控**
经过评估,覆盖率状态显示为**正常**后,您可以评估您的资源类型的安全代理性能。对于安全代理版本 v1.5 或更高版本的 Amazon EKS 集群, GuardDuty 支持配置(附加组件)安全代理的参数。有关更多信息,请参阅 [设置 CPU 和内存监控](runtime-monitoring-setting-cpu-mem-monitoring.md)。
**GuardDuty 检测潜在威胁**
当 GuardDuty 开始接收您的资源的运行时事件时,它就会开始分析这些事件。当在您的任何 Amazon EC2 实例、Amazon ECS 集群或 Amazon EKS 集群中 GuardDuty 检测到潜在的安全威胁时,它会生成一个或多个安全威胁[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)。您可以访问调查发现详细信息来查看受影响资源的详细信息。