**協助改進此頁面** 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Amazon GuardDuty 偵測威脅 Amazon GuardDuty 是一種威脅偵測服務,可協助使用您的 AWS 環境來保護您的帳戶、容器、工作負載和資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時期活動,以識別環境中的潛在安全風險和惡意活動和排定其優先順序。 除了這些功能外,GuardDuty 還提供下列兩種功能,可偵測對 EKS 叢集的潛在威脅:*EKS 保護*和*執行時期監控*。 **注意** **新增:**Amazon EKS 自動模式可與 GuardDuty 整合。 **EKS 保護** 此功能提供威脅偵測涵蓋範圍,可透過監控相關聯的 Kubernetes 稽核日誌來協助您保護 Amazon EKS 叢集。Kubernetes 稽核日誌會擷取叢集中的連續動作,包括來自使用者的活動、使用 Kubernetes API 的應用程式以及控制平面。例如,GuardDuty 可以識別未經身分驗證的使用者調用的可能竄改 Kubernetes 叢集中字元的 API 呼叫。 當您啟用 EKS 保護時,GuardDuty 將只能存取 Amazon EKS 稽核日誌,以實現持續威脅偵測。如果 GuardDuty 識別出叢集的潛在威脅,則其會產生特定類型的相關聯 Kubernetes 稽核日誌*調查結果*。如需有關 Kubernetes 稽核日誌中可用調查結果類型的詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 [Kubernetes 稽核日誌調查結果類型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-kubernetes.html)。 如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 [EKS 保護](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html)。 **執行時期監控** 此功能會監控和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。 當您在 Amazon EKS 啟用*執行時期監控*並安裝 GuardDuty 代理程式時,GuardDuty 會開始監控與此叢集相關聯的執行時期事件。請注意,GuardDuty 代理程式和*執行時期監控*不適用於 Amazon EKS 混合節點,因此*執行時期監控*不適用於在混合節點上發生的執行時期事件。如果 GuardDuty 識別出叢集的潛在威脅,則其會產生相關聯的*執行時期監控調查結果*。例如,威脅可能會透過入侵執行具漏洞 Web 應用程式的單一容器開始。此 Web 應用程式可能擁有基礎容器和工作負載的存取許可。在這種情況下,設定錯誤的憑證可能會導致更廣泛地存取帳戶及其中儲存的資料。 若要設定*執行時期監控*,您可將 GuardDuty 代理程式作為 *Amazon EKS 附加元件*安裝至您的叢集中。如需附加元件的詳細資訊,請參閱 [AWS 附加元件](workloads-add-ons-available-eks.md)。 如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的[執行時期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)。