本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 運作方式
若要使用執行期監控,您必須啟用執行期監控,然後管理 GuardDuty 安全代理程式。下列清單說明此兩個步驟的程序:
1. 為您的帳戶**啟用執行期監控**,以便 GuardDuty 可以接受從 Amazon EC2 執行個體、Amazon ECS 叢集和 Amazon EKS 工作負載收到的執行期事件。
1. 針對您要監控執行時間行為的個別資源**,管理 GuardDuty 代理**程式。根據資源類型,您可以選擇:
+ 使用自動化代理程式組態,其中 GuardDuty 會管理代理程式部署,並自動執行 Amazon Virtual Private Cloud (Amazon VPC) 端點。
+ 手動安裝代理程式,這需要您建立 VPC 端點做為先決條件。
安全代理程式使用 VPC 端點將事件交付至 GuardDuty,確保資料保留在 AWS 網路中。此方法可增強安全性,並允許 GuardDuty 監控和分析跨資源 (Amazon EKS、Amazon EC2 和 AWS Fargate-Amazon ECS) 的執行時間行為。GuardDuty 使用[執行個體身分角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles)來驗證每個資源類型的安全代理程式,將相關聯的執行期事件傳送至 VPC 端點。
**注意**
GuardDuty 不會讓您存取執行期事件。
當您在 EC2 執行個體的 EKS 執行期監控或執行期監控中管理安全代理程式 (手動或透過 GuardDuty),且 GuardDuty 目前部署在 Amazon EC2 執行個體上並從此執行個體接收 [收集的執行期事件類型](runtime-monitoring-collected-events.md) 時,GuardDuty 不會 AWS 帳戶 向 收取從此 Amazon EC2 執行個體分析 VPC 流量日誌的費用。這有助於 GuardDuty 避免帳戶中的雙重使用成本。
下列主題說明啟用執行期監控和管理 GuardDuty 安全代理程式對於每種資源類型的運作方式。
**Topics**
+ [執行時期監控如何與 Amazon EKS 叢集搭配運作](how-runtime-monitoring-works-eks.md)
+ [執行期監控如何與 Amazon EC2 執行個體搭配使用](how-runtime-monitoring-works-ec2.md)
+ [執行期監控如何與 Fargate 搭配使用 (僅限 Amazon ECS)](how-runtime-monitoring-works-ecs-fargate.md)
+ [在您啟用執行期監控之後](runtime-monitoring-after-configuration.md)
# 執行時期監控如何與 Amazon EKS 叢集搭配運作
執行期監控使用 [EKS 附加元件 `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks),也稱為 GuardDuty 安全代理程式。GuardDuty 安全代理程式部署在您的 EKS 叢集之後,GuardDuty 就能夠接收這些 EKS 叢集的執行期事件。
**備註**
執行期監控**支援**在 Amazon EC2 執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS 叢集。
執行期監控**不支援**具有 Amazon EKS 混合節點的 Amazon EKS 叢集,以及在其上執行的叢集 AWS Fargate。
如需有關這些 Amazon EKS 功能的資訊,請參閱《[Amazon EKS 使用者指南》中的什麼是](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) **Amazon EKS**?。
您可以在帳戶或叢集層級監控 Amazon EKS 叢集的執行期事件。您只能為要監控威脅偵測的 Amazon EKS 叢集管理 GuardDuty 安全代理程式。您可以使用自動代理程式組態,手動管理 GuardDuty 安全代理程式,或允許 GuardDuty 代表您管理它。
當您使用自動化代理程式組態方法來允許 GuardDuty 代表您管理安全代理程式的部署時,它會自動**建立 Amazon Virtual Private Cloud (Amazon VPC) 端點**。安全代理程式使用此 Amazon VPC 端點將執行期事件交付至 GuardDuty。
除了 VPC 端點之外,GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許存取與安全群組相關聯之資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則,並在 CIDR 範圍變更時加以調整。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的 VPC CIDR 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。
**備註**
VPC 端點的使用無需額外費用。
使用具有自動化代理程式的集中式 VPC – 當您針對資源類型使用 GuardDuty 自動化代理程式組態時,GuardDuty 會代表您為所有 VPC 建立 VPCs 端點。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊,請參閱*AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施*中的[界面 VPC 端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)。
## 在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法
在 2023 年 9 月 13 日之前,您可以將 GuardDuty 設定為管理帳戶層級的安全代理程式。此行為表示,GuardDuty 預設管理屬於 AWS 帳戶之所有 EKS 叢集上的安全代理程式。現在 GuardDuty 提供精細的功能,有助於您選擇要讓 GuardDuty 管理安全代理程式的 EKS 叢集。
選擇 [手動管理 GuardDuty 安全代理程式](#eks-runtime-using-gdu-agent-manually) 時,您仍可選取要監控的 EKS 叢集。不過,若要手動管理代理程式,為您的 建立 Amazon VPC 端點 AWS 帳戶 是先決條件。
**注意**
無論使用哪種方法來管理 GuardDuty 安全代理程式,一律會在帳戶層級啟用 EKS 執行期監控。
**Topics**
+ [透過 GuardDuty 管理安全代理程式](#eks-runtime-using-gdu-agent-management-auto)
+ [手動管理 GuardDuty 安全代理程式](#eks-runtime-using-gdu-agent-manually)
### 透過 GuardDuty 管理安全代理程式
GuardDuty 代表您部署和管理安全代理程式。您可以在任何時間點使用下列其中一種方法來監控帳戶中的 EKS 叢集。
**Topics**
+ [監控所有 EKS 叢集](#gdu-security-agent-all-eks-custers)
+ [排除選擇性 EKS 叢集](#eks-runtime-using-exclusion-tags)
+ [包含選擇性 EKS 叢集](#eks-runtime-using-inclusion-tags)
#### 監控所有 EKS 叢集
如果您希望 GuardDuty 部署和管理帳戶中所有 EKS 叢集的安全代理程式,請使用此方法。依預設,GuardDuty 也會在您帳戶中建立的潛在新 EKS 叢集上部署安全代理程式。
**使用此方法的影響**
+ GuardDuty 建立一個 Amazon Virtual Private Cloud (Amazon VPC) 端點,然後 GuardDuty 安全代理程式透過該端點將執行期事件傳送給 GuardDuty。透過 GuardDuty 管理安全代理程式時,無需額外付費即可建立 Amazon VPC 端點。
+ 您的工作節點必須具有作用中 `guardduty-data` VPC 端點的有效網路路徑。GuardDuty 會在您的 EKS 叢集上部署安全代理程式。Amazon Elastic Kubernetes Service (Amazon EKS) 將協調在 EKS 叢集中的節點上部署安全代理程式。
+ GuardDuty 會根據 IP 可用性選取子網路來建立 VPC 端點。如果使用進階網路拓撲,則須驗證是否可以連線。
#### 排除選擇性 EKS 叢集
如果您希望 GuardDuty 管理您帳戶中所有 EKS 叢集的安全代理程式,但排除選擇性 EKS 叢集,請使用此方法。此方法使用標籤型[1](#eks-runtime-inclusion-exclusion-tags)方法,其中您可以標記不要接收執行期事件的 EKS 叢集。預先定義的標籤必須具有 `GuardDutyManaged`-`false` 作為鍵值對。
**使用此方法的影響**
此方法要求您只有在將標籤新增至要排除監控的 EKS 叢集後,才能啟用 GuardDuty 代理程式自動管理。
因此,當您 [透過 GuardDuty 管理安全代理程式](#eks-runtime-using-gdu-agent-management-auto) 時,此影響也適用於此方法。在啟用 GuardDuty 代理程式自動管理前新增標籤時,GuardDuty 將不會部署和管理排除監控的 EKS 叢集的安全代理程式。
**考量**
+ 您必須在啟用自動代理程式組態之前,將標籤鍵值組新增為 `GuardDutyManaged`:`false`對於選擇性 EKS 叢集,否則 GuardDuty 安全代理程式會部署在所有 EKS 叢集上,直到您使用標籤為止。
+ 您必須防止標籤遭到修改 (僅允許可信身分進行修改)。
**重要**
使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的 `GuardDutyManaged` 標籤值的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或《IAM 使用者指南》**中的[控制對 AWS 資源的存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
+ 對於不想要監控的潛在新 EKS 叢集,請確定在建立此 EKS 叢集時新增 `GuardDutyManaged`-`false` 鍵值對。
+ 此方法的考量事項與 [監控所有 EKS 叢集](#gdu-security-agent-all-eks-custers) 的考量事項相同。
#### 包含選擇性 EKS 叢集
如果您希望 GuardDuty 僅針對帳戶中的選擇性 EKS 叢集部署和管理安全代理程式的更新,請使用此方法。此方法使用標籤型[1](#eks-runtime-inclusion-exclusion-tags)方法,其中您可以標記要接收執行期事件的 EKS 叢集。
**使用此方法的影響**
+ 透過使用包含標籤,GuardDuty 只會為標記為 `GuardDutyManaged`-`true` 作為鍵/值對的選擇性 EKS 叢集自動部署和管理安全代理程式。
+ 使用此方法所帶來的影響與 [監控所有 EKS 叢集](#gdu-security-agent-all-eks-custers) 的相同。
**考量**
+ 如果 `GuardDutyManaged` 標籤的值未設定為 `true`,包含標籤將不會如預期般運作,而且這可能會對 EKS 叢集的監控帶來影響。
+ 若要確保您的選定 EKS 叢集受到監控,則需要防止標籤遭到修改 (僅允許可信身分進行修改)。
**重要**
使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的 `GuardDutyManaged` 標籤值的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 或《IAM 使用者指南》**中的[控制對 AWS 資源的存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
+ 對於不想要監控的潛在新 EKS 叢集,請確定在建立此 EKS 叢集時新增 `GuardDutyManaged`-`false` 鍵值對。
+ 此方法的考量事項與 [監控所有 EKS 叢集](#gdu-security-agent-all-eks-custers) 的考量事項相同。
1如需有關標記選定 EKS 叢集的詳細資訊,請參閱《Amazon EKS 使用者指南》****中的[為您的 Amazon EKS 資源加上標籤](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。
### 手動管理 GuardDuty 安全代理程式
當您想要在所有 EKS 叢集上手動部署和管理 GuardDuty 安全代理程式時,請使用此方法。確保您的帳戶已啟用 EKS 執行期監控。如果您未啟用 EKS 執行期監控,GuardDuty 安全代理程式可能無法如預期般運作。
**使用此方法的影響**
您需要協調 EKS 叢集中所有帳戶以及此功能可用 AWS 區域 位置的 GuardDuty 安全代理程式部署。當 GuardDuty 發行代理程式版本時,您也需要更新代理程式版本。如需 EKS 代理程式版本的詳細資訊,請參閱 [Amazon EKS 資源的 GuardDuty 安全代理程式版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
**考量**
在持續部署新叢集和工作負載時,您必須支援安全的資料流程,同時監控和解決涵蓋範圍差距。
# 執行期監控如何與 Amazon EC2 執行個體搭配使用
Amazon EC2 執行個體可以在您的 AWS 環境中執行多種類型的應用程式和工作負載。當您啟用執行期監控和管理 GuardDuty 安全代理程式時,GuardDuty 可協助您偵測現有 Amazon EC2 執行個體中的威脅,以及可能的新執行個體。此功能也支援 Amazon ECS 受管 Amazon EC2 執行個體。如需詳細資訊,請參閱 [Guardduty 中的受管執行個體支援](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html)。
**注意**
執行期監控不支援在 [Amazon ECS 受管執行個體](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)上執行的應用程式。
啟用執行期監控可讓 GuardDuty 準備好取用目前執行中和 Amazon EC2 執行個體內新程序的執行期事件。GuardDuty 需要安全代理程式將執行期事件從 EC2 執行個體傳送至 GuardDuty。
對於 Amazon EC2 執行個體,GuardDuty 安全代理程式會在執行個體層級運作。您可以決定是否要監控帳戶中的所有 或選擇性 Amazon EC2 執行個體。如果您想要管理選擇性執行個體,則只有這些執行個體需要安全代理程式。
GuardDuty 也可以從 Amazon ECS 叢集中的 Amazon EC2 執行個體中執行的新任務和現有任務取用執行期事件。
若要安裝 GuardDuty 安全代理程式,執行期監控提供下列兩個選項:
+ [使用自動代理程式組態 (建議)](#use-automated-agent-config-ec2)、 或
+ [手動管理安全代理程式](#ec2-security-agent-option2-manual)
## 透過 GuardDuty 使用自動代理程式組態 (建議)
使用自動化代理程式組態,允許 GuardDuty 代表您在 Amazon EC2 執行個體上安裝安全代理程式。GuardDuty 也會管理安全代理程式的更新。
根據預設,GuardDuty 會在您帳戶中的所有執行個體上安裝安全代理程式。如果您希望 GuardDuty 僅安裝和管理所選 EC2 執行個體的安全代理程式,請視需要將包含或排除標籤新增至 EC2 執行個體。
有時,您可能不想監控屬於您帳戶之所有 Amazon EC2 執行個體的執行期事件。對於您想要監控有限數量執行個體執行時間事件的情況,請將包含標籤新增為 `GuardDutyManaged`:`true` 到這些選取的執行個體。從 Amazon EC2 自動化代理程式組態的可用性開始,如果您的 EC2 執行個體具有包含標籤 (`GuardDutyManaged`:`true`),即使您未明確啟用自動化代理程式組態,GuardDuty 仍會遵守所選執行個體的標籤和管理安全代理程式。
另一方面,如果您不想監控執行時間事件的 EC2 執行個體數量有限,請將排除標籤 (`GuardDutyManaged`:`false`) 新增至這些選取的執行個體。GuardDuty 不會安裝**或**管理這些 EC2 資源的安全代理程式,**以**遵守排除標籤。
### 影響
當您在 AWS 帳戶 或 組織中使用自動化代理程式組態時,您允許 GuardDuty 代表您執行下列步驟:
+ GuardDuty 會為 SSM 受管的所有 Amazon EC2 執行個體建立一個 SSM 關聯,並顯示在 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 主控台的 **Fleet Manager** 下。
+ 使用停用自動代理程式組態的包含標籤 – 啟用執行期監控後,當您未啟用自動代理程式組態,但將包含標籤新增至 Amazon EC2 執行個體時,表示您允許 GuardDuty 代表您管理安全代理程式。然後,SSM 關聯會在具有包含標籤 (`GuardDutyManaged`:) 的每個執行個體中安裝安全代理程式`true`。
+ 如果您啟用自動代理程式組態 – SSM 關聯接著會在屬於您帳戶的所有 EC2 執行個體中安裝安全代理程式。
+ 搭配自動代理程式組態使用排除標籤 – 在您啟用自動代理程式組態之前,當您將排除標籤新增至 Amazon EC2 執行個體時,表示您允許 GuardDuty 防止安裝和管理此所選執行個體的安全代理程式。
現在,當您啟用自動代理程式組態時,SSM 關聯將在所有 EC2 執行個體中安裝和管理安全代理程式,除了使用排除標籤標記的安全代理程式。
+ GuardDuty 會在所有 VPC 中建立 VPCs 端點,包括共用 VPCs,只要該 VPC 中至少有一個 Linux EC2 執行個體不在終止或關閉執行個體狀態。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊,請參閱*AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施*中的[界面 VPC 端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)。
如需不同執行個體狀態的資訊,請參閱《*Amazon EC2 使用者指南*》中的[執行個體生命週期](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html)。
GuardDuty 也支援 [使用共用 VPC 搭配執行期監控](runtime-monitoring-shared-vpc.md)。當您的組織考慮所有先決條件,且 AWS 帳戶 GuardDuty 將使用共用的 VPC 來接收執行期事件。
**注意**
VPC 端點的使用無需額外費用。
+ 除了 VPC 端點之外,GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許存取與安全群組相關聯之資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則,並在 CIDR 範圍變更時加以調整。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的 VPC CIDR 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。
## 手動管理安全代理程式
有兩種方式可以手動管理 Amazon EC2 的安全代理程式:
+ 在 中使用 GuardDuty 受管文件,在已 AWS Systems Manager 受 SSM 管理的 Amazon EC2 執行個體上安裝安全代理程式。
每當您啟動新的 Amazon EC2 執行個體時,請確定它已啟用 SSM。
+ 使用 RPM 套件管理員 (RPM) 指令碼在您的 Amazon EC2 執行個體上安裝安全代理程式,無論是否受 SSM 管理。
## 下一步驟
若要開始使用執行期監控組態來監控 Amazon EC2 執行個體,請參閱 [Amazon EC2 執行個體支援的先決條件](prereq-runtime-monitoring-ec2-support.md)。
# 執行期監控如何與 Fargate 搭配使用 (僅限 Amazon ECS)
當您啟用執行期監控時,GuardDuty 會準備好取用任務中的執行期事件。這些任務會在 Amazon ECS 叢集中執行,進而在 AWS Fargate 執行個體上執行。若要讓 GuardDuty 接收這些執行期事件,您必須使用完全受管的專用安全代理程式。
**注意**
執行期監控不支援在 [Amazon ECS 受管執行個體](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ManagedInstances.html)上執行的應用程式。
您可以允許 GuardDuty 代表您管理 GuardDuty 安全代理程式,方法是使用 AWS 帳戶或組織的自動代理程式組態。GuardDuty 將開始將安全代理程式部署到 Amazon ECS 叢集中啟動的新 Fargate 任務。下列清單指定啟用 GuardDuty 安全代理程式時預期會發生的情況。**啟用 GuardDuty 安全代理程式的影響**
**GuardDuty 會建立虛擬私有雲端 (VPC) 端點和安全群組**
+ 當您部署 GuardDuty 安全代理程式時,GuardDuty 會建立 VPC 端點,讓安全代理程式透過此端點將執行期事件交付給 GuardDuty。
除了 VPC 端點之外,GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許存取與安全群組相關聯之資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則,並在 CIDR 範圍變更時加以調整。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的 VPC CIDR 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。
+ 使用具有自動化代理程式的集中式 VPC – 當您針對資源類型使用 GuardDuty 自動化代理程式組態時,GuardDuty 會代表您為所有 VPC 建立 VPCs 端點。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊,請參閱*AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施*中的[界面 VPC 端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints)。
+ VPC 端點的使用無需額外費用。
**GuardDuty 新增附屬容器**
對於開始執行的新 Fargate 任務或服務,GuardDuty 容器 (附屬) 會自行連接到 Amazon ECS Fargate 任務中的每個容器。GuardDuty 安全代理程式會在連接的 GuardDuty 容器中執行。這有助於 GuardDuty 收集在這些任務中執行的每個容器的執行期事件。
GuardDuty 附屬容器映像存放在 Amazon Elastic Container Registry (Amazon ECR) 中,其映像層存放在 Amazon S3 中。當您的任務開始時,它需要從 ECR 提取此映像。根據您的網路組態,這可能需要特定設定,以確保存取 ECR 和 S3。例如,如果您使用具有限制存取的安全群組,則需要允許存取 S3 受管字首清單。如需如何執行此作業的資訊,請參閱 [容器映像存取的先決條件](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs)。
當您啟動 Fargate 任務時,如果 GuardDuty 容器 (附屬) 無法在運作狀態時啟動,則執行期監控旨在防止任務執行。
根據預設,Fargate 任務是不可變的。當任務已處於執行中狀態時,GuardDuty 不會部署附屬項目。如果您想要監控已執行任務中的容器,您可以停止任務並再次啟動。
## 在 Amazon ECS-Fargate 資源中管理 GuardDuty 安全代理程式的方法
執行期監控可讓您選擇偵測帳戶中所有 Amazon ECS 叢集 (帳戶層級) 或選擇性叢集 (叢集層級) 的潛在安全威脅。當您為將執行的每個 Amazon ECS Fargate 任務啟用自動化代理程式組態時,GuardDuty 將為該任務中的每個容器工作負載新增附屬容器。GuardDuty 安全代理程式會部署到此附屬容器。這是 GuardDuty 了解 Amazon ECS 任務內容器執行時間行為的方式。
執行期監控僅支援透過 GuardDuty 管理 Amazon ECS 叢集 (AWS Fargate) 的安全代理程式。不支援在 Amazon ECS 叢集上手動管理安全代理程式。
設定帳戶之前,請評估您是否要監控屬於 Amazon ECS 任務之所有容器的執行時間行為,或包含或排除特定資源。請考慮下列方法。
**監控所有 Amazon ECS 叢集**
此方法將協助您偵測帳戶層級的潛在安全威脅。如果您希望 GuardDuty 偵測屬於您帳戶之所有 Amazon ECS 叢集的潛在安全威脅,請使用此方法。
**排除特定 Amazon ECS 叢集**
當您希望 GuardDuty 偵測 AWS 環境中大部分 Amazon ECS 叢集的潛在安全威脅,但排除部分叢集時,請使用此方法。此方法可協助您監控叢集層級 Amazon ECS 任務內容器的執行時間行為。例如,屬於您帳戶的 Amazon ECS 叢集數量為 1000。不過,您想要只監控 930 個 Amazon ECS 叢集。
此方法需要您將預先定義的 GuardDuty 標籤新增至您不想監控的 Amazon ECS 叢集。如需詳細資訊,請參閱[管理 Fargate 的自動化安全代理程式 (僅限 Amazon ECS)](managing-gdu-agent-ecs-automated.md)。
**包含特定的 Amazon ECS 叢集**
當您希望 GuardDuty 偵測某些 Amazon ECS 叢集的潛在安全威脅時,請使用此方法。此方法可協助您監控叢集層級 Amazon ECS 任務內容器的執行時間行為。例如,屬於您帳戶的 Amazon ECS 叢集數量為 1000。不過,您只想要監控 230 個叢集。
此方法需要您將預先定義的 GuardDuty 標籤新增至您要監控的 Amazon ECS 叢集。如需詳細資訊,請參閱[管理 Fargate 的自動化安全代理程式 (僅限 Amazon ECS)](managing-gdu-agent-ecs-automated.md)。
# 在您啟用執行期監控之後
在獨立帳戶或多個成員帳戶中啟用執行期監控並安裝 GuardDuty 安全代理程式後,您可以採取下列步驟以確保保護計畫設定如預期般運作,並監控 GuardDuty 安全代理程式使用的記憶體和 CPU 數量。
**評估執行時間涵蓋範圍**
GuardDuty 建議您持續評估已部署安全代理程式的資源涵蓋範圍狀態。涵蓋範圍狀態可以是**正常**或**不良**。**健全**涵蓋範圍狀態表示 GuardDuty 會在有作業系統層級活動時,從對應的資源接收執行期事件。
當資源的涵蓋範圍狀態變成**運作**狀態良好時,GuardDuty 就能夠接收執行期事件,並加以分析以進行威脅偵測。當 GuardDuty 在容器工作負載和執行個體中執行的任務或應用程式中偵測到潛在的安全威脅時,GuardDuty 會產生 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)。
您也可以設定 Amazon EventBridge (EventBridge),以在涵蓋範圍狀態從**運作狀態不佳**變更為**正常運作**時收到通知。如需詳細資訊,請參閱[檢閱執行時間涵蓋範圍統計資料和疑難排解問題](runtime-monitoring-assessing-coverage.md)。
**設定 GuardDuty 安全代理程式的 CPU 和記憶體監控**
評估涵蓋範圍狀態顯示為**運作**狀態後,您可以針對資源類型評估安全代理程式的效能。對於具有安全代理程式 1.5 版或更新版本的 Amazon EKS 叢集,GuardDuty 支援設定 (附加) 安全代理程式的參數。如需詳細資訊,請參閱[設定 CPU 和記憶體監控](runtime-monitoring-setting-cpu-mem-monitoring.md)。
**GuardDuty 偵測潛在威脅**
當 GuardDuty 開始接收資源的執行期事件時,它會開始分析這些事件。當 GuardDuty 在您的任何 Amazon EC2 執行個體、Amazon ECS 叢集或 Amazon EKS 叢集中偵測到潛在的安全威脅時,會產生一或多個 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)。您可以存取調查結果詳細資訊,以檢視受影響的資源詳細資訊。