Depois de ativar o Monitoramento de runtime

GuardDuty recomenda que você avalie continuamente o status da cobertura do recurso em que você implantou o agente de segurança. O status da cobertura pode ser Íntegro ou Não íntegro. Um status de cobertura íntegra indica que GuardDuty está recebendo os eventos de tempo de execução do recurso correspondente quando há uma atividade no nível do sistema operacional.

Quando o status da cobertura se torna íntegro para o recurso, GuardDuty é capaz de receber os eventos de tempo de execução e analisá-los para detecção de ameaças. Quando GuardDuty detecta uma possível ameaça à segurança nas tarefas ou aplicativos em execução nas cargas de trabalho e instâncias do seu contêiner, GuardDuty gera. GuardDuty Tipos de descoberta de monitoramento de tempo de execução

Você também pode configurar um Amazon EventBridge (EventBridge) para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou de outra forma. Para obter mais informações, consulte Analisando estatísticas de cobertura de runtime e solucionando problemas.

Depois de avaliar se o status da cobertura é exibido como Íntegro, você pode avaliar o desempenho do agente de segurança para seu tipo de recurso. Para clusters do Amazon EKS que têm o agente de segurança versão v1.5 ou superior, GuardDuty suporta a configuração dos parâmetros do agente de segurança (complementar). Para obter mais informações, consulte Configurar o monitoramento da CPU e da memória.

Quando GuardDuty começa a receber os eventos de tempo de execução do seu recurso, ele começa a analisar esses eventos. Quando GuardDuty detecta uma possível ameaça à segurança em qualquer uma de suas EC2 instâncias da Amazon, clusters do Amazon ECS ou clusters do Amazon EKS, ela gera uma ou mais. GuardDuty Tipos de descoberta de monitoramento de tempo de execução É possível acessar os detalhes da descoberta para visualizar os detalhes do recurso afetado.