**帮助改进此页面** 要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。 # 使用 Amazon GuardDuty 检测威胁 Amazon GuardDuty 是一项威胁检测服务,有助于保护您的账户、容器、工作负载和 AWS 环境中的数据。GuardDuty 使用机器学习(ML)模型以及异常和威胁检测功能,持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。 除其他功能外,GuardDuty 还提供以下两项功能,用于检测 EKS 集群面临的潜在威胁:*EKS 保护*和*运行时监控*。 **注意** **新增功能:**Amazon EKS 自动模式与 GuardDuty 集成。 **EKS 保护** 此功能提供威胁检测覆盖,通过监控关联的 Kubernetes 审计日志来帮助保护 Amazon EKS 集群。Kubernetes 审计日志可捕获集群内的连续操作,包括来自用户、使用 Kubernetes API 的应用程序和控制面板的活动。例如,GuardDuty 可以识别出未经身份验证的用户执行的 API 调用,这些调用可能用于篡改 Kubernetes 集群中的资源。 启用 EKS 保护后,GuardDuty 将只能访问 Amazon EKS 审计日志,从而持续进行威胁检测。如果 GuardDuty 发现集群存在潜在威胁,就会生成具有特定类型的关联的 Kubernetes 审计日志*调查发现*。有关 Kubernetes 审计日志中可用的调查发现类型的更多信息,请参阅《Amazon GuardDuty User Guide》中的 [Kubernetes audit logs finding types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-kubernetes.html)。 有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 [EKS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html)。 **运行时监控** 此功能可监控和分析操作系统级事件、网络事件和文件事件,帮助您检测环境中特定 AWS 工作负载中的潜在威胁。 启用*运行时监控*并在 Amazon EKS 集群中安装 GuardDuty 代理后,GuardDuty 就会开始监控与此集群关联的运行时事件。请注意,Amazon EKS 混合节点功能不支持 GuardDuty 代理和*运行时监控*,因此*运行时监控*不适用于混合节点上发生的运行时事件。如果 GuardDuty 发现集群存在潜在威胁,就会生成关联的*运行时监控调查发现*。例如,威胁可能会从破坏单个容器开始,而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下,错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。 要配置*运行时监控*,可将 GuardDuty 代理作为 *Amazon EKS 附加组件*安装到集群中。有关附加组件的更多信息,请参阅 [AWS 附加组件](workloads-add-ons-available-eks.md)。 有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 [Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)。