運作方式 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

運作方式

若要使用執行期監控,您必須啟用執行期監控,然後管理 GuardDuty 安全代理程式。下列清單說明此兩個步驟的程序:

  1. 為您的帳戶啟用執行期監控,以便 GuardDuty 可以接受從 Amazon EC2 執行個體、Amazon ECS 叢集和 Amazon EKS 工作負載收到的執行期事件。

  2. 針對您要監控執行時間行為的個別資源,管理 GuardDuty 代理程式。根據資源類型,您可以選擇:

    • 使用自動化代理程式組態,其中 GuardDuty 會管理代理程式部署,並自動執行 Amazon Virtual Private Cloud (Amazon VPC) 端點。

    • 手動安裝代理程式,這需要您建立 VPC 端點做為先決條件。

    安全代理程式使用 VPC 端點將事件交付至 GuardDuty,確保資料保留在 AWS 網路中。此方法可增強安全性,並允許 GuardDuty 監控和分析跨資源 (Amazon EKS、Amazon EC2 和 AWS Fargate-Amazon ECS) 的執行時間行為。GuardDuty 使用執行個體身分角色來驗證每個資源類型的安全代理程式,將相關聯的執行期事件傳送至 VPC 端點。

注意

GuardDuty 不會讓您存取執行期事件。

當您在 EC2 執行個體的 EKS 執行期監控或執行期監控中管理安全代理程式 (手動或透過 GuardDuty),且 GuardDuty 目前部署在 Amazon EC2 執行個體上並從此執行個體接收 收集的執行期事件類型 時,GuardDuty 不會 AWS 帳戶 向 收取從此 Amazon EC2 執行個體分析 VPC 流量日誌的費用。這有助於 GuardDuty 避免帳戶中的雙重使用成本。

下列主題說明啟用執行期監控和管理 GuardDuty 安全代理程式對於每種資源類型的運作方式。