Funcionamiento - Amazon GuardDuty

Funcionamiento

Para utilizar la supervisión en tiempo de ejecución, debe habilitarla y luego administrar el agente de seguridad de GuardDuty. La siguiente lista explica este proceso en dos pasos:

  1. Habilite la supervisión en tiempo de ejecución para la cuenta de manera que GuardDuty pueda aceptar los eventos en tiempo de ejecución que recibe de las instancias de Amazon EC2, los clústeres de Amazon ECS y las cargas de trabajo de Amazon EKS.

  2. Administre el agente de GuardDuty para los recursos individuales cuyo comportamiento en tiempo de ejecución desee supervisar. Según el tipo de recurso, puede:

    • Utilizar una configuración automática de agentes, en la que GuardDuty administra la implementación del agente y, automáticamente, un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC).

    • Instalar el agente de manera manual, lo que requiere crear un punto de conexión de VPC como requisito previo.

    El agente de seguridad utiliza el punto de conexión de VPC para enviar los eventos a GuardDuty, lo que garantiza que los datos permanezcan en la red de AWS. Este enfoque mejora la seguridad y permite a GuardDuty supervisar y analizar el comportamiento del tiempo de ejecución en todos sus recursos (Amazon EKS, Amazon EC2 y AWS Fargate-Amazon ECS). GuardDuty utiliza roles de identidad de instancia para autenticar el agente de seguridad para cada tipo de recurso y así enviar los eventos de tiempo de ejecución asociados al punto de conexión de VPC.

nota

GuardDuty no le ofrece acceso a los eventos en tiempo de ejecución.

Al administrar el agente de seguridad (ya sea manualmente o a través de GuardDuty) en la supervisión en tiempo de ejecución de EKS o en la supervisión en tiempo de ejecución para instancias de EC2, y GuardDuty se encuentre actualmente implementado en una instancia de Amazon EC2 y recibe los Tipos de eventos de tiempo de ejecución recopilados de esta instancia, GuardDuty no cobrará a la Cuenta de AWS por el análisis de los registros de flujo de la VPC procedentes de esta instancia de Amazon EC2. Esto ayuda a GuardDuty a evitar el doble costo de uso en la cuenta.

En los siguientes temas se explica cómo funciona la habilitación de la supervisión en tiempo de ejecución y la administración del agente de seguridad de GuardDuty de forma diferente para cada tipo de recurso.

Contenido