EKS Audit Log Monitoring - Amazon GuardDuty
EKS Audit Log Monitoring für ein eigenständiges Konto konfigurierenKonfiguration von EKS Audit Log Monitoring in Umgebungen mit mehreren Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKS Audit Log Monitoring

EKS Audit Log Monitoring hilft Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren EKS-Clustern innerhalb von Amazon Elastic Kubernetes Service zu erkennen. Wenn Sie EKS Audit Log Monitoring aktivieren, beginnt GuardDuty sofort mit der Überwachung Überwachung des EKS-Auditprotokolls Ihrer Amazon EKS-Cluster und deren Analyse auf potenziell bösartige und verdächtige Aktivitäten. Es verarbeitet Kubernetes-Audit-Log-Ereignisse direkt aus der Protokollierungsfunktion der Amazon EKS Control Plane über einen unabhängigen und duplizierten Stream von Audit-Logs. Dieser Prozess erfordert keine zusätzliche Einrichtung und hat auch keine Auswirkungen auf Ihre eventuell vorhandenen Konfigurationen der Amazon EKS-Protokollierung auf der Steuerebene.

Wenn Sie EKS Audit Log Monitoring deaktivieren, wird die Überwachung und Analyse der EKS-Auditprotokolle für Ihre Amazon EKS-Ressourcen GuardDuty sofort beendet.

EKS Audit Log Monitoring ist möglicherweise nicht überall verfügbar AWS-Regionen , wo GuardDuty es verfügbar ist. Weitere Informationen finden Sie unter Verfügbarkeit regionsspezifischer Feature.

Wie wirkt sich eine 30-tägige kostenlose Testphase auf Konten aus GuardDuty

  • Wenn Sie EKS Audit Log Monitoring GuardDuty zum ersten Mal aktivieren, ist es bereits in der kostenlosen 30-tägigen Testphase enthalten.

  • Die bestehenden GuardDuty Konten, für die die kostenlose 30-Tage-Testversion bereits abgeschlossen ist, können EKS Audit Log Monitoring zum ersten Mal mit einer 30-tägigen kostenlosen Testphase aktivieren.

EKS Audit Log Monitoring für ein eigenständiges Konto konfigurieren

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für ein einzelnes Konto zu aktivieren oder zu deaktivieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich EKS Protection.

  3. Auf der Registerkarte Konfiguration können Sie den aktuellen Konfigurationsstatus von EKS Audit Log Monitoring einsehen. Wählen Sie im Abschnitt EKS Audit Log Monitoring die Option Aktivieren, um das Feature EKS Audit Log Monitoring zu aktivieren, oder Deaktivieren, um sie zu deaktivieren.

  4. Wählen Sie Speichern.

API/CLI

  • Führen Sie den updateDetectorAPI-Vorgang mit der regionalen Detektor-ID des delegierten GuardDuty Administratorkontos aus und übergeben Sie den features Objektnamen als EKS_AUDIT_LOGS und den Status als ENABLED oderDISABLED.

    Alternativ können Sie EKS Audit Log Monitoring auch aktivieren oder deaktivieren, indem Sie den AWS CLI Befehl a ausführen. Der folgende Beispielcode aktiviert GuardDuty EKS Audit Log Monitoring. Um die Funktion zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'

Konfiguration von EKS Audit Log Monitoring in Umgebungen mit mehreren Konten

In einer Umgebung mit mehreren Konten hat nur das delegierte GuardDuty Administratorkonto die Möglichkeit, die EKS-Funktion Audit Log Monitoring; für die Mitgliedskonten in ihrer Organisation zu aktivieren oder zu deaktivieren. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Dieses delegierte GuardDuty Administratorkonto kann wählen, ob EKS Audit Log Monitoring für alle neuen Konten automatisch aktiviert werden soll, wenn sie der Organisation beitreten. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten bei Amazon. GuardDuty

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für das delegierte GuardDuty Administratorkonto zu konfigurieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Stellen Sie sicher, dass Sie die Anmeldeinformationen des Verwaltungskontos verwenden.

  2. Wählen Sie im Navigationsbereich EKS Protection aus.

  3. Auf der Registerkarte Konfiguration können Sie den aktuellen Konfigurationsstatus von EKS Audit Log Monitoring im entsprechenden Abschnitt einsehen. Um die Konfiguration für das delegierte GuardDuty Administratorkonto zu aktualisieren, wählen Sie im Bereich EKS Audit Log Monitoring die Option Bearbeiten aus.

  4. Führen Sie eine der folgenden Aktionen aus:

    Verwendung von Für alle Konten aktivieren

    • Wählen Sie Für alle Konten aktivieren. Dadurch wird der Schutzplan für alle aktiven GuardDuty Konten in Ihrer AWS Organisation aktiviert, einschließlich der neuen Konten, die der Organisation beitreten.

    • Wählen Sie Speichern.

    Verwendung von Konten manuell konfigurieren

    • Um den Schutzplan nur für das delegierte GuardDuty Administratorkonto zu aktivieren, wählen Sie Konten manuell konfigurieren.

    • Wählen Sie im Abschnitt für das delegierte GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus.

    • Wählen Sie Speichern.

API/CLI

Führen Sie den API-Vorgang updateDetector aus, indem Sie Ihre eigene regionale Detektor-ID verwenden und den features-Objektnamen name als EKS_AUDIT_LOGS und status als ENABLED oder DISABLED übergeben.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

Sie können EKS Audit Log Monitoring aktivieren oder deaktivieren, indem Sie den folgenden AWS CLI Befehl ausführen. Stellen Sie sicher, dass Sie die gültige Melder-ID des delegierten GuardDuty Administratorkontos verwenden.

Anmerkung

Der folgende Beispielcode aktiviert EKS Audit Log Monitoring. Achten Sie darauf, 12abc34d567e8fa901bc2d34e56789f0 durch die des delegierten Administratorkontos und 555555555555 durch die des delegierten Administratorkontos zu ersetzen. detector-id GuardDuty AWS-Konto GuardDuty

Informationen zu detectorId den Einstellungen für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die API aus ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

Um EKS Audit Log Monitoring zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für alle vorhandenen aktiven Mitgliedskonten zu aktivieren.

Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.

  2. Führen Sie eine der folgenden Aktionen aus:

    Verwenden der Seite EKS Protection

    1. Wählen Sie im Navigationsbereich EKS Protection.

    2. Auf der Registerkarte Konfiguration können Sie den aktuellen Status von EKS Audit Log Monitoring für aktive Mitgliedskonten in Ihrer Organisation einsehen.

      Um die Konfiguration von EKS Audit Log Monitoring zu aktualisieren, wählen Sie Bearbeiten.

    3. Wählen Sie Für alle Konten aktivieren. Diese Aktion aktiviert EKS Audit Log Monitoring automatisch sowohl für die vorhandenen als auch für die neuen Konten in der Organisation.

    4. Wählen Sie Speichern.

      Anmerkung

      Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

    Verwenden der Seite Konten

    1. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

    2. Wählen Sie auf der Seite Konten die Option Einstellungen automatisch aktivieren und anschließend Konten auf Einladung hinzufügen.

    3. Wählen Sie im Fenster Einstellungen für automatische Aktivierung verwalten unter EKS Audit Log Monitoring die Option Für alle Konten aktivieren.

    4. Wählen Sie Speichern.

    Wenn Sie die Option Für alle Konten aktivieren nicht verwenden können und die Konfiguration von EKS Audit Log Monitoring für bestimmte Konten in Ihrer Organisation anpassen möchten, finden Sie weitere Informationen unter Aktivieren oder deaktivieren Sie EKS Audit Log Monitoring selektiv für Mitgliedskonten.

API/CLI

  • Um die EKS-Laufzeit-Überwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID aus.

  • Das folgende Beispiel zeigt, wie Sie EKS Audit Log Monitoring für ein einzelnes Mitgliedskonto aktivieren können. Um die Funktion zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    Anmerkung

    Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

  • Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für alle vorhandenen aktiven Mitgliedskonten zu aktivieren.

Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Melden Sie sich mit den Anmeldeinformationen für das delegierte GuardDuty Administratorkonto an.

  2. Wählen Sie im Navigationsbereich EKS Protection.

  3. Auf der EKS-Schutzseite können Sie den aktuellen Status der Konfiguration des GuardDuty-initiierten Malware-Scans einsehen. Wählen Sie im Abschnitt Aktive Mitgliedskonten die Option Aktionen.

  4. Wählen Sie im Dropdownmenü Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.

  5. Wählen Sie Speichern.

API/CLI

  • Um die EKS-Laufzeit-Überwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID aus.

  • Das folgende Beispiel zeigt, wie Sie EKS Audit Log Monitoring für ein einzelnes Mitgliedskonto aktivieren können. Um die Funktion zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    Anmerkung

    Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

  • Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Die neu hinzugefügten Mitgliedskonten müssen aktiviert werden, GuardDuty bevor die Option „Konfiguration GuardDuty — initiierter Malware-Scan“ ausgewählt werden kann. Die auf Einladung verwalteten Mitgliedskonten können den GuardDuty -initiierten Malware-Scan für ihre Konten manuell konfigurieren. Weitere Informationen finden Sie unter Step 3 - Accept an invitation.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für neue Konten zu aktivieren, die Ihrer Organisation beitreten.

Console

Das delegierte GuardDuty Administratorkonto kann EKS Audit Log Monitoring für neue Mitgliedskonten in einer Organisation entweder über die Seite EKS Audit Log Monitoring oder Konten aktivieren.

So aktivieren Sie EKS Audit Log Monitoring automatisch für neue Mitgliedskonten

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.

  2. Führen Sie eine der folgenden Aktionen aus:

    • Verwenden der Seite EKS Protection:

      1. Wählen Sie im Navigationsbereich EKS Protection.

      2. Wählen Sie auf der Seite EKS Protection im Bereich EKS Audit Log Monitoring Bearbeiten.

      3. Wählen Sie Konten manuell konfigurieren.

      4. Wählen Sie Automatisch für neue Mitgliedskonten aktivieren. Dieser Schritt stellt sicher, dass EKS Audit Log Monitoring bei jedem Beitritt eines neuen Kontos zu Ihrer Organisation automatisch für das Konto aktiviert wird. Nur das delegierte GuardDuty Administratorkonto der Organisation kann diese Konfiguration ändern.

      5. Wählen Sie Speichern.

    • Verwenden der Seite Konten:

      1. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

      2. Wählen Sie auf der Seite Konten die Option Einstellungen automatisch aktivieren.

      3. Wählen Sie im Fenster Einstellungen für automatische Aktivierung verwalten unter EKS Audit Log Monitoring die Option Für neue Konten aktivieren.

      4. Wählen Sie Speichern.

API/CLI

  • Um EKS Audit Log Monitoring selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den API-Vorgang UpdateOrganizationConfiguration mit Ihrer eigenen Detektor-ID aus.

  • Das folgende Beispiel zeigt, wie Sie EKS Audit Log Monitoring für die neuen Mitglieder aktivieren können, die Ihrer Organisation beitreten. Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

Wählen Sie Ihre bevorzugte Zugriffsmethode, um EKS Audit Log Monitoring für alle vorhandenen aktiven Mitgliedskonten zu aktivieren oder zu deaktivieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.

  2. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

    Prüfen Sie auf der Seite Konten in der Spalte EKS Audit Log Monitoring den Status Ihres Mitgliedskontos.

  3. So aktivieren oder deaktivieren Sie EKS Audit Log Monitoring

    Wählen Sie ein Konto aus, das Sie für EKS Audit Log Monitoring konfigurieren möchten. Sie können mehrere Konten gleichzeitig auswählen. Wählen Sie im Dropdown-Menü Schutzpläne bearbeiten die Option EKS Audit Log Monitoring und dann die entsprechende Option aus.

API/CLI

Um die EKS-Laufzeit-Überwachung selektiv für Ihre Mitgliedskonten zu aktivieren oder zu deaktivieren, führen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID aus.

Das folgende Beispiel zeigt, wie Sie EKS Audit Log Monitoring für ein einzelnes Mitgliedskonto aktivieren können. Um die Funktion zu deaktivieren, ersetzen Sie ENABLED durch DISABLED. Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'