Détectez les menaces avec Amazon GuardDuty - Amazon EKS

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détectez les menaces avec Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui vous aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.

Parmi les autres fonctionnalités, GuardDuty propose les deux fonctionnalités suivantes qui détectent les menaces potentielles pour vos EKS clusters : EKSprotection et surveillance du temps d'exécution.

EKSProtection

Cette fonctionnalité fournit une couverture de détection des menaces pour vous aider à protéger les EKS clusters Amazon en surveillant les journaux Kubernetes d'audit associés. Kubernetesles journaux d'audit capturent les actions séquentielles au sein de votre cluster, notamment les activités des utilisateurs, des applications utilisant le Kubernetes API et le plan de contrôle. Par exemple, GuardDuty peut identifier que les appels APIs visant à altérer potentiellement les ressources d'un Kubernetes cluster ont été invoqués par un utilisateur non authentifié.

Lorsque vous activez EKS la protection, vous GuardDuty ne pourrez accéder à vos journaux d'EKSaudit Amazon qu'à des fins de détection continue des menaces. S'il GuardDuty identifie une menace potentielle pour votre cluster, il génère une découverte du journal Kubernetes d'audit associée d'un type spécifique. Pour plus d'informations sur les types de résultats disponibles dans les journaux d'Kubernetesaudit, consultez la section Types de résultats des journaux Kubernetes d'audit dans le guide de GuardDuty l'utilisateur Amazon.

Pour plus d'informations, consultez EKSla section Protection dans le guide de GuardDuty l'utilisateur Amazon.

Surveillance d'exécution

Cette fonctionnalité surveille et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement.

Lorsque vous activez la surveillance du temps d'exécution et que vous installez l' GuardDuty agent dans vos EKS clusters Amazon, GuardDuty commence à surveiller les événements d'exécution associés à ce cluster. S'il GuardDuty identifie une menace potentielle pour votre cluster, il génère un résultat de surveillance du temps d'exécution associé. Par exemple, une menace peut potentiellement commencer par compromettre un conteneur unique qui exécute une application Web vulnérable. Cette application Web peut disposer d'autorisations d'accès aux conteneurs et aux charges de travail sous-jacents. Dans ce scénario, des informations d'identification mal configurées peuvent potentiellement élargir l'accès au compte et aux données qui y sont stockées.

Pour configurer Runtime Monitoring, vous devez installer l' GuardDuty agent sur votre cluster en tant que EKSmodule complémentaire Amazon. Pour plus d'informations sur le module complémentaire, consultezEKSModules complémentaires Amazon disponibles auprès de AWS.

Pour plus d'informations, consultez la section Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.