このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty は、機械学習 (ML) モデル、異常および脅威検出機能を使用して、さまざまなログソースとランタイムアクティビティを継続的に監視し、環境内の潜在的なセキュリティリスクと悪意のあるアクティビティを特定して優先順位を付けます。
GuardDuty には、EKS クラスターに対する潜在的な脅威を検出する EKS Protection とランタイムモニタリングの 2 つの機能があります。
注記
新規: Amazon EKS Auto Mode は GuardDuty と統合されています。
- EKS Protection
-
この機能は、関連する Kubernetes 監査ログをモニタリングすることで Amazon EKS クラスターを保護するのに役立つ脅威検出カバレッジを提供します。Kubernetes 監査ログは、ユーザー、Kubernetes API を使用するアプリケーション、コントロールプレーンからのアクティビティなど、クラスター内のシーケンシャルアクションをキャプチャします。例えば、GuardDuty は、Kubernetes クラスター内のリソースを改ざんするために呼び出された可能性のある API が、認証されていないユーザーによって呼び出された場合、そのことを識別できます。
EKS Protection を有効にすると、GuardDuty は継続的な脅威検出のためにのみ Amazon EKS 監査ログにアクセスできるようになります。GuardDuty によりクラスターに対する潜在的な脅威が識別されると、特定のタイプの関連する Kubernetes 監査ログの検出結果を生成します。Kubernetes 監査ログから得られる検出結果のタイプの詳細については、「Amazon GuardDuty ユーザーガイド」の「Kubernetes 監査ログの検出結果タイプ」を参照してください。
詳細については、「Amazon GuardDuty ユーザーガイド」の「EKS Protection」を参照してください。
- Runtime Monitoring
-
この機能は、オペレーティングシステムレベル、ネットワーク、ファイルのイベントを監視して分析し、環境内の特定の AWS ワークロードにおける潜在的な脅威を検出するのに役立ちます。
ランタイムモニタリングを有効にして Amazon EKS クラスターに GuardDuty エージェントをインストールすると、GuardDuty はこのクラスターに関連付けられたランタイムイベントのモニタリングを開始します。GuardDuty エージェントとランタイムモニタリングは Amazon EKS Hybrid Nodes では使用できないため、ランタイムモニタリングはハイブリッドノードで発生するランタイムイベントでは使用できないことにご注意ください。GuardDuty がクラスターに対する潜在的な脅威を特定すると、関連するランタイムモニタリングの結果を生成します。例えば、脅威は、脆弱なウェブアプリケーションを実行している 1 つのコンテナを危険にさらすことから始まる可能性があります。このウェブアプリケーションには、基盤となるコンテナとワークロードへのアクセス権限が存在する可能性があります。この場合、認証情報が正しく設定されていないと、アカウントとその中に保存されているデータへのアクセスを制御できない可能性があります。
ランタイムモニタリングを設定するには Amazon EKS アドオンとしてクラスターに GuardDuty エージェントをインストールします。アドオンの詳細については、「AWS アドオン」を参照してください。
詳細については、「Amazon GuardDuty ユーザーガイド」の「ランタイムモニタリング」を参照してください。