このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty は、機械学習 (ML) モデル、異常および脅威検出機能を使用して、さまざまなログソースとランタイムアクティビティを継続的に監視し、環境内の潜在的なセキュリティリスクと悪意のあるアクティビティを特定して優先順位を付けます。
GuardDuty には、EKS クラスターに対する潜在的な脅威を検出する EKS Protection とランタイムモニタリングの 2 つの機能があります。
注記
新規: Amazon EKS Auto Mode は GuardDuty と統合されています。
- EKS Protection
-
脅威検出を備えた機能であり、関連付けられた Kubernetes 監査ログをモニタリングすることで、Amazon EKS クラスターを保護できるようになります。Kubernetes 監査ログは、ユーザー、Kubernetes API を使用するアプリケーション、コントロールプレーンからのアクティビティなど、クラスター内のシーケンシャルアクションをキャプチャします。例えば、Kubernetes クラスター内のリソースを改ざんするために呼び出された可能性のある API が、認証されていないユーザーによって呼び出された場合、GuardDuty はそのことを識別できます。
EKS Protection を有効にすると、GuardDuty は継続的な脅威検出のためにのみ Amazon EKS 監査ログにアクセスできるようになります。GuardDuty は、クラスターに対する潜在的な脅威を識別すると、特定のタイプの関連する Kubernetes 監査ログの検出結果を生成します。Kubernetes 監査ログから得られる検出結果のタイプの詳細については、「Amazon GuardDuty ユーザーガイド」の「Amazon GuardDuty User Guide」を参照してください。
詳細については、「Amazon GuardDuty ユーザーガイド」の「EKS Protection」を参照してください。
- Runtime Monitoring
-
この機能は、オペレーティングシステムレベル、ネットワーク、ファイルのイベントを監視して分析し、環境内の特定の AWS ワークロードにおける潜在的な脅威を検出するのに役立ちます。
ランタイムモニタリングを有効にして Amazon EKS クラスターに GuardDuty エージェントをインストールすると、GuardDuty はこのクラスターに関連付けられたランタイムイベントのモニタリングを開始します。GuardDuty エージェントとランタイムモニタリングは Amazon EKS Hybrid Nodes では使用できないため、ランタイムモニタリングはハイブリッドノードで発生するランタイムイベントでは使用できないことにご注意ください。GuardDuty がクラスターに対する潜在的な脅威を特定すると、関連するランタイムモニタリングの結果を生成します。例えば、脅威は、脆弱なウェブアプリケーションを実行している 1 つのコンテナを危険にさらすことから始まる可能性があります。このウェブアプリケーションには、基盤となるコンテナとワークロードへのアクセス権限が存在する可能性があります。この場合、認証情報が正しく設定されていないと、アカウントとその中に保存されているデータへのアクセスを制御できない可能性があります。
ランタイムモニタリングを設定するには Amazon EKS アドオンとしてクラスターに GuardDuty エージェントをインストールします。アドオンの詳細については、「AWS アドオン」を参照してください。
詳細については、「Amazon GuardDuty ユーザーガイド」の「ランタイムモニタリング」を参照してください。
