Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Detectar ameaças com o Amazon GuardDuty
O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.
Entre outros recursos, o GuardDuty oferece os dois recursos a seguir que detectam possíveis ameaças aos seus clusters do EKS: Proteção do EKS e Monitoramento de runtime.
- Proteção do EKS
-
Esse recurso fornece cobertura de detecção de ameaças para ajudar você a proteger clusters do Amazon EKS monitorando os logs de auditoria do Kubernetes associados. Os logs de auditoria do Kubernetescapturam ações sequenciais em seu cluster, incluindo atividades de usuários e aplicações usando a API e o ambiente de gerenciamento do Kubernetes. Por exemplo, o GuardDuty pode identificar que APIs chamadas para potencialmente adulterar recursos em um cluster do Kubernetes foram invocadas por um usuário não autenticado.
Quando a Proteção do EKS estiver habilitada, o GuardDuty poderá acessar seus logs de auditoria do Amazon EKS somente para detecção contínua de ameaças. Se o GuardDuty identificar uma possível ameaça ao seu cluster, ele gerará uma descoberta de log de auditoria do Kubernetes associado de um tipo específico. Para obter mais informações sobre os tipos de descobertas disponíveis nos logs de auditoria do Kubernetes, consulte os tipos de descoberta dos logs de auditoria do Kubernetes no Guia do usuário do Amazon GuardDuty.
Para obter mais informações, consulte Proteção do EKS no Guia do usuário do Amazon GuardDuty.
- Monitoramento de runtime
-
Esse recurso monitora e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads do AWS específicas do seu ambiente.
Quando você habilita o Monitoramento de runtime e instala o agente do GuardDuty em seus clusters do Amazon EKS, o GuardDuty começa a monitorar os eventos de runtime associados a esse cluster. Se o GuardDuty identificar uma possível ameaça ao seu cluster, ele gerará uma descoberta de Monitoramento de runtime. Por exemplo, uma ameaça pode começar comprometendo um único contêiner que executa um aplicativo Web vulnerável. Esse aplicativo Web pode ter permissões de acesso aos contêineres e workloads subjacentes. Nesse cenário, credenciais configuradas incorretamente podem levar a um acesso mais amplo à conta e aos dados nela armazenados.
Para configurar o Monitoramento de runtime, instale o agente do GuardDuty no seu cluster como um complemento do Amazon EKS. Para obter mais informações sobre o complemento, consulte Complementos do Amazon EKS disponíveis da AWS.
Para obter mais informações, consulte Monitoramento de runtime no Guia do usuário do Amazon GuardDuty.