Detectar ameaças com o Amazon GuardDuty

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

Entre outros recursos, o GuardDuty oferece os dois recursos a seguir que detectam possíveis ameaças aos seus clusters do EKS: Proteção do EKS e Monitoramento de runtime.

Proteção do EKS

Esse recurso fornece cobertura de detecção de ameaças para ajudar você a proteger clusters do Amazon EKS monitorando os logs de auditoria do Kubernetes associados. Os logs de auditoria do Kubernetescapturam ações sequenciais em seu cluster, incluindo atividades de usuários e aplicações usando a API e o ambiente de gerenciamento do Kubernetes. Por exemplo, o GuardDuty pode identificar que APIs chamadas para potencialmente adulterar recursos em um cluster do Kubernetes foram invocadas por um usuário não autenticado.

Quando a Proteção do EKS estiver habilitada, o GuardDuty poderá acessar seus logs de auditoria do Amazon EKS somente para detecção contínua de ameaças. Se o GuardDuty identificar uma possível ameaça ao seu cluster, ele gerará uma descoberta de log de auditoria do Kubernetes associado de um tipo específico. Para obter mais informações sobre os tipos de descobertas disponíveis nos logs de auditoria do Kubernetes, consulte os tipos de descoberta dos logs de auditoria do Kubernetes no Guia do usuário do Amazon GuardDuty.

Para obter mais informações, consulte Proteção do EKS no Guia do usuário do Amazon GuardDuty.

Monitoramento de runtime

Esse recurso monitora e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads do AWS específicas do seu ambiente.

Quando você habilita o Monitoramento de runtime e instala o agente do GuardDuty em seus clusters do Amazon EKS, o GuardDuty começa a monitorar os eventos de runtime associados a esse cluster. Se o GuardDuty identificar uma possível ameaça ao seu cluster, ele gerará uma descoberta de Monitoramento de runtime. Por exemplo, uma ameaça pode começar comprometendo um único contêiner que executa um aplicativo Web vulnerável. Esse aplicativo Web pode ter permissões de acesso aos contêineres e workloads subjacentes. Nesse cenário, credenciais configuradas incorretamente podem levar a um acesso mais amplo à conta e aos dados nela armazenados.

Para configurar o Monitoramento de runtime, instale o agente do GuardDuty no seu cluster como um complemento do Amazon EKS. Para obter mais informações sobre o complemento, consulte Complementos do Amazon EKS disponíveis da AWS.

Para obter mais informações, consulte Monitoramento de runtime no Guia do usuário do Amazon GuardDuty.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Analisar eventos de segurança no EKS com o Amazon Detective

Avalie a resiliência do cluster do EKS com o AWS Resilience Hub