Monitoramento de logs de auditoria do EKS - Amazon GuardDuty
Configuração do Monitoramento de logs de auditoria do EKS para uma conta independenteConfiguração do Monitoramento de logs de auditoria do EKS para ambientes com várias contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitoramento de logs de auditoria do EKS

O Monitoramento de logs de auditoria do EKS ajuda você a detectar atividades potencialmente suspeitas em seus clusters do EKS no Amazon Elastic Kubernetes Service. Quando você ativa o EKS Audit Log Monitoring, GuardDuty imediatamente começa a monitorar seus clusters Monitoramento do registro de auditoria EKS do Amazon EKS e a analisá-los em busca de atividades potencialmente maliciosas e suspeitas. Ele consome eventos de log de auditoria do Kubernetes diretamente do recurso de registro do plano de controle do Amazon EKS por meio de um fluxo independente e duplicativo de registros de auditoria. Esse processo não exige nenhuma configuração adicional nem afeta nenhuma configuração existente de registro do ambiente de gerenciamento do Amazon EKS que você possa ter.

Quando você desativa o monitoramento do registro de auditoria do EKS, interrompe GuardDuty imediatamente o monitoramento e a análise dos registros de auditoria do EKS para seus recursos do Amazon EKS.

O monitoramento do registro de auditoria do EKS pode não estar disponível em todos os Regiões da AWS locais GuardDuty disponíveis. Para ter mais informações, consulte Disponibilidade de recursos específicos da região.

Como o período de teste gratuito de 30 dias afeta as contas GuardDuty

  • Quando você ativa GuardDuty pela primeira vez, o EKS Audit Log Monitoring já está incluído no período de teste gratuito de 30 dias.

  • As GuardDuty contas existentes, para as quais o teste gratuito de 30 dias já foi concluído, podem habilitar o EKS Audit Log Monitoring pela primeira vez com um período de teste gratuito de 30 dias.

Configuração do Monitoramento de logs de auditoria do EKS para uma conta independente

Escolha seu método de acesso preferido para habilitar ou desabilitar o Monitoramento de logs de auditoria do EKS para uma conta independente.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Proteção do EKS.

  3. Na guia Configuração, você pode visualizar o status atual da configuração do Monitoramento de logs de auditoria do EKS. Na seção Monitoramento de logs de auditoria do EKS, escolha Habilitar para habilitar ou Desabilitar para desabilitar o recurso Monitoramento de logs de auditoria do EKS.

  4. Escolha Salvar.

API/CLI

  • Execute a operação da updateDetectorAPI usando o ID do detector regional da conta do GuardDuty administrador delegado e transmitindo o nome do features objeto como EKS_AUDIT_LOGS e o status como ENABLED ouDISABLED.

    Como alternativa, você também pode ativar ou desativar o EKS Audit Log Monitoring executando o AWS CLI comando a. O código de exemplo a seguir ativa o GuardDuty EKS Audit Log Monitoring. Para desabilitá-la, substitua ENABLED por DISABLED.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'

Configuração do Monitoramento de logs de auditoria do EKS para ambientes com várias contas

Em um ambiente de várias contas, somente a conta do GuardDuty administrador delegado tem a opção de ativar ou desativar o recurso EKS Audit Log Monitoring; para as contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Essa conta de GuardDuty administrador delegado pode optar por habilitar automaticamente o EKS Audit Log Monitoring para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciamento de várias contas na Amazon. GuardDuty

Escolha seu método de acesso preferido para configurar o EKS Audit Log Monitoring para a conta do GuardDuty administrador delegado.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de gerenciamento.

  2. No painel de navegação, escolha Proteção do EKS.

  3. Na guia Configuração, você pode visualizar o status atual da configuração do Monitoramento de logs de auditoria do EKS na seção respectiva. Para atualizar a configuração da conta de GuardDuty administrador delegado, escolha Editar no painel Monitoramento do log de auditoria do EKS.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas

    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente

    • Para habilitar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.

    • Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

    • Escolha Salvar.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como EKS_AUDIT_LOGS e status como ENABLED ou DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

Você pode ativar ou desativar o EKS Audit Log Monitoring executando o seguinte AWS CLI comando. Certifique-se de usar o ID de detector válido da conta de GuardDuty administrador delegado.

nota

O código de exemplo a seguir habilita o Monitoramento de logs de auditoria do EKS. Certifique-se de substituir 12abc34d567e8fa901bc2d34e56789f0 pela conta do administrador delegado e 5555555555 pela conta do administrador delegado. detector-id GuardDuty Conta da AWS GuardDuty

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

Para desabilitar o Monitoramento de logs de auditoria do EKS, substitua ENABLED por DISABLED.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para contas-membro existentes em sua organização.

Console

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    Usando a página Proteção do EKS

    1. No painel de navegação, escolha Proteção do EKS.

    2. Na guia Configuração, você pode ver o status atual do Monitoramento de logs de auditoria do EKS para contas-membro ativas em sua organização.

      Para atualizar a configuração do Monitoramento de logs de auditoria do EKS, escolha Editar.

    3. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente o Monitoramento de logs de auditoria do EKS para as contas existentes e novas na organização.

    4. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas

    1. No painel de navegação, escolha Accounts (Contas).

    2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de logs de auditoria do EKS.

    4. Escolha Salvar.

    Se você não puder usar a opção Habilitar para todas as contas e quiser personalizar a configuração do Monitoramento de logs de auditoria do EKS para contas específicas em sua organização, consulte Habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para contas-membro.

API/CLI

  • Para habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para todas as contas-membro ativas existentes na organização.

Console

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Proteção do EKS.

  3. Na página EKS Protection, você pode ver o status atual da configuração de verificação de GuardDuty malware iniciada. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Escolha Salvar.

API/CLI

  • Para habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

As contas de membros recém-adicionadas devem ser ativadas GuardDuty antes de selecionar a configuração da verificação de GuardDuty malware iniciada. As contas dos membros gerenciadas por convite podem configurar manualmente a verificação de GuardDuty malware iniciada por suas contas. Para ter mais informações, consulte Step 3 - Accept an invitation.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para novas contas que ingressam na sua organização.

Console

A conta de GuardDuty administrador delegado pode ativar o Monitoramento do Registro de Auditoria do EKS para novas contas membros em uma organização, usando o Monitoramento do Registro de Auditoria do EKS ou a página Contas.

Para habilitar automaticamente o Monitoramento de logs de auditoria do EKS para novas contas-membro

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    • Usando a página Proteção do EKS:

      1. No painel de navegação, escolha Proteção do EKS.

      2. Na página Proteção do EKS, escolha Editar no Monitoramento de logs de auditoria do EKS.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que sempre que uma nova conta ingressar em sua organização, o Monitoramento de logs de auditoria do EKS seja habilitado automaticamente para sua conta. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, escolha Accounts (Contas).

      2. Na página Contas, escolha Habilitar automaticamente as preferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de logs de auditoria do EKS.

      4. Escolha Salvar.

API/CLI

  • Para habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para suas novas contas, execute a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para os novos membros que ingressarem na sua organização. Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

Escolha seu método de acesso preferido para habilitar ou desabilitar o Monitoramento de logs de auditoria do EKS para contas-membro seletivas em sua organização.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Accounts (Contas).

    Na página Contas, revise a coluna Monitoramento de logs de auditoria do EKS para ver o status da sua conta-membro.

  3. Para habilitar ou desabilitar o Monitoramento de logs de auditoria do EKS

    Selecione uma conta que você deseja configurar para o Monitoramento de logs de auditoria do EKS. Você pode selecionar várias contas ao mesmo tempo. No menu suspenso Editar planos de proteção, escolha Monitoramento de logs de auditoria do EKS e escolha a opção apropriada.

API/CLI

Para habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para suas contas-membro, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED. Você também pode passar uma lista de IDs de contas separadas por um espaço.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'