使用 Amazon Detective 在 EKS 上分析安全事件 - Amazon EKS
将 Amazon Detective 与 Amazon EKS 结合使用

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

使用 Amazon Detective 在 EKS 上分析安全事件

Amazon Detective 可帮助您分析、调查和快速识别安全结果或可疑活动的根本原因。Detective 会自动从AWS资源收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 的预构建数据聚合、摘要和上下文可有助于分析和确定潜在安全问题的性质和程度。有关更多信息,请参阅 Amazon Detective 用户指南

Detective 将 Kubernetes 和 AWS 数据组织到发现结果中,例如:

  • Amazon EKS 集群详细信息,包括创建集群的 IAM 身份和集群的服务角色。可以使用 Detective 调查这些 IAM 身份的 AWS 和 Kubernetes API 活动。

  • 容器详细信息,例如映像和安全上下文。此外,您还可以查看已终止 Pods 的详细信息。

  • Kubernetes API 活动,包括 API 活动的总体趋势和特定 API 调用的详细信息。例如,您可以显示在选定时间范围内发出的成功和失败 Kubernetes API 调用的数量。此外,有关新观察到的 API 调用的部分可能有助于识别可疑活动。

Amazon EKS 审核日志是一个可选的数据来源软件包,可以添加到您的 Detective 行为图中。您可以查看自己的账户中可用的可选来源软件包及其状态。有关更多信息,请参阅 Amazon Detective 用户指南中的适用于 Detective 的 Amazon EKS 审核日志

将 Amazon Detective 与 Amazon EKS 结合使用

查看 Amazon EKS 集群的发现结果

在查看发现结果之前,必须于集群所在的同一 AWS 区域 内启用 Detective 至少 48 小时。有关更多信息,请参阅 Amazon Detective 用户指南中的设置 Amazon Detective

  1. 打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/

  2. 从左侧导航窗格中选择搜索

  3. 选择选择类型,然后选择 EKS 集群

  4. 输入集群名称或 ARN,然后选择搜索

  5. 在搜索结果中,选择要查看其活动的集群的名称。有关您可以查看的内容的更多信息,请参阅 Amazon Detective 用户指南中的涉及 Amazon EKS 集群的整体 Kubernetes API 活动