Bedrohungen mit Amazon GuardDuty erkennen - Amazon EKS

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Bedrohungen mit Amazon GuardDuty erkennen

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und Daten in Ihrer AWS-Umgebung zu schützen. Mit Machine Learning (ML)-Modellen sowie Funktionen zur Erkennung von Anomalien und Bedrohungen überwacht GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.

Neben anderen Features bietet GuardDuty die folgenden zwei Features, die potenzielle Bedrohungen für Ihre EKS-Cluster erkennen: EKS-Schutz und Laufzeit-Überwachung.

Anmerkung

Neu: Amazon EKS Auto Mode ist in GuardDuty integriert.

EKS-Schutz

Dieses Feature bietet Schutz vor Bedrohungen, indem es die zugehörigen Kubernetes-Auditprotokolle überwacht und so zum Schutz Ihrer Amazon-EKS-Cluster beiträgt. Kubernetes-Auditprotokolle erfassen sequenzielle Aktionen innerhalb Ihres Clusters, einschließlich Aktivitäten von Benutzern, Anwendungen, welche die Kubernetes-API verwenden, und der Steuerebene. GuardDuty kann beispielsweise erkennen, dass APIs, die möglicherweise zur Manipulation von Ressourcen in einem Kubernetes-Cluster aufgerufen wurden, von einem nicht authentifizierten Benutzer aufgerufen wurden.

Wenn Sie EKS Protection aktivieren, kann GuardDuty ausschließlich zum Zwecke der kontinuierlichen Bedrohungserkennung auf Ihre Amazon-EKS-Auditprotokolle zugreifen. Wenn GuardDuty eine potenzielle Bedrohung für Ihren Cluster identifiziert, generiert es einen entsprechenden Kubernetes-Audit-Protokoll-Befund eines bestimmten Typs. Weitere Informationen zu den in Kubernetes-Auditprotokollen verfügbaren Ergebnistypen finden Sie unter Befundtypen für Kubernetes-Auditprotokolle im Amazon GuardDuty-Benutzerhandbuch.

Weitere Informationen finden Sie unter EKS-Schutz im Amazon-GuardDuty-Benutzerhandbuch.

Laufzeitüberwachung

Dieses Feature überwacht und analysiert Ereignisse auf Betriebssystemebene, im Netzwerk und in Dateien, um Ihnen dabei zu helfen, potenzielle Bedrohungen in bestimmten AWS-Workloads in Ihrer Umgebung zu erkennen.

Wenn Sie die Laufzeitüberwachung aktivieren und den GuardDuty-Agenten in Ihren Amazon-EKS-Clustern installieren, beginnt GuardDuty mit der Überwachung der diesem Cluster zugeordneten Laufzeitereignisse. Beachten Sie, dass der GuardDuty-Agent und die Laufzeitüberwachung für Amazon EKS Hybrid Nodes nicht verfügbar sind. Daher ist die Laufzeitüberwachung für Laufzeitereignisse, die auf Ihren Hybridknoten auftreten, nicht verfügbar. Wenn GuardDuty eine potenzielle Bedrohung für Ihren Cluster identifiziert, generiert es einen entsprechenden Befund zur Laufzeitüberwachung. Eine Bedrohung kann beispielsweise dadurch entstehen, dass ein einzelner Container kompromittiert wird, auf dem eine anfällige Web-Anwendung ausgeführt wird. Diese Web-Anwendung verfügt möglicherweise über Zugriffsberechtigungen für die zugrunde liegenden Container und Workloads. In diesem Fall könnten falsch konfigurierte Anmeldedaten möglicherweise zu einem umfassenderen Zugriff auf das Konto und die darin gespeicherten Daten führen.

Um die Laufzeitüberwachung zu konfigurieren, installieren Sie den GuardDuty-Agenten als Amazon-EKS-Add-On auf Ihrem Cluster. Weitere Informationen zu Add-Ons finden Sie unter AWS-Add-Ons.

Weitere Informationen finden Sie unter Laufzeitüberwachung im Amazon-GuardDuty-Benutzerhandbuch.