使用 Amazon Detective 分析 EKS 上的安全事件 - Amazon EKS
將 Amazon Detective 與 Amazon EKS 搭配使用

協助改進此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Detective 分析 EKS 上的安全事件

Amazon Detective 會協助您分析、調查並快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective 提供預先建置的資料彙總、摘要和內容,可協助您快速分析並判斷潛在安全問題的本質和範圍。如需詳細資訊,請參閱 Amazon Detective 使用者指南

Detective 會將 Kubernetes 和 AWS 資料組織到問題清單,例如:

  • Amazon EKS 叢集詳細資訊,包括建立叢集的 IAM 身分和叢集的服務角色。您可以使用 Detective 調查這些 IAM 身分的 AWS 和 Kubernetes API 活動。

  • 容器詳細資料,例如映像和安全性內容。您也可檢閱已終止 Pod 的詳細資訊。

  • Kubernetes API 活動,包括 API 活動的整體趨勢以及特定 API 呼叫的詳細資料。例如,您可以顯示在指定時間範圍內成功和失敗的 Kubernetes API 呼叫資料。此外,最新觀察到的 API 呼叫部分可能有助於識別可疑活動。

Amazon EKS 稽核日誌是選用的資料來源套件,可新增至您的 Detective 行為圖表。您可以在帳戶中檢視可用的選用來源套件及其狀態。如需詳細資訊,請參閱《Amazon Detective 使用者指南》中的 Detective 的 Amazon EKS 稽核日誌

將 Amazon Detective 與 Amazon EKS 搭配使用

您必須先在叢集所在的相同 AWS 區域中啟用 Detective 至少 48 小時,才能檢閱問題清單。如需詳細資訊,請參閱《Amazon Detective 使用者指南》中的 設定 Amazon Detective

  1. 打開 Detective 主控台,網址為 https://console.aws.amazon.com/detective/。

  2. 從左側導覽窗格選取搜尋

  3. 選取選擇類型,然後選取 EKS 叢集

  4. 輸入叢集名稱或 ARN,然後選擇搜尋

  5. 在搜尋結果中,選取要檢視其活動的叢集名稱。如需有關可檢視內容的詳細資訊,請參閱《Amazon Detective 使用者指南》中涉及 Amazon EKS 叢集的整體 Kubernetes API 活動