協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
使用 Amazon GuardDuty 偵測威脅
Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時期活動,以識別環境中的潛在安全風險和惡意活動和排定其優先順序。
除了這些功能外,GuardDuty 還提供下列兩種功能,可偵測對 EKS 叢集的潛在威脅:EKS 保護和執行時期監控。
注意
新增:Amazon EKS 自動模式可與 GuardDuty 整合。
- EKS 保護
-
此功能提供威脅偵測涵蓋範圍,可透過監控相關聯的 Kubernetes 稽核日誌來協助您保護 Amazon EKS 叢集。Kubernetes 稽核日誌會擷取叢集中的連續動作,包括來自使用者的活動、使用 Kubernetes API 的應用程式以及控制平面。例如,GuardDuty 可以識別未經身分驗證的使用者調用的可能竄改 Kubernetes 叢集中字元的 API 呼叫。
當您啟用 EKS 保護時,GuardDuty 將只能存取 Amazon EKS 稽核日誌,以實現持續威脅偵測。如果 GuardDuty 識別出叢集的潛在威脅,則其會產生特定類型的相關聯 Kubernetes 稽核日誌調查結果。如需有關 Kubernetes 稽核日誌中可用調查結果類型的詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 Kubernetes 稽核日誌調查結果類型。
如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的 EKS 保護。
- 執行時期監控
-
此功能會監控和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。
當您在 Amazon EKS 啟用執行時期監控並安裝 GuardDuty 代理程式時,GuardDuty 會開始監控與此叢集相關聯的執行時期事件。請注意,GuardDuty 代理程式和執行時期監控不適用於 Amazon EKS 混合節點,因此執行時期監控不適用於在混合節點上發生的執行時期事件。如果 GuardDuty 識別出叢集的潛在威脅,則其會產生相關聯的執行時期監控調查結果。例如,威脅可能會透過入侵執行具漏洞 Web 應用程式的單一容器開始。此 Web 應用程式可能擁有基礎容器和工作負載的存取許可。在這種情況下,設定錯誤的憑證可能會導致更廣泛地存取帳戶及其中儲存的資料。
若要設定執行時期監控,您可將 GuardDuty 代理程式作為 Amazon EKS 附加元件安裝至您的叢集中。如需附加元件的詳細資訊,請參閱 AWS 附加元件。
如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的執行時期監控。
