協助改進此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Security Lake 集中和分析 EKS 安全資料
Amazon Security Lake 是一項全受管的安全資料湖服務,可讓您集中各種來源的安全資料,包括 Amazon EKS。透過整合 Amazon EKS 與 Security Lake,您可以更深入地了解在 Kubernetes 資源上執行的活動,並增強 Amazon EKS 叢集的安全狀態。
注意
如需有關搭配 Amazon EKS 使用 Security Lake 和設定資料來源的詳細資訊,請參閱 Amazon Security Lake 文件。
搭配 Amazon EKS 使用 Security Lake 的優勢
集中式安全資料 — Security Lake 會自動從 Amazon EKS 叢集收集和集中安全資料,以及其他 AWS 服務、SaaS 提供者、內部部署來源和第三方來源的資料。這樣可供您全面檢視整個組織的安全狀態。
標準化資料格式:Security Lake 會將收集的資料轉換為 Open Cybersecurity Schema Framework (OCSF) 格式,這是標準的開放原始碼結構描述。此標準化可讓您更輕鬆地進行分析,以及與其他安全工具和服務進行整合。
改善威脅偵測:透過分析集中式安全資料,包括 Amazon EKS 控制平面日誌,您可以更有效地偵測 Amazon EKS 叢集中的潛在可疑活動。這有助於迅速識別和回應安全事件。
簡化資料管理:Security Lake 會使用可自訂保留和複寫設定來管理安全資料的生命週期。這可簡化資料管理任務,並確保您保留必要的資料,以供合規和稽核之用。
針對 Amazon EKS 啟用 Security Lake
-
為您的 EKS 叢集啟用 Amazon EKS 控制平面記錄。如需詳細說明,請參閱啟用和停用控制平面日誌。
-
在 Security Lake 中,將 Amazon EKS 稽核日誌新增為來源。然後,Security Lake 會開始收集在 EKS 叢集中執行的 Kubernetes 資源上,活動表現的深入資訊。
-
根據您的需求,在 Security Lake 中為您的安全資料設定保留和複寫設定。
-
使用存放在 Security Lake 中的標準化 OCSF 資料,進行事件回應、安全分析,以及與其他 AWS 服務或第三方工具整合。例如,您可以使用 Amazon OpenSearch Ingestion 從 Amazon Security Lake 資料產生安全洞察
。
分析 Security Lake 中的 EKS 日誌
Security Lake 會將 EKS 日誌事件標準化為 OCSF 格式,從而讓您能更輕鬆地分析資料並與其他安全事件建立關聯。您可以使用各種工具和服務,例如 Amazon Athena、Amazon QuickSight 或第三方安全分析工具,來查詢標準化資料並將其視覺化。
如需 EKS 日誌事件的 OCSF 映射詳細資訊,請參閱 OCSF GitHub 儲存庫中的 https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/EKS 稽核日誌【映射參考】。
