使用 Amazon GuardDuty 检测威胁 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

使用 Amazon GuardDuty 检测威胁

Amazon GuardDuty 是一项威胁检测服务,有助于保护您的账户、容器、工作负载和 Amazon 环境中的数据。GuardDuty 使用机器学习(ML)模型以及异常和威胁检测功能,持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。

除其他功能外,GuardDuty 还提供以下两项功能,用于检测 EKS 集群面临的潜在威胁:EKS 保护运行时监控

EKS 保护

此功能提供威胁检测覆盖范围,帮助您通过监控关联的 Kubernetes 审计日志来保护 Amazon EKS 集群。Kubernetes 审计日志可捕获集群内的连续操作,包括来自用户、使用 Kubernetes API 的应用程序以及控制面板的活动。例如,GuardDuty 可以识别出未经身份验证的用户执行的 API 调用,这些调用可能用于篡改 Kubernetes 集群中的资源。

启用 EKS 保护后,GuardDuty 将只能访问 Amazon EKS 审计日志,从而持续进行威胁检测。如果 GuardDuty 发现集群存在潜在威胁,就会生成具有特定类型的关联的 Kubernetes 审计日志调查发现。有关 Kubernetes 审计日志中可用的调查发现类型的更多信息,请参阅《Amazon GuardDuty User Guide》中的 Kubernetes audit logs finding types

有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 EKS Protection

运行时监控

此功能可监控和分析操作系统级事件、网络事件和文件事件,帮助您检测环境中特定 Amazon 工作负载中的潜在威胁。

启用运行时监控并在 Amazon EKS 集群中安装 GuardDuty 代理后,GuardDuty 就会开始监控与此集群关联的运行时事件。如果 GuardDuty 发现集群存在潜在威胁,就会生成关联的运行时监控调查发现。例如,威胁可能会从破坏单个容器开始,而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下,错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。

要配置运行时监控,可将 GuardDuty 代理作为 Amazon EKS 附加组件安装到集群中。有关附加组件的更多信息,请参阅 Amazon EKS 提供的可用 Amazon EKS 附加组件

有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 Runtime Monitoring