使用 Security Lake 集中和分析 EKS 安全数据 - Amazon EKS
将 Security Lake 与 Amazon EKS 结合使用的益处为 Amazon EKS 启用 Security Lake在 Security Lake 中分析 EKS 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

使用 Security Lake 集中和分析 EKS 安全数据

重要

Amazon Security Lake 在中国区域不可用。

Amazon Security Lake 是一项完全托管的安全数据湖服务,通过它,您可以集中来自各种来源(包括 Amazon EKS)的安全数据。通过将 Amazon EKS 与 Security Lake 集成,您可以更深入地了解在您的 Kubernetes 资源上执行的活动,并增强 Amazon EKS 集群的安全状况。

注意

有关将 Security Lake 与 Amazon EKS 结合使用和设置数据来源的更多信息,请参阅 Amazon Security Lake 文档

将 Security Lake 与 Amazon EKS 结合使用的益处

集中安全数据 – Security Lake 自动收集和集中来自 Amazon EKS 集群的安全数据,以及来自其他 Amazon 服务、SaaS 提供商、本地来源和第三方来源的数据。这将提供整个组织的安全状况的全面视图。

标准化数据格式 – Security Lake 将收集的数据转换为标准开源架构 – 开放网络安全架构框架(OCSF)格式。这种标准化使分析和集成其他安全工具和服务变得更加容易。

改进了威胁检测 – 通过分析集中式安全数据,包括 Amazon EKS 控制面板日志,您可以更有效地检测 Amazon EKS 集群中可能存在的可疑活动。这有助于及时识别和响应安全事件。

简化数据管理 – Security Lake 通过可自定义的保留设置和复制设置来管理安全数据的生命周期。这简化了数据管理任务,并确保您可以保留用于合规和审计目的所需的数据。

为 Amazon EKS 启用 Security Lake

要开始将 Security Lake 与 Amazon EKS 结合使用,请执行以下步骤:

  1. 为 EKS 集群启用 Amazon EKS 控制面板日志记录。有关详细说明,请参阅启用和禁用控制面板日志

  2. 将 Amazon EKS 审核日志作为来源添加到 Security Lake 中。然后,Security Lake 将开始收集在您的 EKS 集群中运行的 Kubernetes 资源上执行的活动的相关深入信息。

  3. 根据您的要求在 Security Lake 中为您的安全数据配置保留和复制设置

  4. 使用存储在 Security Lake 中的标准化 OCSF 数据进行事件响应、安全分析以及与其他 Amazon 服务或第三方工具的集成。例如,您可以使用 Amazon OpenSearch Ingestion 从 Amazon Security Lake 数据中生成安全见解

在 Security Lake 中分析 EKS 日志

Security Lake 将 EKS 日志事件标准化为 OCSF 格式,从而使分析数据并将其与其他安全事件关联起来更加容易。您可以使用各种工具和服务,例如 Amazon Athena、Amazon QuickSight 或第三方安全分析工具,来查询和可视化标准化数据。

有关 EKS 日志事件的 OCSF 映射的详细信息,请参阅 OCSF GitHub 存储库中的映射参考