Supervisión de registros de auditoría de EKS

La supervisión de registros de auditoría de EKS le ayuda a detectar actividades potencialmente sospechosas en sus clústeres de EKS dentro de Amazon Elastic Kubernetes Service. Cuando habilita la monitorización de registros de auditoría de EKS, comienza GuardDuty inmediatamente a monitorizar Supervisión del registro de auditoría de EKS desde sus clústeres de Amazon EKS y a analizarlos para detectar posibles actividades maliciosas o sospechosas. Consume los eventos del registro de auditoría de Kubernetes directamente desde la función de registro del plano de control de Amazon EKS a través de un flujo independiente y duplicado de registros de auditoría. Este proceso no requiere ninguna configuración adicional ni afecta a ninguna configuración de registro del plano de control de Amazon EKS existente que pueda tener.

Al deshabilitar la supervisión de registros de auditoría de EKS, deja de supervisar y analizar GuardDuty inmediatamente los registros de auditoría de EKS de sus recursos de Amazon EKS.

Es posible que la supervisión de los registros de auditoría de EKS no esté disponible en todos los Regiones de AWS lugares donde GuardDuty esté disponible. Para obtener más información, consulte Disponibilidad de características específicas por región.

Cómo afecta GuardDuty el período de prueba gratuito de 30 días a las cuentas

• Al activarlo GuardDuty por primera vez, el monitoreo de registros de auditoría de EKS ya está incluido en el período de prueba gratuito de 30 días.

• GuardDuty Las cuentas existentes, cuya prueba gratuita de 30 días ya ha finalizado, pueden habilitar EKS Audit Log Monitoring por primera vez con un período de prueba gratuito de 30 días.

Configuración de la supervisión de registros de auditoría de EKS para una cuenta independiente

Elija el método de acceso que prefiera para activar o desactivar la supervisión de registros de auditoría de EKS para una cuenta independiente.

Console

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. En el panel de navegación, elija Protección de EKS.

3. En la pestaña Configuración, puede ver el estado de la configuración actual de la supervisión de registros de auditoría de EKS. En la sección Supervisión de registros de auditoría de EKS, seleccione Habilitar para habilitar o Deshabilitar para deshabilitar la característica de supervisión de registros de auditoría de EKS.

4. Seleccione Guardar.

API/CLI

• Ejecute la operación de la updateDetectorAPI utilizando el ID de detector regional de la cuenta de GuardDuty administrador delegado y pasando el nombre del features objeto como EKS_AUDIT_LOGS y su estado como ENABLED oDISABLED.

  Como alternativa, también puede activar o desactivar la supervisión del registro de auditoría de EKS ejecutando un AWS CLI comando. El siguiente código de ejemplo habilita la monitorización del registro de auditoría de GuardDuty EKS. Para desactivarlo, sustituya ENABLED por DISABLED.

  Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la ListDetectorsAPI

  aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'

Configuración de la supervisión de registros de auditoría de EKS en entornos con varias cuentas

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de activar o desactivar la función de supervisión del registro de auditoría de EKS para las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Esta cuenta de GuardDuty administrador delegado puede optar por habilitar automáticamente la supervisión del registro de auditoría de EKS para todas las cuentas nuevas a medida que se unan a la organización. Para obtener más información sobre los entornos de varias cuentas, consulta Administrar varias cuentas en Amazon. GuardDuty

Configuración de EKS Audit Log Monitoring para una cuenta de administrador delegado GuardDuty

Elija el método de acceso que prefiera para configurar la supervisión del registro de auditoría de EKS para la cuenta de GuardDuty administrador delegado.

Console

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de administración.

2. En el panel de navegación, elija Protección de EKS.

3. En la pestaña Configuración, puede ver el estado de la configuración actual de la supervisión de registros de auditoría de EKS en la respectiva sección. Para actualizar la configuración de la cuenta de GuardDuty administrador delegado, seleccione Editar en el panel de supervisión del registro de auditoría de EKS.

4. Realice una de las siguientes acciones siguientes:

   Uso de Habilitar para todas las cuentas

   • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

   • Seleccione Guardar.

   Uso de Configurar cuentas manualmente

   • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

   • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

   • Seleccione Guardar.

API/CLI

Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name del objeto features como EKS_AUDIT_LOGS y status como ENABLED o DISABLED.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

Puede activar o desactivar la supervisión del registro de auditoría de EKS ejecutando el siguiente AWS CLI comando. Asegúrese de utilizar el ID de detector válido de la cuenta de GuardDuty administrador delegado.

nota

El siguiente código de ejemplo habilita la supervisión de registros de auditoría de EKS. Asegúrese de sustituir 12abc34d567e8fa901bc2d34e56789f0 por la de la cuenta de administrador delegado y 555555555555 por la de la cuenta de administrador delegado. detector-id GuardDuty Cuenta de AWS GuardDuty

Para detectorId encontrar la correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

Para deshabilitar la supervisión de registros de auditoría de EKS, sustituya ENABLED por DISABLED.

Habilitación automática de la supervisión de registros de auditoría de EKS para todas las cuentas de miembros

Elija su método de acceso preferido para habilitar la supervisión de registros de auditoría de EKS en todas las cuentas de miembros existentes en la organización.

Console

1. Inicia sesión en la GuardDuty consola AWS Management Console y ábrela en https://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

2. Realice una de las siguientes acciones siguientes:

   Mediante la página Protección de EKS

   1. En el panel de navegación, elija Protección de EKS.

   2. En la pestaña Configuración, puede ver el estado actual de la supervisión de registros de auditoría de EKS para las cuentas de miembros activos de su organización.

      Para actualizar la configuración de la Supervisión de registros de auditoría de EKS, elija Editar.

   3. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la supervisión de registros de auditoría de EKS para las cuentas nuevas y existentes de la organización.

   4. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

   Uso de la página Cuentas

   1. En el panel de navegación, elija Accounts (Cuentas).

   2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

   3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Supervisión de registros de auditoría de EKS.

   4. Seleccione Guardar.

   Si no puede utilizar la opción Habilitar para todas las cuentas y desea personalizar la configuración de la Supervisión de registros de auditoría de EKS para cuentas específicas de su organización, consulte Activación o desactivación de forma selectiva de la supervisión de registros de auditoría de EKS para las cuentas de miembros.

API/CLI

• Para activar o desactivar la Supervisión de registros de auditoría de EKS de forma selectiva para sus cuentas de miembros, ejecute la operación de la API updateMemberDetectors con su propio ID de detector.

• El siguiente ejemplo muestra cómo se puede habilitar la supervisión de registros de auditoría de EKS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

  Para encontrar las detectorId de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'

  nota

  También puede pasar una lista de ID de cuentas separadas por un espacio.

• Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Habilitación de la Supervisión de registros de auditoría de EKS para todas las cuentas de miembros activos existentes

Elija su método de acceso preferido para habilitar la supervisión de registros de auditoría de EKS en todas las cuentas de miembros activos existentes en la organización.

Console

1. Inicia sesión en la GuardDuty consola AWS Management Console y ábrela en https://console.aws.amazon.com/guardduty/.

   Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

2. En el panel de navegación, elija Protección de EKS.

3. En la página de protección de EKS, puede ver el estado actual de la configuración de análisis GuardDutyde malware iniciada. En la sección Cuentas de miembros activas, seleccione Acciones.

4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

5. Seleccione Guardar.

API/CLI

• Para activar o desactivar la Supervisión de registros de auditoría de EKS de forma selectiva para sus cuentas de miembros, ejecute la operación de la API updateMemberDetectors con su propio ID de detector.

• El siguiente ejemplo muestra cómo se puede habilitar la supervisión de registros de auditoría de EKS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

  Para encontrar el detectorId de su cuenta y su región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'

  nota

  También puede pasar una lista de ID de cuentas separadas por un espacio.

• Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Habilitación automática de la Supervisión de registros de auditoría de EKS para las cuentas de miembros nuevos

Las cuentas de los miembros recién agregadas deben habilitarse GuardDuty antes de seleccionar la configuración del análisis GuardDuty de malware iniciado. Las cuentas de los miembros gestionadas mediante invitación pueden configurar manualmente la detección GuardDuty de malware iniciada para sus cuentas. Para obtener más información, consulte Step 3 - Accept an invitation.

Elija su método de acceso preferido para habilitar la supervisión de registros de auditoría de EKS en las cuentas de miembros nuevos que se unen a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar la supervisión del registro de auditoría de EKS para las cuentas de los nuevos miembros de una organización, mediante la página de supervisión del registro de auditoría de EKS o la página de cuentas.

Habilitación automática de la Supervisión de registros de auditoría de EKS para las cuentas de miembros nuevos

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

2. Realice una de las siguientes acciones siguientes:

   • Mediante la página Protección de EKS:

     1. En el panel de navegación, elija Protección de EKS.

     2. En la página Protección de EKS, seleccione Editar en Supervisión de registros de auditoría de EKS.

     3. Elija Configurar cuentas manualmente.

     4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que, cada vez que una nueva cuenta se una a su organización, la supervisión de registros de auditoría de EKS se habilite automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

     5. Seleccione Guardar.

   • Mediante la página Cuentas:

     1. En el panel de navegación, elija Accounts (Cuentas).

     2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

     3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las cuentas nuevas en Supervisión de registros de auditoría de EKS.

     4. Seleccione Guardar.

API/CLI

• Para activar o desactivar la Supervisión de registros de auditoría de EKS de forma selectiva para las cuentas nuevas, ejecute la operación de la API UpdateOrganizationConfiguration con su propio ID de detector.

• El siguiente ejemplo muestra cómo puede habilitar la supervisión de registros de auditoría de EKS para los nuevos miembros que se unan a su organización. También puede pasar una lista de ID de cuentas separadas por un espacio.

  Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

Activación o desactivación de forma selectiva de la supervisión de registros de auditoría de EKS para las cuentas de miembros

Elija su método de acceso preferido para activar o desactiva la supervisión de registros de auditoría de EKS en cuentas de miembros selectivas en la organización.

Console

1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

2. En el panel de navegación, elija Accounts (Cuentas).

   En la página Cuentas, revise la columna Supervisión de registros de auditoría de EKS para ver el estado de su cuenta de miembro.

3. Activación o desactivación de la Supervisión de registros de auditoría de EKS

   Seleccione una cuenta que desee configurar para la Supervisión de registros de auditoría de EKS. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione Supervisión de registros de auditoría de EKS y, a continuación, elija la opción adecuada.

API/CLI

Para activar o desactivar la Supervisión de registros de auditoría de EKS de forma selectiva para sus cuentas de miembros, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

El siguiente ejemplo muestra cómo se puede habilitar la supervisión de registros de auditoría de EKS para una sola cuenta de miembro. Para desactivarlo, sustituya ENABLED por DISABLED. También puede pasar una lista de ID de cuentas separadas por un espacio.

Para encontrar las detectorId de tu cuenta y de tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'