Détectez les menaces avec Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui vous aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de fonctionnalités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.

Parmi les autres fonctionnalités, GuardDuty propose les deux fonctionnalités suivantes qui détectent les menaces potentielles pour vos clusters EKS : la protection EKS et la surveillance du temps d'exécution.

Note

Nouveau : le mode automatique d'Amazon EKS s'intègre à GuardDuty.

Protection EKS

Cette fonctionnalité fournit une couverture de détection des menaces pour vous aider à protéger les clusters Amazon EKS en surveillant les journaux d'audit Kubernetes associés. Les journaux d'audit Kubernetes capturent les actions séquentielles au sein de votre cluster, notamment les activités des utilisateurs, des applications utilisant l'API Kubernetes et du plan de contrôle. Par exemple, GuardDuty peut identifier que les appels visant à altérer potentiellement les ressources d'un cluster Kubernetes ont été APIs appelés par un utilisateur non authentifié.

Lorsque vous activez EKS Protection, vous ne GuardDuty pourrez accéder à vos journaux d'audit Amazon EKS que pour une détection continue des menaces. S'il GuardDuty identifie une menace potentielle pour votre cluster, il génère une découverte associée au journal d'audit Kubernetes d'un type spécifique. Pour plus d'informations sur les types de résultats disponibles dans les journaux d'audit Kubernetes, consultez la section Types de résultats des journaux d'audit Kubernetes dans le guide de l'utilisateur Amazon. GuardDuty

Pour plus d'informations, consultez EKS Protection dans le guide de GuardDuty l'utilisateur Amazon.

Surveillance du temps d'exécution

Cette fonctionnalité surveille et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers afin de vous aider à détecter les menaces potentielles liées à des AWS charges de travail spécifiques de votre environnement.

Lorsque vous activez la surveillance du temps d'exécution et que vous installez l' GuardDuty agent dans vos clusters Amazon EKS, GuardDuty commence à surveiller les événements d'exécution associés à ce cluster. Notez que l' GuardDuty agent et la surveillance du temps d'exécution ne sont pas disponibles pour les nœuds hybrides Amazon EKS. La surveillance du temps d'exécution n'est donc pas disponible pour les événements d'exécution qui se produisent sur vos nœuds hybrides. S'il GuardDuty identifie une menace potentielle pour votre cluster, il génère un résultat de surveillance du temps d'exécution associé. Par exemple, une menace peut potentiellement commencer par compromettre un conteneur unique qui exécute une application Web vulnérable. Cette application Web peut disposer d'autorisations d'accès aux conteneurs et aux charges de travail sous-jacents. Dans ce scénario, des informations d'identification mal configurées peuvent potentiellement élargir l'accès au compte et aux données qui y sont stockées.

Pour configurer la surveillance du temps d'exécution, vous devez installer l' GuardDuty agent sur votre cluster en tant que module complémentaire Amazon EKS. Pour plus d'informations sur le module complémentaire, consultezAWS Modules complémentaires.

Pour plus d'informations, consultez la section Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.