Surveillance des journaux d'audit EKS - Amazon GuardDuty
Configuration de la surveillance des journaux d'audit EKS pour un compte autonomeConfiguration de la surveillance des journaux d'audit EKS dans des environnements à comptes multiples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance des journaux d'audit EKS

La surveillance des journaux d'audit EKS vous aide à détecter les activités potentiellement suspectes dans vos clusters EKS au sein d'Amazon Elastic Kubernetes Service. Lorsque vous activez la surveillance du journal d'audit EKS, vous GuardDuty commencez immédiatement à effectuer une surveillance à Surveillance du journal d'audit EKS partir de vos clusters Amazon EKS et à les analyser pour détecter toute activité potentiellement malveillante et suspecte. Il utilise les événements du journal d'audit Kubernetes directement depuis la fonction de journalisation du plan de contrôle Amazon EKS via un flux indépendant et duplicatif de journaux d'audit. Ce processus ne nécessite aucune configuration supplémentaire et n'affecte aucune configuration de journalisation du plan de contrôle Amazon EKS existante que vous pourriez avoir.

Lorsque vous désactivez la surveillance des journaux d'audit EKS, la surveillance et l'analyse des journaux d'audit EKS pour vos ressources Amazon EKS sont GuardDuty immédiatement arrêtées.

La surveillance du journal d'audit EKS n'est peut-être pas disponible partout Régions AWS où GuardDuty elle est disponible. Pour plus d’informations, consultez Disponibilité des fonctionnalités propres à la région.

Comment la période d'essai gratuite de 30 jours affecte les comptes GuardDuty

  • Lorsque vous l'activez GuardDuty pour la première fois, EKS Audit Log Monitoring est déjà inclus dans la période d'essai gratuite de 30 jours.

  • Les GuardDuty comptes existants, pour lesquels l'essai gratuit de 30 jours est déjà terminé, peuvent activer EKS Audit Log Monitoring pour la première fois avec une période d'essai gratuite de 30 jours.

Configuration de la surveillance des journaux d'audit EKS pour un compte autonome

Choisissez votre méthode d'accès préférée pour activer ou désactiver la surveillance des journaux d'audit EKS pour un compte autonome.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Protection EKS.

  3. Dans l'onglet Configuration, vous pouvez consulter l'état de configuration actuel de la surveillance des journaux d'audit EKS. Dans la section Surveillance des journaux d'audit EKS, choisissez Activer pour activer ou Désactiver pour désactiver la fonctionnalité de surveillance des journaux d'audit EKS.

  4. Choisissez Enregistrer.

API/CLI

  • Exécutez l'opération d'updateDetectorAPI en utilisant l'ID de détecteur régional du compte GuardDuty administrateur délégué et en transmettant le nom de l'featuresobjet EKS_AUDIT_LOGS et le statut comme ENABLED ouDISABLED.

    Vous pouvez également activer ou désactiver la surveillance du journal d'audit EKS en exécutant une AWS CLI commande. L'exemple de code suivant active la surveillance du journal d'audit GuardDuty EKS. Pour la désactiver, remplacez ENABLED par DISABLED.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'

Configuration de la surveillance des journaux d'audit EKS dans des environnements à comptes multiples

Dans un environnement à comptes multiples, seul le compte GuardDuty administrateur délégué a la possibilité d'activer ou de désactiver la fonctionnalité EKS Audit Log Monitoring ; pour les comptes des membres de son organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Ce compte d' GuardDuty administrateur délégué peut choisir d'activer automatiquement la surveillance du journal d'audit EKS pour tous les nouveaux comptes lorsqu'ils rejoignent l'organisation. Pour plus d'informations sur les environnements à comptes multiples, consultez Gérer plusieurs comptes sur Amazon. GuardDuty

Choisissez votre méthode d'accès préférée pour configurer la surveillance du journal d'audit EKS pour le compte GuardDuty d'administrateur délégué.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte de gestion.

  2. Dans le panneau de navigation, choisissez Protection EKS.

  3. Dans l'onglet Configuration, vous pouvez consulter l'état de configuration actuel de la surveillance des journaux d'audit EKS dans la section correspondante. Pour mettre à jour la configuration du compte GuardDuty administrateur délégué, choisissez Modifier dans le volet EKS Audit Log Monitoring.

  4. Effectuez l’une des actions suivantes :

    Utilisation d'Activer pour tous les comptes

    • Choisissez Activer pour tous les comptes. Cela activera le plan de protection pour tous les GuardDuty comptes actifs de votre AWS organisation, y compris les nouveaux comptes qui rejoignent l'organisation.

    • Choisissez Enregistrer.

    Utilisation de Configurer les comptes manuellement

    • Pour activer le plan de protection uniquement pour le compte GuardDuty administrateur délégué, choisissez Configurer les comptes manuellement.

    • Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

    • Choisissez Enregistrer.

API/CLI

Exécutez l'opération d'API updateDetector en utilisant votre propre ID de détecteur régional et en transmettant l'objet features name en tant que EKS_AUDIT_LOGS et status en tant que ENABLED ou DISABLED.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

Vous pouvez activer ou désactiver la surveillance du journal d'audit EKS en exécutant la AWS CLI commande suivante. Assurez-vous d'utiliser l'identifiant de détecteur valide du compte GuardDuty administrateur délégué.

Note

L'exemple de code suivant active la surveillance des journaux d'audit EKS. Assurez-vous de remplacer 12abc34d567e8fa901bc2d34e56789f0 par le compte d'administrateur délégué et 555555555555 par le compte d'administrateur délégué. detector-id GuardDuty Compte AWS GuardDuty

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

Pour désactiver la surveillance des journaux d'audit EKS, remplacez ENABLED par DISABLED.

Choisissez votre méthode d'accès préférée afin d'activer la surveillance des journaux d'audit EKS pour les comptes membres existants de votre organisation.

Console

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    Utilisation de la page Protection EKS

    1. Dans le panneau de navigation, choisissez Protection EKS.

    2. Dans l'onglet Configuration, vous pouvez consulter l'état actuel de la surveillance des journaux d'audit EKS pour les comptes membres actifs de votre organisation.

      Pour mettre à jour la configuration de la surveillance des journaux d'audit EKS, choisissez Modifier.

    3. Choisissez Activer pour tous les comptes. Cette action active automatiquement la surveillance des journaux d'audit EKS pour les comptes existants et nouveaux de l'organisation.

    4. Choisissez Enregistrer.

      Note

      La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

    Utilisation de la page Comptes

    1. Dans le panneau de navigation, choisissez Accounts (Comptes).

    2. Sur la page Comptes, choisissez les préférences d'activation automatique avant Ajouter des comptes par invitation.

    3. Dans la fenêtre Gérer les préférences d'activation automatique, choisissez Activer pour tous les comptes sous Surveillance des journaux d'audit EKS.

    4. Choisissez Enregistrer.

    Si vous ne pouvez pas utiliser l'option Activer pour tous les comptes et que vous souhaitez personnaliser la configuration de la surveillance des journaux d'audit EKS pour des comptes spécifiques de votre organisation, veuillez consulter Activer ou désactiver de manière sélective la surveillance des journaux d'audit EKS pour les comptes membres.

API/CLI

  • Pour activer ou désactiver de manière sélective la surveillance des journaux d'audit EKS pour vos comptes membres, exécutez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment activer la surveillance des journaux d'audit EKS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    Note

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée afin d'activer la surveillance des journaux d'audit EKS pour tous les comptes membres actifs existants de votre organisation.

Console

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

    Connectez-vous à l'aide des informations d'identification du compte GuardDuty administrateur délégué.

  2. Dans le panneau de navigation, choisissez Protection EKS.

  3. Sur la page EKS Protection, vous pouvez consulter l'état actuel de la configuration de l'analyse des programmes malveillants GuardDuty initiée. Dans la section Comptes membres actifs, choisissez Actions.

  4. Dans le menu déroulant Actions, choisissez Activer pour tous les comptes membres actifs existants.

  5. Choisissez Enregistrer.

API/CLI

  • Pour activer ou désactiver de manière sélective la surveillance des journaux d'audit EKS pour vos comptes membres, exécutez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment activer la surveillance des journaux d'audit EKS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    Note

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Les comptes de membres nouvellement ajoutés doivent être activés GuardDuty avant de sélectionner la configuration de l'analyse des programmes malveillants GuardDuty initiée par le client. Les comptes des membres gérés par invitation peuvent configurer manuellement une analyse des logiciels malveillants GuardDuty initiée pour leurs comptes. Pour plus d’informations, consultez Step 3 - Accept an invitation.

Choisissez votre méthode d'accès préférée afin d'activer la surveillance des journaux d'audit EKS pour les nouveaux comptes qui rejoignent votre organisation.

Console

Le compte GuardDuty administrateur délégué peut activer la surveillance du journal d'audit EKS pour les nouveaux comptes membres d'une organisation, à l'aide de la page EKS Audit Log Monitoring ou des comptes.

Pour activer automatiquement la surveillance des journaux d'audit EKS pour les nouveaux comptes membres

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    • À l'aide de la page Protection EKS :

      1. Dans le panneau de navigation, choisissez Protection EKS.

      2. Sur la page Protection EKS, choisissez Modifier dans Surveillance des journaux d'audit EKS.

      3. Choisissez Configurer les comptes manuellement.

      4. Sélectionnez Activer automatiquement pour les nouveaux comptes membres. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la surveillance des journaux d'audit EKS sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette configuration.

      5. Choisissez Enregistrer.

    • Utilisation de la page Comptes :

      1. Dans le panneau de navigation, choisissez Accounts (Comptes).

      2. Sur la page Comptes, choisissez les préférences d'activation automatique.

      3. Dans la fenêtre Gérer les préférences d'activation automatique, sélectionnez Activer pour les nouveaux comptes sous Surveillance des journaux d'audit EKS.

      4. Choisissez Enregistrer.

API/CLI

  • Pour activer ou désactiver de manière sélective la surveillance des journaux d'audit EKS pour vos nouveaux comptes, exécutez l'opération d'API UpdateOrganizationConfiguration en utilisant votre propre ID de détecteur.

  • L'exemple suivant montre comment activer la surveillance des journaux d'audit EKS pour les nouveaux membres qui rejoignent votre organisation. Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

Choisissez votre méthode d'accès préférée pour activer ou désactiver la surveillance des journaux d'audit EKS pour certains comptes membres de votre organisation.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

    Sur la page Comptes, veuillez consulter la colonne Surveillance des journaux d'audit EKS pour connaître l'état de votre compte membre.

  3. Pour activer ou désactiver la surveillance des journaux d'audit EKS

    Sélectionnez le compte que vous souhaitez configurer pour la surveillance des journaux d'audit EKS. Vous pouvez sélectionner plusieurs comptes à la fois. Dans le menu déroulant Modifier les plans de protection, choisissez Surveillance des journaux d'audit EKS, puis choisissez l'option appropriée.

API/CLI

Pour activer ou désactiver de manière sélective la surveillance des journaux d'audit EKS pour vos comptes membres, invoquez l'opération d'API updateMemberDetectors en utilisant votre propre ID de détecteur.

L'exemple suivant montre comment activer la surveillance des journaux d'audit EKS pour un compte membre unique. Pour la désactiver, remplacez ENABLED par DISABLED. Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'