EKS 監査ログのモニタリング - Amazon GuardDuty
スタンドアロンアカウントの EKS 監査ログのモニタリングの設定マルチアカウント環境での EKS 監査ログのモニタリングの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EKS 監査ログのモニタリング

EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service 内の EKS クラスターで疑わしいと思われるアクティビティを検出するのに役立ちます。EKS 監査ログのモニタリングを有効にすると、 GuardDuty はすぐに Amazon EKS クラスターEKS 監査ログのモニタリングからのモニタリングを開始し、悪意のあるアクティビティや疑わしいアクティビティがないか分析します。Kubernetes 監査ログイベントは、監査ログの独立した重複ストリームを介して、Amazon EKS コントロールプレーンのログ記録機能から直接消費されます。このプロセスでは、追加の設定は不要で、既存の Amazon EKS コントロールプレーンのログ設定 (存在する場合) に影響はありません。

EKS 監査ログのモニタリングを無効にすると、 は Amazon EKS リソースの EKS 監査ログのモニタリングと分析を GuardDuty 直ちに停止します。

EKS 監査ログのモニタリング GuardDuty は、 AWS リージョン が利用可能なすべての で利用できるとは限りません。詳細については、「リージョン固有機能の可用性」を参照してください。

30 日間の無料トライアル期間が GuardDuty アカウントに与える影響

  • GuardDuty を初めて有効にすると、EKS 監査ログのモニタリングは既に 30 日間の無料トライアル期間に含まれています。

  • 30 日間の無料トライアルが終了した既存の GuardDuty アカウントは、30 日間の無料トライアル期間で初めて EKS 監査ログのモニタリングを有効にできます。

スタンドアロンアカウントの EKS 監査ログのモニタリングの設定

任意のアクセス方法を選択して、スタンドアロンアカウントのために EKS 監査ログモニタリングを有効または無効にします。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[EKS Protection] を選択します。

  3. [設定] タブでは、EKS 監査ログのモニタリングの現在の設定ステータスを確認できます。[EKS 監査ログモニタリング] セクションで、[有効にする] を選択して EKS 監査ログモニタリング機能を有効にするか、または [無効にする] を選択して無効にします。

  4. [保存] を選択します。

API/CLI

  • 委任された GuardDuty 管理者アカウントのリージョンレベルのディテクター ID を使用して updateDetector API オペレーションを実行し、featuresオブジェクト名を としてEKS_AUDIT_LOGS、ステータスを ENABLEDまたは として渡しますDISABLED

    または、 AWS CLI コマンドを実行する EKS 監査ログのモニタリングを有効または無効にすることもできます。次のサンプルコードは、 GuardDuty EKS 監査ログのモニタリングを有効にします。無効にするには、ENABLEDDISABLED に置き換えます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'

マルチアカウント環境での EKS 監査ログのモニタリングの設定

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの EKS 監査ログのモニタリング機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。この委任された GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントの EKS 監査ログのモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの EKS 監査ログのモニタリングを設定します。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず管理アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[EKS Protection] を選択します。

  3. [設定] タブでは、各セクションにおける EKS 監査ログのモニタリングの現在の設定ステータスを確認できます。委任された GuardDuty 管理者アカウントの設定を更新するには、EKS 監査ログのモニタリングペインで編集を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用

    • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントに対して保護プランが有効になります。

    • [保存] を選択します。

    [アカウントを手動で設定] の使用

    • 委任された GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定を選択します。

    • 委任された GuardDuty 管理者アカウント (このアカウント) セクションで 有効化 を選択します。

    • [保存] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト nameEKS_AUDIT_LOGS として、statusENABLED または DISABLED として渡して、updateDetector API オペレーションを実行します。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

次の AWS CLI コマンドを実行すると、EKS 監査ログのモニタリングを有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID を使用してください。

注記

次のサンプルコードは EKS 監査ログのモニタリングを有効にします。12abc34d567e8fa901bc2d34e56789f0 detector-idを委任 GuardDuty 管理者アカウントの に、555555555555 を AWS アカウント 委任 GuardDuty 管理者アカウントの に置き換えてください。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

EKS 監査ログモニタリングを無効にするには、ENABLED を DISABLED に置き換えます。

任意のアクセス方法を選択して、組織内の既存のメンバーアカウントの EKS 監査ログのモニタリングを有効にします。

Console

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    [EKS Protection] ページの使用

    1. ナビゲーションペインで、[EKS Protection] を選択します。

    2. [設定] タブでは、組織内のアクティブなメンバーアカウントの EKS 監査ログのモニタリングの現在のステータスを確認できます。

      EKS 監査ログモニタリング設定を更新するには、[編集] を選択します。

    3. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について EKS 監査ログモニタリングが自動的に有効になります。

    4. [保存] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用

    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[EKS 監査ログモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。

    4. [保存] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できず、組織内の特定のアカウントのために EKS 監査ログモニタリング設定をカスタマイズする場合は、「メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にする」を参照してください。

API/CLI

  • メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID を使用し、updateMemberDetectors API オペレーションを呼び出します。

  • 次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLEDDISABLED に置き換えます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    注記

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントの EKS 監査ログのモニタリングを有効にします。

Console

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[EKS Protection] を選択します。

  3. EKS Protection ページで、 GuardDuty実行型マルウェアスキャン設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [保存] を選択します。

API/CLI

  • メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID を使用し、updateMemberDetectors API オペレーションを呼び出します。

  • 次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLEDDISABLED に置き換えます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    注記

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

新しく追加されたメンバーアカウントは、 GuardDuty実行型マルウェアスキャンの設定を選択する前に を有効にする GuardDuty 必要があります。招待によって管理されるメンバーアカウントは、アカウントに対して GuardDuty実行型マルウェアスキャンを手動で設定できます。詳細については、「Step 3 - Accept an invitation」を参照してください。

任意のアクセス方法を選択して、組織に参加する新規アカウントの EKS 監査ログのモニタリングを有効にします。

Console

委任された GuardDuty 管理者アカウントは、EKS 監査ログのモニタリングページまたはアカウントページを使用して、組織内の新しいメンバーアカウントの EKS 監査ログのモニタリングを有効にできます。

新しいメンバーアカウントの EKS 監査ログのモニタリングを自動で有効にするには

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • [EKS Protection] ページを使用する場合:

      1. ナビゲーションペインで、[EKS Protection] を選択します。

      2. [EKS Protection] ページで、[EKS 監査ログモニタリング] の [編集] を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために EKS 監査ログモニタリングが自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。

      5. [保存] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. [自動有効化の詳細設定を管理] ウィンドウで、[EKS 監査ログモニタリング] の下の [新しいアカウントについて有効にする] を選択します。

      4. [保存] を選択します。

API/CLI

  • 新しいアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID を使用し、UpdateOrganizationConfiguration API オペレーションを実行します。

  • 次の例では、組織に参加する新規メンバーの EKS 監査ログのモニタリングを有効にする方法を示しています。スペースで区切られたアカウント ID のリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

任意のアクセス方法を選択して、組織内の選択的メンバーアカウントの EKS 監査ログのモニタリングを有効または無効にします。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    [アカウント] ページで、[EKS 監査ログのモニタリング] 列でメンバーアカウントのステータスを確認します。

  3. EKS 監査ログのモニタリングを有効または無効にするには

    EKS 監査ログのモニタリング用に設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンで [EKS 監査ログのモニタリング] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自身のディテクター ID を使用し、updateMemberDetectors API オペレーションを呼び出します。

次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLEDDISABLED に置き換えます。スペースで区切られたアカウント ID のリストを渡すこともできます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'