Detectar ameaças com o Amazon GuardDuty

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

Entre outros recursos, o GuardDuty oferece os dois recursos a seguir que detectam possíveis ameaças aos seus clusters do EKS: Proteção do EKS e Monitoramento de runtime.

nota

Novo: o Modo Automático do Amazon EKS se integra ao GuardDuty.

Proteção do EKS

Esse recurso fornece cobertura de detecção de ameaças para ajudar você a proteger clusters do Amazon EKS por meio do monitoramento dos logs de auditoria associados do Kubernetes. Os logs de auditoria do Kubernetes capturam ações sequenciais no cluster, incluindo atividades de usuários e aplicações usando a API do Kubernetes e o ambiente de gerenciamento. Por exemplo, o GuardDuty pode identificar que APIs chamadas para potencialmente adulterar recursos em um cluster do Kubernetes foram invocadas por um usuário não autenticado.

Quando a Proteção do EKS estiver habilitada, o GuardDuty poderá acessar seus logs de auditoria do Amazon EKS somente para detecção contínua de ameaças. Se o GuardDuty identificar uma possível ameaça ao cluster, ele vai gerar uma descoberta de log de auditoria associado do Kubernetes de um tipo específico. Para obter mais informações sobre os tipos de descobertas disponíveis nos logs de auditoria do Kubernetes, consulte Kubernetes audit logs finding types no Guia do usuário do Amazon GuardDuty.

Para obter mais informações, consulte Proteção do EKS no Guia do usuário do Amazon GuardDuty.

Monitoramento de runtime

Esse recurso monitora e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads do AWS específicas do seu ambiente.

Quando você habilita o Monitoramento de runtime e instala o agente do GuardDuty em seus clusters do Amazon EKS, o GuardDuty começa a monitorar os eventos de runtime associados a esse cluster. Observe que o agente do GuardDuty e o Monitoramento de runtime não estão disponíveis para o Amazon EKS Hybrid Nodes, portanto, o Monitoramento de runtime não está disponível para eventos de runtime que ocorrem nos nós híbridos. Se o GuardDuty identificar uma possível ameaça ao seu cluster, ele gerará uma descoberta de Monitoramento de runtime. Por exemplo, uma ameaça pode começar comprometendo um único contêiner que executa uma aplicação Web vulnerável. Essa aplicação Web pode ter permissões de acesso aos contêineres e workloads subjacentes. Nesse cenário, credenciais configuradas incorretamente podem levar a um acesso mais amplo à conta e aos dados nela armazenados.

Para configurar o Monitoramento de runtime, instale o agente do GuardDuty no seu cluster como um complemento do Amazon EKS. Para obter mais informações sobre o complemento, consulte Complementos da AWS.

Para obter mais informações, consulte Monitoramento de runtime no Guia do usuário do Amazon GuardDuty.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon Detective

AWS Resilience Hub