帮助改进此页面
想为本用户指南做出贡献? 选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。您的贡献有助于我们的用户指南为每个人提供更充分的参考。
Amazon GuardDuty 是一项威胁检测服务,有助于保护您的账户、容器、工作负载和 AWS 环境中的数据。GuardDuty 使用机器学习(ML)模型以及异常和威胁检测功能,持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。
除其他功能外,GuardDuty 还提供以下两项功能,用于检测 EKS 集群面临的潜在威胁:EKS 保护和运行时监控。
注意
新增功能:Amazon EKS 自动模式与 GuardDuty 集成。
- EKS 保护
-
此功能提供威胁检测覆盖范围,帮助您通过监控关联的 Kubernetes 审计日志来保护 Amazon EKS 集群。Kubernetes 审计日志可捕获集群内的连续操作,包括来自用户、使用 Kubernetes API 的应用程序以及控制面板的活动。例如,GuardDuty 可以识别出未经身份验证的用户执行的 API 调用,这些调用可能用于篡改 Kubernetes 集群中的资源。
启用 EKS 保护后,GuardDuty 将只能访问 Amazon EKS 审计日志,从而持续进行威胁检测。如果 GuardDuty 发现集群存在潜在威胁,就会生成具有特定类型的关联的 Kubernetes 审计日志调查发现。有关 Kubernetes 审计日志中可用的调查发现类型的更多信息,请参阅《Amazon GuardDuty 用户指南》中的 Kubernetes 审计日志调查发现类型。
有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 EKS Protection。
- 运行时监控
-
此功能可监控和分析操作系统级事件、网络事件和文件事件,帮助您检测环境中特定 AWS 工作负载中的潜在威胁。
启用运行时监控并在 Amazon EKS 集群中安装 GuardDuty 代理后,GuardDuty 就会开始监控与此集群关联的运行时事件。请注意,Amazon EKS 混合节点功能不支持 GuardDuty 代理和运行时监控,因此运行时监控不适用于混合节点上发生的运行时事件。如果 GuardDuty 发现集群存在潜在威胁,就会生成关联的运行时监控调查发现。例如,威胁可能会从破坏单个容器开始,而这种容器通常在运行易受攻击的 Web 应用程序。此 Web 应用程序可能拥有对底层容器和工作负载的访问权限。在这种情况下,错误配置的凭证可能会导致对账户及其所存储数据的访问权限扩大。
要配置运行时监控,可将 GuardDuty 代理作为 Amazon EKS 附加组件安装到集群中。有关附加组件的更多信息,请参阅 AWS 附加组件。
有关更多信息,请参阅《Amazon GuardDuty User Guide》中的 Runtime Monitoring。
