使用 Amazon Detective 分析 EKS 上的安全事件

Amazon Detective 會協助您分析、調查並快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容，協助您更快地進行有效率的安全調查。Detective 提供預先建置的資料彙總、摘要和內容，可協助您快速分析並判斷潛在安全問題的本質和範圍。如需詳細資訊，請參閱 Amazon Detective 使用者指南。

Detective 會將 Kubernetes 和 AWS 資料整理成問題清單，例如：

• Amazon EKS 叢集詳細資訊，包括建立叢集的 IAM 身分和叢集的服務角色。您可以使用 Detective 調查這些 IAM 身分的 AWS 和 Kubernetes API 活動。

• 容器詳細資料，例如映像和安全性內容。您也可以檢閱已終止 Pod 的詳細資訊。

• Kubernetes API 活動，包括 API 活動的整體趨勢和特定 API 呼叫的詳細資訊。例如，您可以顯示所選時間範圍內發出的成功和失敗 Kubernetes API 呼叫數量。此外，最新觀察到的 API 呼叫部分可能有助於識別可疑活動。

Amazon EKS 稽核日誌是選用的資料來源套件，可新增至您的 Detective 行為圖表。您可以在帳戶中檢視可用的選用來源套件及其狀態。如需詳細資訊，請參閱《Amazon Detective 使用者指南》中的 Detective 的 Amazon EKS 稽核日誌。

將 Amazon Detective 與 Amazon EKS 搭配使用

您必須先在叢集所在的相同 AWS 區域中啟用 Detective 至少 48 小時，才能檢閱問題清單。如需詳細資訊，請參閱《Amazon Detective 使用者指南》中的 設定 Amazon Detective。

1. 打開 Detective 主控台，網址為 https://console.aws.amazon.com/detective/。

2. 從左側導覽窗格選取搜尋。

3. 選取選擇類型，然後選取 EKS 叢集。

4. 輸入叢集名稱或 ARN，然後選擇搜尋。

5. 在搜尋結果中，選取要檢視其活動的叢集名稱。如需有關您可以檢視內容的詳細資訊，請參閱《Amazon Detective 使用者指南》中的涉及 Amazon EKS 叢集的整體 Kubernetes API 活動。