協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用偵測威脅 Amazon GuardDuty
Amazon GuardDuty 是一種威脅偵測服務,可協助您保護 AWS 環境中的帳戶、容器、工作負載和資料。使用機器學習 (ML) 模型,以及異常和威脅偵測功能, GuardDuty 持續監控不同的記錄檔來源和執行階段活動,以識別環境中潛在的安全風險和惡意活動並排定優先順序。
除其他功能外,還 GuardDuty 提供下列兩項功能,可偵測 EKS 叢集的潛在威脅:EKS 防護和執行階段監控。
- EKS 防護
-
此功能提供威脅偵測涵蓋範圍,藉由監控相關聯的Kubernetes稽核日誌,協助您保護 Amazon EKS 叢集。 Kubernetes稽核記錄會擷取叢集內的連續動作,包括來自使用者的活動、使用 Kubernetes API 的應用程式和控制平面。例如, GuardDuty 可以識別呼叫可能竄改Kubernetes叢集中資源的 API 是由未經驗證的使用者叫用。
啟用 EKS 防護後,只 GuardDuty 能存取 Amazon EKS 稽核日誌以進行持續威脅偵測。如果 GuardDuty 識別出叢集的潛在威脅,則會產生特定類型的關聯Kubernetes稽核記錄發現項目。如需Kubernetes稽核日誌中可用發現項目類型的詳細資訊,請參閱 Amazon GuardDuty 使用者指南中的Kubernetes稽核日誌尋找類型。
如需詳細資訊,請參閱 Amazon GuardDuty 使用者指南中的 EKS 防護。
- 執行期監控
-
此功能可監控並分析作業系統層級、網路和檔案事件,協助您偵測環境中特定 AWS 工作負載中的潛在威脅。
啟用執行階段監控並在 Amazon EKS 叢集中安裝 GuardDuty 代理程式時,會 GuardDuty 開始監控與此叢集關聯的執行時間事件。如果 GuardDuty 識別出叢集的潛在威脅,就會產生關聯的執行階段監控發現項目。例如,威脅可能從破壞運行易受攻擊 Web 應用程序的單個容器開始。此 Web 應用程式可能具有基礎容器和工作負載的存取權限。在這個案例中,設定不正確的認證可能會導致對帳戶及其中儲存的資料有更廣泛的存取權。
若要設定執行階段監控,請將 GuardDuty 代理程式作為 Amazon EKS 附加元件安裝到叢集。如需附加元件的詳細資訊,請參閱可從 Amazon EKS 附加組件 AWS。
如需詳細資訊,請參閱 Amazon GuardDuty 使用者指南中的執行階段監控。
