本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EKS 稽核日誌監控
EKS 稽核日誌監控有助於偵測 Amazon Elastic Kubernetes Service 內 EKS 叢集中的潛在可疑活動。啟用 EKS 稽核日誌監控時, GuardDuty 立即開始EKS 稽核記錄監控從 Amazon EKS 叢集進行監控,並對其進行分析是否有潛在的惡意和可疑活動。它會透過獨立且重複的稽核日誌串流,直接從 Amazon EKS 控制平面記錄功能使用 Kubernetes 稽核日誌事件。此程序不需要進行任何額外的設定,也不會影響您可能擁有的任何現有 Amazon EKS 控制平面記錄組態。
停用 EKS 稽核日誌監控時, GuardDuty 立即停止監控和分析 Amazon EKS 資源的 EKS 稽核日誌。
EKS 稽核記錄監控可能無法在所有可用的 AWS 區域 位置使 GuardDuty 用。如需詳細資訊,請參閱 區域特定功能的可用性。
30 天免費試用期如何影響 GuardDuty 帳戶
選擇您偏好的存取方式,以便為獨立帳戶啟用或停用 EKS 稽核日誌監控。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
-
在導覽窗格中,選擇 EKS 保護。
-
在組態索引標籤下,您可以檢視 EKS 稽核日誌監控的目前組態狀態。在 EKS 稽核日誌監控區段中,選擇啟用來啟用,或選擇停用來停用 EKS 稽核日誌監控功能。
選擇儲存。
- API/CLI
-
-
使用委派 GuardDuty 系統管理員帳戶的地區偵測器 ID 執行 updateDetectorAPI 作業,並將features物件名稱傳遞為ENABLED或DISABLED。EKS_AUDIT_LOGS
或者,您也可以啟用或停用執行 AWS CLI 命令的 EKS 稽核記錄監視。下列範例程式碼會啟用 GuardDuty EKS 稽核記錄監視。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED"}]'
在多帳戶環境中設定 EKS 稽核日誌監控
在多帳戶環境中,只有委派的 GuardDuty 系統管理員帳戶可以選擇為其組織中的成員帳戶啟用或停用 EKS 稽核記錄監視功能。成 GuardDuty 員帳戶無法從其帳戶修改此設定。委派的管理 GuardDuty 員帳戶會使用來管理其成員帳戶 AWS Organizations。這個委派的 GuardDuty 系統管理員帳戶可以選擇在所有新帳戶加入組織時,自動啟用 EKS 稽核記錄監控功能。如需有關多帳戶環境的詳細資訊,請參閱在 Amazon GuardDuty 中管理多個帳戶。
選擇您偏好的存取方法,以針對委派的 GuardDuty 系統管理員帳戶設定 EKS 稽核記錄監視。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
確保使用管理帳戶憑證。
-
在導覽窗格中,選擇「EKS 保護」。
-
在組態索引標籤下,您可以在相應區段檢視 EKS 稽核日誌監控的目前組態狀態。若要更新委派 GuardDuty 管理員帳戶的組態,請在 [EKS 稽核記錄監視] 窗格中選擇 [編輯]。
執行以下任意一項:
- API/CLI
-
使用您自己的區域偵測器 ID,並透過將 name 設定為 EKS_AUDIT_LOGS 及將 status 設定為 ENABLED 或 DISABLED 來傳遞 features 物件,從而執行 updateDetector API 操作。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
您可以執行下列 AWS CLI 命令來啟用或停用 EKS 稽核記錄監視。確保使用委派 GuardDuty 管理員帳戶的有效偵測器 ID。
下列範例程式碼會啟用 EKS 稽核日誌監控。請務必使用委派的系統管理員帳戶和委派的系統管理員帳戶,取代 12abc34d56789 f0 與委派的系統管理員帳戶。detector-id GuardDuty AWS 帳戶 GuardDuty
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 555555555555 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
若要停用 EKS 稽核日誌監控,請使用 DISABLED 取代 ENABLED。
選擇您偏好的存取方式,以便為組織中現有的成員帳戶啟用 EKS 稽核日誌監控。
- Console
-
請登入 AWS Management Console 並開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/。
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
執行以下任意一項:
使用 EKS 保護 頁面
在導覽窗格中,選擇 EKS 保護。
-
在組態索引標籤下,您可以檢視組織中作用中成員帳戶的 EKS 稽核日誌監控目前狀態。
若要更新 EKS 稽核日誌監控組態,請選擇編輯。
選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 EKS 稽核日誌監控。
選擇儲存。
使用帳戶頁面
在導覽窗格中,選擇帳戶。
在帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶。
在管理自動啟用偏好設定視窗中,選擇 EKS 稽核日誌監控下的為所有帳戶啟用。
選擇儲存。
如果您無法使用為所有帳戶啟用的選項,而且想要為組織中的特定帳戶自訂 EKS 稽核日誌監控組態,請參閱選擇性地為成員帳戶啟用或停用 EKS 稽核日誌監控。
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 EKS 稽核日誌監控,請使用您自己的偵測器 ID 執行 updateMemberDetectors API 操作。
-
以下範例顯示如何為單一成員帳戶啟用 EKS 稽核日誌監控。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方式,以便為組織中所有現有作用中成員帳戶啟用 EKS 稽核日誌監控。
- Console
-
請登入 AWS Management Console 並開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/。
使用委派的 GuardDuty 系統管理員帳戶認證登入。
在導覽窗格中,選擇 EKS 保護。
在 EKS 防護頁面上,您可以檢視啟動的惡意程式碼GuardDuty掃描組態的目前狀態。在作用中成員帳戶區段下,選擇動作。
從動作下拉式選單中,選擇為所有作用中的成員帳戶啟用。
選擇儲存。
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 EKS 稽核日誌監控,請使用您自己的偵測器 ID 執行 updateMemberDetectors API 操作。
-
以下範例顯示如何為單一成員帳戶啟用 EKS 稽核日誌監控。若要停用,請使用 DISABLED 取代 ENABLED。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
新增的成員帳戶必須 GuardDuty 先啟用,才能選取設定啟 GuardDuty動的惡意程式碼掃描。受邀請管理的成員帳戶可以手動為其帳戶配置 GuardDuty啟動的惡意軟件掃描。如需詳細資訊,請參閱 Step 3 - Accept an invitation。
選擇您偏好的存取方式,以便為加入組織的新帳戶啟用 EKS 稽核日誌監控。
- Console
-
委派的 GuardDuty 系統管理員帳戶可以使用 [EKS 稽核記錄監視] 或 [帳戶] 頁面,針對組織中的新成員帳戶啟用 EKS 稽核記錄監視。
為新成員帳戶自動啟用 EKS 稽核日誌監控
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
執行以下任意一項:
-
使用 EKS 保護頁面:
-
在導覽窗格中,選擇 EKS 保護。
-
在 EKS 保護頁面上,選擇 EKS 稽核日誌監控中的編輯。
選擇手動設定帳戶。
選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,EKS 稽核日誌監控都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
-
選擇儲存。
-
使用帳戶頁面:
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定。
-
在管理自動啟用偏好設定視窗中,選擇 EKS 稽核日誌監控下的為新帳戶啟用。
選擇儲存。
- API/CLI
-
選擇您偏好的存取方式,以便為組織中的指定成員帳戶啟用或停用 EKS 稽核日誌監控。
- Console
-
請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
在導覽窗格中,選擇帳戶。
在帳戶頁面上,檢閱 EKS 稽核日誌監控欄位,了解您的成員帳戶狀態。
-
啟用或停用 EKS 稽核日誌監控
選取您想要設定進行 EKS 稽核日誌監控的帳戶。您可以一次選取多個帳戶。在編輯保護計畫下拉式選單中,選擇 EKS 稽核日誌監控,然後選擇適當的選項。
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 EKS 稽核日誌監控,請使用您自己的偵測器 ID 調用 updateMemberDetectors API 操作。
以下範例顯示如何為單一成員帳戶啟用 EKS 稽核日誌監控。若要停用,請使用 DISABLED 取代 ENABLED。您也可以傳遞以空格分隔的帳戶 ID 清單。
要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
