2020年3月,我们推出了AmazonDetective,这是一项完全托管的服务,可以轻松分析、调查和快速识别潜在的安全问题或可疑活动的根本原因.AmazonDetective持续从AmazonGuardDuty、AmazonCloudTrail和AmazonVirtualPrivateCloud(AmazonVPC)FlowLogs中提取登录尝试、API调用和网络流量等临时事件,并将其提取到一个图形模型中,该图形模型汇总了在Amazon环境中观察到的事件资源行为和交互.我们添加了新功能,例如AmazonIAM角色的会话分析、增强的IP地址分析、Splunk集成、AmazonS3和DNS发现类型以及对AmazonOrganizations的支持。客户正在迅速转向容器,以使用AmazonElasticKubernetesService(AmazonEKS)部署Kubernetes工作负载。AmazonEKS的高度程序化特性可在几秒钟内实现数以千计的单独容器部署和数百万次配置更改。为了有效地保护EKS工作负载,必须监控EKS审计日志中捕获的容器部署和配置,并将活动与跨Amazon账户的用户活动和网络流量相关联。亚马逊云技术开发者社区为开发者提供全球开发技术资源。有技术文档、开发案例、技术专栏、培训视频、活动竞赛等,帮助中国开发者对接全球最前沿的技术、思想、项目,向全球云社区推荐优秀的中国开发者或技术.如果你还没有关注/收藏,请看到这里不要急着过来,点这里让它成为你的技术宝库!今天,我们宣布推出AmazonDetective的新功能,以扩展对AmazonEKS上运行的Kubernetes工作负载的安全调查。启用此新功能后,AmazonDetective将自动开始提取EKS审计日志,以从用户、AmazonEKS中的应用程序控制面板(按时间顺序)捕获集群、Pod、容器映像和Kubernetes主体(Kubernetes用户和服务账户)的API活动.Detective使用CloudTrail自动关联用户活动和使用AmazonVPC流日志的网络活动,无需您手动启用、存储或保留日志。该服务从这些日志中收集关键安全信息并将其保存在安全行为图形数据库中,该数据库通过交叉引用提供对十二个月活动的快速访问。Detective提供了一个数据分析和可视化层,专门设计用于回答由行为图形数据库支持的常见安全问题,使您能够快速调查与EKS工作负载相关的潜在恶意行为。您可以快速响应安全问题,而无需专注于日志管理、操作系统或持续的安全工具维护。Detective的EKS功能为所有客户提供30天的免费试用期,使您能够确保这些功能满足您的需求并获得对服务成本的持续概览。++EKS审计日志安全调查入门++要开始使用,只需在Amazon管理控制台中单击几下即可启用AmazonDetective。GuardDuty是AmazonDetective的先决条件。当您尝试启用Detective时,Detective会检查您的账户是否启用了GuardDuty。您必须启用GuardDuty或等待48小时。这允许GuardDuty评估您的账户生成的数据量。您可以通过附加AmazonIAM策略来启用您自己的账户,或将其委托给您组织的管理员。要了解更多信息,请参阅Amazon文档中的设置Detective。要以现有客户身份在Detective中启用EKS支持,请导航至左侧面板中的“设置”菜单并选择“常规”。在可选源包下,启用EKS审计日志。如果您是Detective的新客户,默认情况下会启用EKS保护。如果您不想立即试用EKS审计日志,您可以在启用后的第一周内禁用Detective,并保留完整的30天免费试用期以备将来使用。启用后,Detective将开始监控AmazonEKS生成的Kubernetes审计日志,出于安全目的提取和关联信息。您无需启用任何日志源,也无需对现有EKS集群或未来部署进行任何配置更改。您可以在“摘要”页面上查看EKS集群的最新监控结果。当您选择其中一个EKS集群时,您将看到有关集群中运行的容器、KubernetesAPI活动以及在限定时间内此资源上发生的网络活动的详细信息。在Overview选项卡中,您还可以查看集群中运行的所有容器的详细信息,包括它们的pod、图像和安全上下文。在KubernetesAPI活动选项卡中,您可以概览涉及EKS集群的完整API活动。您可以根据EKS集群中的特定API方法选择要向下钻取的时间范围。选择特定时间后,您可以按成功、失败、未授权或禁止状态查看API主体、IP地址和API调用次数。您还可以查看该集群中第一个观察到的KubernetesAPI调用的详细信息,以及集群内部发生的卷增加的主体。++启用GuardDutyEKS保护++2022年1月,AmazonGuardDuty将保护扩展到EKS集群活动,以识别对容器工作负载构成潜在威胁的恶意或可疑行为。启用可选的GuardDutyEKS保护后,GuardDuty将持续监控您的EKS部署并提醒您在工作负载中检测到威胁。您可以在Detective中查看和调查这些安全发现。启用DetectiveforEKS后,您可以快速访问有关调查结果中涉及的资源的信息,例如它们的CloudTrail和KubernetesAPI活动以及网络流量信息。这有助于调查并帮助您确定可能受到负面影响的根本原因、影响和其他相关资源。要了解更多信息,请参阅亚马逊安全博客上的如何使用新的AmazonGuardDutyEKS保护调查结果。现已推出您现在可以在所有提供AmazonDetective的区域使用AmazonDetective进行EKS保护。此功能的定价基于Detective处理和分析的审计日志量。Detective为所有启用EKS覆盖范围的客户提供30天的免费试用期,使客户能够确保Detective的功能满足安全需求,并在承诺付费使用之前估算该服务的月度成本。要了解更多信息,请参阅Detective定价页面。有关技术文档,请访问AmazonDetective用户指南。请将反馈发送至Amazonre:PostforAmazonDetective或通过您常用的Amazon支持联系人。了解有关适用于EKS的AmazonDetective的所有信息并立即开始使用。–Channy文章来源:https://dev.amazoncloud.cn/column/article/63099aae86218f3ca3e8f805
