Veröffentlicht am: Jul 26, 2022
HAQM Detective hilft jetzt bei der Analyse, Untersuchung und Identifizierung der Grundursache von Sicherheitsergebnissen oder verdächtigen Aktivitäten auf Steuerebene in HAQM-EKS (HAQM Elastic Kubernetes Service )-Clustern. HAQM Detective verwendet HAQM-EKS-Prüfungsprotokolle, um automatisch neue Entitäten zu extrahieren, wie EKS-Cluster, Container-Pods und Benutzerkonten, und erstellt dann ein Profil für jede dieser Entitäten basierend auf ihrem Aktivitätsverlauf. Detective schichtet die Entitätsprofile dann mit Ergebnissen von HAQM GuardDuty Kubernetes Protection, die gesammelt werden, wenn potenzielle Bedrohungen oder verdächtiges Verhalten in deinen HAQM-EKS-Clustern erkannt werden. Diese neue Detective-Funktion kann dir dabei helfen, schneller Fragen zu beantworten wie: welche Kubernetes-API-Methoden wurden von einem Kubernetes-Benutzerkonto aufgerufen, das kompromittiert zu sein scheint, welche Pods werden in einer HAQM-EC2 (HAQM Elastic Compute Cloud Compute)-Instance gehostet, die in einem HAQM-GuardDuty-Ergebnis genannt wird, oder welche Container wurden von einem möglicherweise bösartigen Container-Image erzeugt.
HAQM-EKS-Prüfprotokollierung bietet Prüf- und Diagnoseprotokolle, mit denen du deine HAQM-EKS-Cluster leichter sichern und ausführen kannst. Ab heute kannst du mit einem Klick in der AWS-Managementkonsole HAQM-EKS-Prüfungsprotokolle als eine neue Datenquelle in HAQM Detective einrichten. HAQM Detective analysiert diese Protokolle automatisch, um anomale Aktionen zu überwachen, Sicherheitsprobleme zu identifizieren, wenn sie in deinem HAQM-EKS-Cluster auftreten, und dir bei der Beantwortung von Fragen zu helfen wie: Was sind die Einzelheiten eines bestimmten Sicherheitsereignisses? Wann hat es stattgefunden? Wer hat es initiiert? Um deine Sicherheitsuntersuchung weiter zu vereinfachen, klicke in der HAQM-GuardDuty-Konsole auf die Ergebnisse von HAQM GuardDuty Kubernetes Protection, um eine geführte investigative Erfahrung zu starten, die dich dabei unterstützen kann, die Grundursache für das Ergebnis zu identifizieren, die möglichen Auswirkungen auf andere Ressourcen zu bewerten und Kontextinformationen zu liefern, mit denen deine Anwendung und deine Betriebsteams schneller auf die Situation reagieren können. Weitere Informationen zur HAQM-Detective-Unterstützung für HAQM EKS findest du im HAQM-Detective-Benutzerhandbuch.
EKS-Prüfungsprotokolle als Datenquelle in Detective sind für bestehenden Detective-Konten in den ersten 30 Tagen ohne zusätzliche Kosten verfügbar. Bei neuen Konten sind EKS-Prüfungsprotokolle automatisch als Datenquelle aktiviert und gehören zur 30-tägigen kostenlosen Testversion von HAQM Detective. Während des Testzeitraums kannst du die geschätzten Kosten für den Betrieb des Services nach Ablauf des Testzeitraums in der Detective-Managementkonsole einsehen. Der Support für EKS-Prüfungsprotokolle ist in allen AWS-Regionen verfügbar, in denen Detective verfügbar ist. Weitere Informationen findest du auf der HAQM-Detective-Produktseite.