Publicado en: Jul 26, 2022
HAQM Detective ahora ayuda a analizar, investigar e identificar la causa raíz de los hallazgos de seguridad o la actividad sospechosa del plano de control en los clústeres de HAQM Elastic Kubernetes Service (HAQM EKS). HAQM Detective utiliza los registros de auditoría de HAQM EKS para extraer automáticamente nuevas entidades, como clústeres de EKS, pods de contenedores y cuentas de usuario, y luego crea un perfil para cada una de las entidades en función del historial de actividad. Luego, Detective superpone los perfiles de entidad con los hallazgos de HAQM GuardDuty Kubernetes Protection que se crean cuando se identifican amenazas potenciales o comportamientos sospechosos en sus clústeres de HAQM EKS. Esta nueva capacidad de HAQM Detective puede ayudarlo a responder más rápidamente preguntas como: qué métodos de API de Kubernetes fueron llamados por una cuenta de usuario de Kubernetes que muestra señales de estar en peligro; qué pods están alojados en una instancia de HAQM Elastic Compute Cloud (HAQM EC2) que se incluyó en un hallazgo de HAQM GuardDuty; o qué contenedores se generaron a partir de una imagen de contenedor posiblemente maliciosa.
Los registros de auditoría de HAQM EKS permiten hacer registros de auditoría y diagnóstico que facilitan la protección y ejecución de sus clústeres de HAQM EKS. A partir de hoy, puede habilitar los registros de auditoría de HAQM EKS como un nuevo origen de datos en HAQM Detective con un solo clic en la consola de administración de AWS. HAQM Detective analiza automáticamente estos registros para supervisar acciones anómalas, identificar problemas de seguridad a medida que ocurren dentro de su clúster de HAQM EKS y ayudarlo a responder preguntas como: ¿Cuáles son los detalles de un evento de seguridad? ¿Cuándo sucedió? ¿Quién lo inició? Para simplificar aún más su investigación relacionada con la seguridad, al hacer clic en los hallazgos de HAQM GuardDuty Kubernetes Protection en la consola de HAQM GuardDuty, se inicia una experiencia de investigación guiada que puede ayudarlo a identificar la causa raíz del hallazgo, evaluar el impacto potencial en otros recursos y brindar detalles contextuales que pueden ayudar a sus equipos de aplicaciones y operaciones a responder a la situación más rápidamente. Para obtener más información sobre la compatibilidad de HAQM Detective con HAQM EKS, consulte la guía de usuario de HAQM Detective.
Los primeros 30 días para habilitar los registros de auditoría de EKS como origen de datos en Detective están disponibles sin cargo adicional para las cuentas de Detective ya existentes. En el caso de las cuentas nuevas, los registros de auditoría de EKS como origen de datos se habilitan automáticamente y forman parte de la prueba gratuita de 30 días de HAQM Detective. Durante el período de prueba, puede ver cuál será el costo estimado de ejecutar el servicio después de que finalice el período de prueba en la consola de administración de HAQM Detective. La compatibilidad con los registros de auditoría de EKS está disponible en todas las regiones de AWS donde HAQM Detective está disponible. Para obtener más información, visite la página del producto de HAQM Detective.