Recopilación de logs para los logs de auditoría de Amazon EKS

Información general

Los logs de auditoría de Amazon EKS ofrecen a los administradores de clúster información sobre las acciones dentro de un clúster de EKS. Una vez que habilites la recopilación de logs para tus logs de auditoría de Amazon EKS, puedes configurar y utilizar Datadog Cloud SIEM para monitorizar acciones injustificadas o amenazas inmediatas a medida que se producen dentro de tu clúster de EKS.

Configuración

Logs de auditoría de Amazon EKS

Nuevo clúster

  1. Si no dispones de un clúster de Amazon EKS, crea uno siguiendo la documentación Creación de un clúster de Amazon EKS.
  2. Durante la configuración, en la página de configuración de registro, activa Audit Logs (Logs de auditoría).

Clúster existente

  1. Si ya tienes un clúster de Amazon EKS configurado, navega hasta tu clúster en la consola de Amazon EKS.
  2. Haz clic en tu clúster de EKS.
  3. Haz clic en la pestaña Logging (Registro).
  4. Haz clic en el botón Manage logging (Gestionar registro).
  5. Cambia la opción Audit (Auditoría) a Enabled (Activado) y haz clic en el botón Save changes (Guardar cambios).

Integración de Datadog y AWS

A continuación, configura la integración de AWS. Sigue la documentación de configuración de la integración de AWS.

Datadog Forwarder

Una vez completada la configuración de la integración de AWS, instala y configura el Datadog Forwarder. Sigue la documentación de instalación de Datadog Forwarder.

Nota: El ARN de Lambda es necesario para el paso Activadores de configuración. Tu ARN de Lambda está disponible navegando a Lambda > Funciones > Your_Function_Name en la consola de AWS. El ARN de función aparece en la información general de la función.

Log Explorer

Una vez finalizada la configuración de los logs de auditoría de Amazon EKS, la integración de Datadog AWS y Datadog Forwarder, tus logs de auditoría de EKS estará disponible en el Datadog Log Explorer.

Nota: Los logs pueden tardar unos segundos en comenzar a transmitir en Log Explorer.

Para ver sólo los logs de auditoría de EKS en el Log Explorer, consulta source:kubernetes.aduit en la búsqueda del Log Explorer o, en Source (Fuente) en el panel de facetas, selecciona la faceta kubernetes.audit para filtrar por logs de auditoría de EKS.

Cloud SIEM

Puedes utilizar Datadog Cloud SIEM para detectar posibles errores de configuración o ataques dirigidos a tus clústeres de EKS.

Para iniciar la monitorización de tus logs de auditoría de Amazon EKS con Cloud SIEM, configura Cloud SIEM y crea una regla de detección de logs personalizada que genere una señal de seguridad en el Security Signals Explorer cada vez que se detecte una configuración incorrecta o una amenaza.

Configuración

Configura Cloud SIEM. Consulta las instrucciones de configuración de Cloud SIEM de la aplicación.

Una vez instalado y configurado Cloud SIEM, puedes crear una nueva regla de Cloud SIEM desde cero o exportar una consulta en el Log Explorer a una nueva regla.

Revisar las reglas de Security Monitoring

Consulta las reglas de detección de Cloud SIEM predefinidas que detectan amenazas en tu entorno. Para obtener más información sobre la búsqueda, edición y clonación de estas reglas, consulta creación y gestión de reglas de detección.

Crear una nueva regla de Cloud SIEM

Para crear una regla, ve a la página dentro de la aplicación Configuración de reglas. Para completar la configuración, consulta la documentación sobre reglas de detección de logs.

Exportar una consulta a una regla en el Log Explorer

  1. En el Log Explorer, crea una consulta en la barra de búsqueda. Por ejemplo, filtra por source:kubernetes.audit @objectRef.resource:pods @objectRef.subresource:exec @http.method:create @http.status_code:[101 TO 299].
  2. Haz clic en el botón Export (Exportar) y selecciona Export to detection rule (Exportar a la regla de detección).
  3. Esta función exporta tu consulta y la define en el segundo paso de la configuración de reglas de detección de logs. Selecciona un método de detección. En este caso, selecciona New value (Nuevo valor). Selecciona el atributo @usr.name en el menú desplegable Detect new value (Detectar nuevo valor). Esto te alertará por primera vez cuando un usuario se ejecute en un pod. Después de la primera alerta, Datadog no volverá a alertar sobre el mismo usuario. Alternativamente, para detectar cuando estos eventos superan un umbral definido por el usuario, utiliza la regla de umbral para el método de detección.
  4. Sigue la documentación de reglas de detección de logs para aprender a completar el resto de tu regla de configuración.