Collecte de logs d'audit Amazon EKS

Présentation

Les logs d’audit Amazon EKS fournissent aux administrateurs de cluster des informations exploitables sur les opérations d’un cluster EKS. Après avoir activé la collecte de logs d’audit Amazon EKS, vous pouvez configurer et utiliser la solution Cloud SIEM de Datadog afin de surveiller en temps réel les actions non justifiées ou les menaces immédiates dans votre cluster EKS.

Configuration

Logs d’audit Amazon EKS

Nouveau cluster

  1. Si vous ne disposez pas d’un cluster Amazon EKS, suivez les instructions de la section Création d’un cluster Amazon EKS pour créer votre cluster.
  2. Lors de la configuration, sur la page dédiée aux logs, activez Audit logs.

Cluster existant

  1. Si vous avez déjà configuré un cluster Amazon EKS, accédez-y depuis la console Amazon EKS.
  2. Cliquez sur votre cluster EKS.
  3. Cliquez sur l’onglet Configuration, puis sur l’onglet Logging.
  4. Cliquez sur le bouton Manage logging.
  5. Définissez l’option Audit sur Enabled et cliquez sur le bouton Save changes.

Intégration Datadog/AWS

Configurez ensuite l’intégration AWS en vous référant à la documentation dédiée.

Forwarder Datadog

Une fois la configuration de l’intégration AWS terminée, installez et configurez le Forwarder Datadog en vous référant à la section Forwarder Datadog.

Remarque : vous devez fournir un ARN Lambda lors de la configuration des déclencheurs. Pour consulter votre ARN Lambda, accédez à Lambda > Functions > Nom_Fonction dans la console AWS. L’ARN de la fonction est indiqué dans la vue d’ensemble de la fonction.

Log Explorer

Une fois la configuration des logs d’audit Amazon EKS, de l’intégration Datadog/AWS et du Forwarder Datadog terminée, vous pouvez visualiser vos logs d’audit depuis le Log Explorer Datadog.

Remarque : quelques secondes peuvent s’écouler avant que les logs apparaissent dans le Log Explorer.

Pour afficher uniquement dans le Log Explorer les logs d’audit EKS, utilisez la requête de recherche source:kubernetes.aduit. Vous pouvez également sélectionner la facette kubernetes.audit depuis la section Source du volet des facettes pour appliquer un filtre basé sur les logs d’audit EKS.

Cloud SIEM

La solution Cloud SIEM de Datadog vous permet de détecter les problèmes de configuration potentiels et les attaques ciblant vos clusters EKS.

Pour commencer à surveiller vos logs d’audit Amazon EKS avec Cloud SIEM, commencez par configurer Cloud SIEM. Créez ensuite une règle de détection des logs personnalisée qui génère un signal de sécurité dans le Security Signals Explorer chaque fois que la solution détecte un problème de configuration ou une menace.

Configuration

Pour configurer Cloud SIEM, suivez les instructions dans l’application.

Vous pouvez ensuite créer de toute pièce une règle Cloud SIEM ou exporter une requête du Log Explorer afin de l’utiliser pour une règle.

Consulter les règles Security Monitoring

Consultez les règles de détection Cloud SIEM prêtes à l’emploi vous permettant de détecter les menaces dans votre environnement. Pour découvrir comment rechercher, modifier et dupliquer ces règles, consultez la rubrique Créer et gérer des règles.

Créer une règle Cloud SIEM

Pour créer une règle, accédez à la page Rule Setup and Configuration dans l’application. Vous pouvez vous référer à la section Règles de détection des logs pour en savoir plus sur la configuration des règles.

Exporter une requête du Log Explorer afin de créer une règle

  1. Accédez au Log Explorer, puis saisissez une requête dans la barre de recherche. Par exemple, vous pouvez appliquer un filtre basé sur source:kubernetes.audit @objectRef.resource:pods @objectRef.subresource:exec @http.method:create @http.status_code:[101 TO 299].
  2. Cliquez sur le bouton Export, puis sélectionnez Export to detection rule.
  3. Cette fonctionnalité exporte votre requête et l’utilise durant la deuxième étape de configuration de votre règle de détection des logs. Choisissez une méthode de détection (pour cet exemple, New Value). Sélectionnez l’attribut @usr.name dans la liste déroulante Detect new value. Cette règle génère une alerte lorsqu’un utilisateur exécute pour la première fois la commande exec dans un pod. Si cet utilisateur exécute une nouvelle fois cette commande, aucune alerte n’est envoyée. Si vous souhaitez plutôt être informé lorsque ces événements dépassent un seuil de votre choix, utilisez la méthode de détection Threshold.
  4. Consultez la section Règles de détection des logs pour découvrir comment terminer la configuration de votre règle.