Amazon EKS 監査ログのログ収集

概要

Amazon EKS 監査ログは、クラスター管理者に EKS クラスター内のアクションを把握させます。Amazon EKS 監査ログのログ収集を有効にすると、Datadog Cloud SIEM をセットアップして使用し、EKS クラスター内で発生した不当なアクションや緊急の脅威を監視することができます。

セットアップ

Amazon EKS 監査ログ

新しいクラスター

  1. Amazon EKS クラスターをお持ちでない場合は、Amazon EKS クラスターの作成のドキュメントに従って作成してください。
  2. セットアップの際、Configure logging ページで、Audit logs を有効にします。

既存のクラスター

  1. すでに Amazon EKS クラスターを構成している場合は、Amazon EKSコンソールでクラスターに移動します。
  2. EKS クラスターをクリックします。
  3. Logging タブをクリックします。
  4. Manage logging ボタンをクリックします。
  5. Audit オプションを Enabled にトグルし、Save changes ボタンをクリックします。

Datadog AWS インテグレーション

次に、AWS とのインテグレーションを設定します。AWS インテグレーションの設定のドキュメントに従います。

Datadog Forwarder

AWS インテグレーションのセットアップが完了したら、Datadog Forwarder のインストールと構成を行います。Datadog Forwarder のインストール]4のドキュメントに従います。

: Lambda ARN は、セットアップトリガーのステップで必要となります。Lambda ARN は、AWS コンソールで Lambda > Functions > Your_Function_Name に移動することで利用可能です。Function ARN は Function overview に記載されています。

ログエクスプローラー

Amazon EKS 監査ログ、Datadog AWS インテグレーション、Datadog Forwarder のセットアップが完了すると、EKS 監査ログが Datadog ログエクスプローラーで利用可能になります。

: ログがログエクスプローラーにストリーミングされるまでに数秒かかる場合があります。

ログエクスプローラーで EKS 監査ログのみを表示するには、ログエクスプローラーの検索で source:kubernetes.aduit をクエリするか、ファセットパネルの Sourcekubernetes.audit ファセットを選択して EKS 監査ログでフィルタリングします。

Cloud SIEM

Datadog Cloud SIEM を使用することで、EKS クラスターに対する潜在的な構成ミスや標的型攻撃を検出することができます。

Cloud SIEM で Amazon EKS 監査ログの監視を開始するには、Cloud SIEM をセットアップして、構成ミスや脅威が検出されるたびにセキュリティシグナルエクスプローラーセキュリティシグナルを生成するカスタムログ検出ルールを作成します。

セットアップ

Cloud SIEM のセットアップと設定を行います。アプリ内の Cloud SIEM のセットアップと構成方法を参照してください。

Cloud SIEM がセットアップされ、構成されると、ゼロから新しい Cloud SIEM ルールを作成するか、ログエクスプローラーのクエリを新しいルールにエクスポートすることができます。

セキュリティ監視ルールの確認

環境で脅威を検知している、すぐに使える Cloud SIEM 検出ルールをご覧ください。これらのルールの検索、編集、複製については、検出ルールの作成と管理を参照してください。

Cloud SIEM のルールを新規に作成する

ルールを作成するには、アプリ内の Rule Setup and Configuration ページに移動してください。設定を完了するには、ログ検出ルールのドキュメントを参照してください。

ログエクスプローラーでクエリをルールにエクスポートする

  1. ログエクスプローラーの検索バーでクエリを作成します。例えば、source:kubernetes.audit @objectRef.resource:pods @objectRef.subresource:exec @http.method:create @http.status_code:[101 TO 299] でフィルタリングします。
  2. Export ボタンをクリックし、Export to detection rule を選択します。
  3. この機能は、クエリをエクスポートして、ログ検出ルール設定の 2 番目のステップで定義します。検出方法を選択します。この例では、New Value を選択します。Detect new value ドロップダウンメニューで @usr.name 属性を選択します。これにより、ユーザーがポッドに対して exec を実行したときに初めてアラートが出されます。最初のアラートの後、Datadog は同じユーザーに対して再度アラートを出すことはありません。また、これらのイベントがユーザー定義のしきい値を超えたときに検出するには、検出方法に threshold rule を使用します。
  4. ログ検出ルールのドキュメントに従って、残りのルール構成を完了させる方法を学びます。