- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Amazon EKS 監査ログは、クラスター管理者に EKS クラスター内のアクションを把握させます。Amazon EKS 監査ログのログ収集を有効にすると、Datadog Cloud SIEM をセットアップして使用し、EKS クラスター内で発生した不当なアクションや緊急の脅威を監視することができます。
次に、AWS とのインテグレーションを設定します。AWS インテグレーションの設定 のドキュメントに従います。
AWS インテグレーションのセットアップが完了したら、Datadog Forwarder のインストールと構成を行います。Datadog Forwarder のインストール]4 のドキュメントに従います。
注: Lambda ARN は、セットアップトリガー
のステップで必要となります。Lambda ARN は、AWS コンソールで Lambda > Functions > Your_Function_Name
に移動することで利用可能です。Function ARN は Function overview に記載されています。
Amazon EKS 監査ログ、Datadog AWS インテグレーション、Datadog Forwarder のセットアップが完了すると、EKS 監査ログが Datadog ログエクスプローラー で利用可能になります。
注: ログがログエクスプローラーにストリーミングされるまでに数秒かかる場合があります。
ログエクスプローラーで EKS 監査ログのみを表示するには、ログエクスプローラーの検索で source:kubernetes.aduit をクエリするか、ファセットパネルの Source で kubernetes.audit ファセットを選択して EKS 監査ログでフィルタリングします。
Datadog Cloud SIEM を使用することで、EKS クラスターに対する潜在的な構成ミスや標的型攻撃を検出することができます。
Cloud SIEM で Amazon EKS 監査ログの監視を開始するには、Cloud SIEM をセットアップして、構成ミスや脅威が検出されるたびにセキュリティシグナルエクスプローラー にセキュリティシグナル を生成するカスタムログ検出ルール を作成します。
Cloud SIEM のセットアップと設定を行います。アプリ内の Cloud SIEM のセットアップと構成方法 を参照してください。
Cloud SIEM がセットアップされ、構成されると、ゼロから新しい Cloud SIEM ルールを作成するか、ログエクスプローラーのクエリを新しいルールにエクスポートすることができます。
環境で脅威を検知している、すぐに使える Cloud SIEM 検出ルール をご覧ください。これらのルールの検索、編集、複製については、検出ルールの作成と管理 を参照してください。
ルールを作成するには、アプリ内の Rule Setup and Configuration ページに移動してください。設定を完了するには、ログ検出ルールのドキュメント を参照してください。
source:kubernetes.audit @objectRef.resource:pods @objectRef.subresource:exec @http.method:create @http.status_code:[101 TO 299] でフィルタリングします。@usr.name 属性を選択します。これにより、ユーザーがポッドに対して exec を実行したときに初めてアラートが出されます。最初のアラートの後、Datadog は同じユーザーに対して再度アラートを出すことはありません。また、これらのイベントがユーザー定義のしきい値を超えたときに検出するには、検出方法に threshold rule を使用します。