问库伯奈特环境中的传统暹粒

EN

这里有两个相关级别的暹粒监测：

1. 监测专题组本身
2. 监视集群中的应用程序

监控集群

Wazuh自己描述了一种在其博客上记录Kubernetes的方法

它创建一个web钩子侦听器，然后从集群接收转发的审计日志。然后，您可以围绕最相关的操作创建规则，比如创建新角色、新服务帐户等。

在正式文件中查找有关审计Kubernetes的更多信息

从更具战略性的角度来看，您的选项在集群的具体实现上有很大差异，例如，在GCP中，您可以使用本地GCP工具对集群进行审计。

如果您在某些主机上的数据中心中运行它，Wazuh或任何其他正常的SIEM也需要监视这些主机。

监视集群

中的应用程序

由于容器是更多的牛比宠物，所以我们需要找到方法来自动化从它们收集日志。Kubernetes是以应用程序为中心的，所以任何形式的日志记录或审计都必须内置到应用程序中而不是集群中。

为此，您可以使用syslog容器作为一个侧服务器，将所有应用程序日志从一个荚发送到wazuh端点，并且必须部署每个应用程序。

或者，您可以重新构建应用程序，使其能够接受环境变量，以便在可能的情况下将日志流到wazuh集群。

然后，您还将捕获给定部署的所有副本。

或者将syslog添加到CI/CD管道中的基本映像中，并通过中央注册表提供它。

只是为了补充@stefan-lorenz的回答，并说明SIEM在Kubernetes环境中是否仍然相关。

我想说的是，它是非常关键的，也许比在传统环境中更重要，原因有几点。

• 分析Kubernetes审计日志是轻松跟踪Kubernetes集群中许多活动的唯一方法。例如，当用户创建一个新的身份验证令牌(使用令牌请求API)时，该令牌的集群中没有永久记录，其创建的唯一指示是一个审计日志条目(假设您的策略跟踪)。
• Kubernetes环境使用临时容器，其中工作负载将从一个节点移动到另一个节点。作为这样的集中式日志记录和安全监视，使用k8s感知的解决方案对于确保您能够提供集群中正在发生的事情是至关重要的。