Überwachung von S3-Objektscans mit Amazon EventBridge - Amazon GuardDuty
Regeln einrichten EventBridge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung von S3-Objektscans mit Amazon EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS-) Anwendungen und AWS Diensten und leitet diese Daten an Ziele wie Lambda weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch.

Als Besitzerkonto eines S3-Buckets, der mit Malware Protection for S3 geschützt ist, GuardDuty veröffentlicht er in den folgenden Szenarien EventBridge Benachrichtigungen an den Standard-Event-Bus:

  • Der Ressourcenstatus des Malware-Schutzplans ändert sich für jeden Ihrer geschützten Buckets. Informationen zu den verschiedenen Status finden Sie unter. Ressourcenstatus des Malware-Schutzplans

    Informationen zum Einrichten der Amazon EventBridge (EventBridge) -Regel für den Ressourcenstatus finden Sie unterRessourcenstatus des Malware-Schutzplans.

  • Das Ergebnis des S3-Objektscans wird in Ihrem EventBridge Standard-Event-Bus veröffentlicht.

    Das s3Throttled Feld gibt an, ob es beim Hochladen oder Abrufen von Speicherplatz aus Amazon S3 zu Verzögerungen gekommen ist. Der Wert true gibt an, dass eine Verzögerung aufgetreten ist, und false gibt an, dass es keine Verzögerung gab.

    Wenn s3Throttled es sich true um Ihr Scanergebnis handelt, empfiehlt Amazon S3, Präfixe so einzurichten, dass Sie die Transaktionen pro Sekunde (TPS) für jedes Präfix reduzieren können. Weitere Informationen finden Sie unter Bewährte Entwurfsmuster: Optimierung der Amazon S3 S3-Leistung im Amazon S3 S3-Benutzerhandbuch.

    Informationen zum Einrichten der Amazon EventBridge (EventBridge) -Regel für die Ergebnisse des S3-Objektscans finden Sie unterErgebnis des S3-Objektscans.

  • Nach dem Scannen des Tags tritt aus den folgenden Gründen ein Fehler auf:

    • In Ihrer IAM Rolle fehlen die Berechtigungen zum Markieren des Objekts.

      Die Hinzufügen von IAM Richtlinienberechtigungen Vorlage beinhaltet die Erlaubnis GuardDuty , ein Objekt zu taggen.

    • Die in der Rolle angegebene Bucket-Ressource oder das in der IAM Rolle angegebene Bucket-Objekt ist nicht mehr vorhanden.

    • Das zugehörige S3-Objekt hat bereits das maximale Tag-Limit erreicht. Weitere Informationen zum Tag-Limit finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon S3 S3-Benutzerhandbuch.

    Informationen zur Einrichtung der Amazon EventBridge (EventBridge) -Regel für Tag-Fehlschläge nach dem Scannen finden Sie unterEreignisse, bei denen das Tag nach dem Scannen ausfällt.

Regeln einrichten EventBridge

Sie können in Ihrem Konto EventBridge Regeln einrichten, um entweder den Ressourcenstatus, Ereignisse nach dem Scan-Tag oder das Ergebnis des S3-Objektscans an ein anderes AWS-Service zu senden. Als delegiertes GuardDuty Administratorkonto erhalten Sie eine Benachrichtigung über den Ressourcenstatus des Malware-Schutzplans, wenn sich der Status ändert.

Es gelten die EventBridge Standardpreise. Weitere Informationen finden Sie unter EventBridge Amazon-Preise.

Alle Werte, die in angezeigt werden, red sind Platzhalter für das Beispiel. Diese Werte ändern sich je nach den Werten in Ihrem Konto und je nachdem, ob Malware erkannt wurde oder nicht.

Ressourcenstatus des Malware-Schutzplans

Sie können ein EventBridge Ereignismuster erstellen, das auf den folgenden Szenarien basiert:

Mögliche detail-type Werte

  • "GuardDuty Malware Protection Resource Status Active"

  • "GuardDuty Malware Protection Resource Status Warning"

  • "GuardDuty Malware Protection Resource Status Error"

Muster des Ereignisses

{
      "detail-type": ["potential detail-type"],
      "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für GuardDuty Malware Protection Resource Status Active:

{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status Active",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ACTIVE"
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für GuardDuty Malware Protection Resource Status Warning:

{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status warning",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "WARNING",
        "statusReasons": [
         {
            "code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
         }
        ]
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für GuardDuty Malware Protection Resource Status Error:

{
    "version": "0",
    "id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
    "detail-type": "GuardDuty Malware Protection Resource Status Error",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ERROR",
        "statusReasons": [
        {
            "code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
        }
       ]
    }
}
Mehr anzeigenWeniger anzeigen

Basierend auf dem Grund dafür resourceStatus ERROR wird der statusReasons Wert aufgefüllt.

Informationen zu den Schritten zur Problembehandlung bei den folgenden Warnungen und Fehlern finden Sie unterFehlerbehebung beim Status des Malware-Schutzplans.

Ergebnis des S3-Objektscans

{
  "detail-type": ["GuardDuty Malware Protection Object Scan Result"],
  "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für NO_THREATS_FOUND:

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "threats": null
        }
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für THREATS_FOUND:

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "threats": [
                {
                    "name": "EICAR-Test-File (not a virus)"
                }
            ]
        }
    }
}
Anmerkung

Das scanResultDetails.Threats Feld enthält nur eine Bedrohung. Standardmäßig meldet der Scan von Malware Protection for S3 die erste erkannte Bedrohung. Danach scanStatus ist der auf eingestelltCOMPLETED.

Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für den Status der Scanergebnisse UNSUPPORTED (Übersprungen):

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "UNSUPPORTED",
            "threats": null
        }
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für den Status der Scanergebnisse ACCESS_DENIED (Übersprungen):

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "ACCESS_DENIED",
            "threats": null
        }
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für den Status FAILED der Scanergebnisse:

{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "FAILED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "FAILED",
            "threats": null
        }
    }
}
Mehr anzeigenWeniger anzeigen

Ereignisse, bei denen das Tag nach dem Scannen ausfällt

Muster des Ereignisses:

{
      "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
      "source": "aws.guardduty"
 }

Beispiel für ein Benachrichtigungsschema für ACCESS_DENIED:

{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "ACCESS_DENIED"
        }]
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für MAX_TAG_LIMIT_EXCEEDED:

{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "MAX_TAG_LIMIT_EXCEEDED"
        }]
    }
}
Mehr anzeigenWeniger anzeigen

Informationen zur Behebung dieser Fehlerursachen finden Sie unterBehebung von Fehlern bei S3-Objekt-Tags nach dem Scannen.