GuardDuty S3-Schutz - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty S3-Schutz

S3 Protection hilft Ihnen dabei, potenzielle Sicherheitsrisiken für Daten wie Datenexfiltration und -vernichtung in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets zu erkennen. GuardDuty überwacht AWS CloudTrail Datenereignisse für Amazon S3, einschließlich API Operationen auf Objektebene, um diese Risiken in allen Amazon S3 S3-Buckets in Ihrem Konto zu identifizieren.

Wenn auf der Grundlage der Überwachung von S3-Datenereignissen eine potenzielle Bedrohung GuardDuty erkannt wird, wird eine Sicherheitsfeststellung generiert. Informationen zu den Erkennungstypen, die bei der Aktivierung von S3 Protection generiert werden GuardDuty können, finden Sie unterGuardDuty Suchtypen für den S3-Schutz.

Standardmäßig umfasst die grundlegende Bedrohungserkennung die Überwachung AWS CloudTrail Management-Ereignisse zur Identifizierung potenzieller Bedrohungen in Ihren Amazon S3 S3-Ressourcen. Diese Datenquelle unterscheidet sich von den AWS CloudTrail Datenereignissen für S3, da beide unterschiedliche Arten von Aktivitäten in Ihrer Umgebung überwachen.

Sie können S3 Protection für ein Konto in jeder Region aktivieren, in der diese Funktion GuardDuty unterstützt wird. Auf diese Weise können Sie CloudTrail Datenereignisse für S3 in diesem Konto und dieser Region überwachen. Nachdem Sie S3 Protection aktiviert haben, können GuardDuty Sie Ihre Amazon S3 S3-Buckets vollständig überwachen und Ergebnisse für verdächtigen Zugriff auf die in Ihren S3-Buckets gespeicherten Daten generieren.

Um S3 Protection verwenden zu können, müssen Sie die S3-Datenereignisprotokollierung nicht explizit aktivieren oder konfigurieren. AWS CloudTrail

Kostenlose 30-Tage-Testversion

In der folgenden Liste wird erklärt, wie die kostenlose 30-Tage-Testversion für Ihr Konto funktionieren würde:

  • Wenn Sie die Aktivierung GuardDuty AWS-Konto in einer neuen Region zum ersten Mal durchführen, erhalten Sie eine kostenlose 30-Tage-Testversion. In diesem Fall GuardDuty wird auch S3 Protection aktiviert, das in der kostenlosen Testversion enthalten ist.

  • Wenn Sie S3 Protection bereits verwenden GuardDuty und sich entscheiden, es zum ersten Mal zu aktivieren, erhält Ihr Konto in dieser Region eine kostenlose 30-Tage-Testversion für S3 Protection.

  • Sie können S3 Protection jederzeit deaktivieren. Wenn in Ihrem Konto in einer Region noch kostenlose Testtage verfügbar sind, können Sie diese nutzen, falls Sie S3 Protection erneut aktivieren möchten.

  • Während der kostenlosen 30-Tage-Testversion erhalten Sie eine Schätzung Ihrer Nutzungskosten für dieses Konto und diese Region. Nach Ablauf der kostenlosen 30-Tage-Testversion wird S3 Protection nicht automatisch deaktiviert. Für Ihr Konto in dieser Region fallen ab sofort Nutzungskosten an. Weitere Informationen finden Sie unter Schätzung der GuardDuty Nutzungskosten.

AWS CloudTrail Datenereignisse für S3

Datenereignisse, auch bekannt als Vorgänge auf der Datenebene, bieten Einblicke in die Ressourcen-Vorgänge, die für oder innerhalb einer Ressource ausgeführt wurden. Datenereignisse sind oft Aktivitäten mit hohem Volume.

Im Folgenden finden Sie Beispiele für CloudTrail Datenereignisse für S3, die überwacht GuardDuty werden können:
  • GetObjectAPIOperationen

  • PutObjectAPIOperationen

  • ListObjectsAPIOperationen

  • DeleteObjectAPIOperationen

Weitere Informationen zu diesen finden Sie APIs unter Amazon Simple Storage Service API Reference.

Wie GuardDuty werden CloudTrail Datenereignisse für S3 verwendet

Wenn Sie S3 Protection aktivieren, GuardDuty beginnt es mit der Analyse von CloudTrail Datenereignissen für S3 aus all Ihren S3-Buckets und überwacht sie auf böswillige und verdächtige Aktivitäten. Weitere Informationen finden Sie unter AWS CloudTrail Management-Ereignisse.

Wenn ein nicht authentifizierter Benutzer auf ein S3-Objekt zugreift, bedeutet dies, dass das S3-Objekt öffentlich zugänglich ist. Verarbeitet solche Anfragen daher GuardDuty nicht. GuardDuty verarbeitet die an die S3-Objekte gestellten Anfragen unter Verwendung gültiger IAM (AWS Identity and Access Management) oder AWS STS (AWS Security Token Service) Anmeldeinformationen.

Hinweis

GuardDuty Überwacht nach der Aktivierung von S3 Protection die Datenereignisse aus den Amazon S3 S3-Buckets, die sich in derselben Region befinden, in der Sie die Aktivierung aktiviert haben. GuardDuty

Wenn Sie den S3-Schutz in Ihrem Konto in einer bestimmten Region deaktivieren, wird die S3-Datenereignisüberwachung der in Ihren S3-Buckets gespeicherten Daten GuardDuty beendet. GuardDuty generiert für Ihr Konto in dieser Region keine S3-Protection-Suchtypen mehr.

GuardDuty Verwendung von CloudTrail Datenereignissen für S3 für Angriffssequenzen

GuardDuty Erweiterte Bedrohungserkennungerkennt mehrstufige Angriffssequenzen, die grundlegende Datenquellen, AWS Ressourcen und Zeitpläne in einem Konto umfassen. Wenn eine Abfolge von Ereignissen GuardDuty beobachtet wird, die auf eine kürzliche oder laufende verdächtige Aktivität in Ihrem Konto hindeuten, GuardDuty generiert das System eine entsprechende Erkennung der Angriffssequenz.

Wenn Sie Extended Threat Detection aktivieren GuardDuty, wird die erweiterte Bedrohungserkennung standardmäßig auch in Ihrem Konto aktiviert. Diese Funktion deckt das Bedrohungsszenario im Zusammenhang mit CloudTrail Verwaltungsereignissen ohne zusätzliche Kosten ab. Um Extended Threat Detection jedoch in vollem Umfang nutzen zu können, GuardDuty empfiehlt es sich, S3 Protection zu aktivieren, um Bedrohungsszenarien im Zusammenhang mit CloudTrail Datenereignissen für S3 abzudecken.

Nachdem Sie S3 Protection aktiviert haben, deckt GuardDuty es automatisch die Bedrohungsszenarien der Angriffssequenz ab, z. B. die Kompromittierung oder Zerstörung von Daten, bei denen Ihre Amazon S3 S3-Ressourcen betroffen sein könnten.