Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En esta sección se describen los componentes de la protección contra malware para S3, cómo funciona después de habilitarla para un bucket de S3 y cómo puede revisar el estado y el producto del análisis de malware.
Descripción general
Puede activar Malware Protection for S3 para un bucket de Amazon S3 que le pertenezca Cuenta de AWS. GuardDutyle ofrece la flexibilidad necesaria para habilitar esta función en todo su depósito o limitar el alcance del análisis de malware a prefijos de objetos específicos, en el que se GuardDuty analiza cada objeto cargado que comience con uno de los prefijos seleccionados. Puede agregar hasta 5 prefijos. Cuando se habilita la característica para un bucket de S3, ese bucket se denomina bucket protegido.
Permisos de roles de IAM
La protección contra malware para S3 utiliza una función de IAM que le permite GuardDuty realizar las acciones de análisis de malware en su nombre. Estas acciones incluyen recibir una notificación de los objetos recién cargados en el bucket seleccionado, analizar dichos objetos y, opcionalmente, agregar etiquetas a los objetos analizados. Este es un requisito previo para configurar el bucket de S3 con esta característica.
Tiene la opción de actualizar un rol de IAM existente o crear un nuevo rol para este propósito. Al habilitar la protección contra malware para S3 para más de un bucket, podrá actualizar el rol de IAM existente de modo que incluya el nombre del otro bucket, según sea necesario. Para obtener más información, consulte Crear o actualizar la política del rol de IAM .
Etiquetado opcional de objetos en función del resultado del análisis
Al habilitar la protección contra malware para S3 para el bucket, es posible seguir un paso opcional para habilitar el etiquetado de los objetos de S3 analizados. El rol de IAM ya incluye el permiso para agregar etiquetas al objeto después del análisis. Sin embargo, solo GuardDuty añadirá etiquetas cuando habilites esta opción en el momento de la configuración.
Debe habilitar esta opción antes de que se cargue un objeto. Una vez finalizado el escaneo, GuardDuty agrega una etiqueta predefinida al objeto S3 escaneado con el siguiente par clave-valor:
GuardDutyMalwareScanStatus:Potential scan
result
Los posibles valores de la etiqueta del producto del análisis son NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED y FAILED. Para obtener más información acerca de estos valores, consulte Estado potencial de análisis de objeto de S3 y estado del producto.
Habilitar el etiquetado es una de las formas de conocer el producto del análisis del objeto de S3. Además, puede utilizar estas etiquetas para agregar una política de recursos de S3 de control de acceso basado en etiquetas (TBAC), de modo que pueda tomar medidas respecto a los objetos potencialmente maliciosos. Para obtener más información, consulte Agregar TBAC en el recurso del bucket de S3.
Recomendamos que habilite el etiquetado en el momento de configurar la protección contra malware para S3 para el bucket. Si habilita el etiquetado después de cargar un objeto y, posiblemente, se inicie el escaneo, no GuardDuty podrá añadir etiquetas al objeto escaneado. Para obtener información sobre el costo asociado al etiquetado de objetos de S3, consulte Precios y costo de uso de la protección contra malware para S3.
Proceso posterior a la habilitación de la protección contra malware para S3 para un bucket
Tras habilitar la protección contra malware para S3, se creará un recurso del plan de protección contra malware exclusivo para el bucket de S3 seleccionado. Este recurso está asociado a un ID de plan de protección contra malware, que es un identificador único para el recurso protegido. Al usar uno de los permisos de IAM, crea GuardDuty y administra una regla EventBridge administrada con el nombre de. DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*
Cómo GuardDuty gestiona sus datos: barreras para la protección de datos
Malware Protection for S3 escucha las EventBridge notificaciones de Amazon. Cuando se carga un objeto en el depósito seleccionado o en uno de los prefijos, GuardDuty descarga ese objeto del depósito de S3 mediante un AWS PrivateLinky, a continuación, lo lee, descifra y escanea en un entorno aislado de la misma región. El entorno de análisis se ejecuta en una nube privada virtual (VPC) bloqueada sin acceso a Internet. La VPC está conectada a un grupo de reglas de firewall de DNS que permite la comunicación solo con los dominios que son propietarios de la lista de permitidos. AWS Durante el análisis, almacena GuardDuty temporalmente el objeto S3 descargado en el entorno de análisis cifrado con las claves AWS Key Management Service ()AWS KMS.
nota
De forma predeterminada, todos los Amazon S3 APIs incluidos en el tipo de evento creado por objeto en la Guía del usuario de Amazon S3 iniciarán el escaneo de Malware Protection for S3.
Estos tipos de eventos incluyen PutObjectPOST Object y CompleteMultipartUpload. CopyObject
Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulteGuardDuty motor de escaneo de detección de malware.
Una vez finalizado el análisis de software malicioso, GuardDuty procesa los metadatos del análisis con el estado del análisis y, a continuación, elimina la copia descargada del objeto.
GuardDuty limpia el entorno de escaneo cada vez antes de que comience un nuevo escaneo. GuardDuty utiliza una autorización condicionada para el acceso del operador al entorno de digitalización, y todas las solicitudes de acceso se revisan, aprueban y auditan.
Revisar el estado y el producto del análisis de objetos del S3
GuardDuty publica el evento resultante del escaneo de objetos de S3 en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty también envía a Amazon las métricas de escaneo, como el número de objetos escaneados y los bytes escaneados CloudWatch. Si has activado el etiquetado, GuardDuty añadirá la etiqueta predefinida GuardDutyMalwareScanStatus y un posible resultado del escaneo como valor de la etiqueta.
Para obtener más información, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
Revisar los resultados generados
La revisión de los resultados dependerá de si utiliza o no Malware Protection for S3 con GuardDuty. Considere los siguientes escenarios:
- Uso de la protección contra malware para S3 cuando el GuardDuty servicio está activado (ID del detector)
-
Si el análisis de malware detecta un archivo potencialmente malicioso en un objeto S3, GuardDuty generará un hallazgo asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. En función de la frecuencia de las búsquedas de exportación, las conclusiones generadas se exportan a un bucket de S3 y a un bus de EventBridge eventos.
Para obtener información sobre el tipo de resultado que se generará, consulte Tipo de resultado de la protección contra malware para S3.
- Utilizar la protección contra malware para S3 como una característica independiente (sin ID de detector)
-
GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del análisis de malware con objetos S3, puede ver el resultado del análisis que GuardDuty se publica automáticamente en su bus de eventos predeterminado. También puede ver las CloudWatch métricas para evaluar la cantidad de objetos y bytes que se GuardDuty intentaron escanear. Puede configurar CloudWatch alarmas para recibir notificaciones sobre los resultados del escaneo. Si ha habilitado el etiquetado de objetos de S3, también podrá ver el estado del análisis de malware si comprueba en el objeto de S3 la clave de la etiqueta
GuardDutyMalwareScanStatusy el valor de la etiqueta del producto del análisis.Para obtener información sobre el estado y el producto del análisis de objetos de S3, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
