GuardDuty Protección S3 - Amazon GuardDuty
AWS CloudTrail eventos de datos para S3¿Cómo GuardDuty utiliza CloudTrail los eventos de datos para S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Protección S3

S3 Protection le ayuda a detectar posibles riesgos de seguridad para los datos, como la exfiltración y la destrucción de datos, en sus depósitos de Amazon Simple Storage Service (Amazon S3). GuardDuty monitorea los eventos de AWS CloudTrail datos de Amazon S3, lo que incluye API operaciones a nivel de objeto para identificar estos riesgos en todos los buckets de Amazon S3 de su cuenta.

Cuando GuardDuty detecta una amenaza potencial en función del monitoreo de eventos de datos de S3, genera una comprobación de seguridad. Para obtener información sobre los tipos de hallazgos que se GuardDuty pueden generar al activar S3 Protection, consulteGuardDuty Tipos de búsqueda de protección S3.

De forma predeterminada, la detección de amenazas fundamental incluye la supervisión de Eventos de administración de AWS CloudTrail para identificar posibles amenazas en los recursos de Amazon S3. Este origen de datos es diferente de los eventos de datos de AWS CloudTrail para S3, ya que ambos supervisan diferentes tipos de actividades en el entorno.

Puede habilitar S3 Protection en una cuenta de cualquier región en la que se GuardDuty admita esta función. Esto le ayudará a monitorear CloudTrail los eventos de datos de S3 en esa cuenta y región. Tras activar S3 Protection, GuardDuty podrá monitorizar completamente sus depósitos de Amazon S3 y detectar posibles accesos sospechosos a los datos almacenados en sus depósitos de S3.

Para utilizar la protección de S3, no es necesario habilitar ni configurar explícitamente el registro de eventos de datos de S3 en AWS CloudTrail.

Prueba gratuita de 30 días

En la siguiente lista se explica cómo funciona la prueba gratuita de 30 días para la cuenta:

  • Cuando lo GuardDuty habilitas Cuenta de AWS en una nueva región por primera vez, obtienes una prueba gratuita de 30 días. En este caso, también GuardDuty habilitará S3 Protection, que se incluye en la prueba gratuita.

  • Si ya está utilizando S3 Protection GuardDuty y decide activarlo por primera vez, su cuenta de esta región dispondrá de una prueba gratuita de 30 días para utilizar S3 Protection.

  • Puede optar por desactivar la protección de S3 en cualquier momento. Si aún le quedan días de la prueba gratuita en la cuenta en una región, puede utilizarlos si decide volver a habilitar la protección de S3.

  • Durante los 30 días de la prueba gratuita, puede obtener una estimación de los costos de su uso en esa cuenta y región. Una vez finalizada la prueba gratuita de 30 días, la protección de S3 no se desactivará automáticamente. La cuenta en esta región comenzará a incurrir en costos de uso. Para obtener más información, consulte Estimar el costo de uso de GuardDuty.

AWS CloudTrail eventos de datos para S3

En los eventos de datos, también conocidos como operaciones del plano de datos, se muestra información sobre las operaciones de recursos llevadas a cabo en un recurso determinado. Suelen ser actividades de gran volumen.

Los siguientes son ejemplos de eventos de CloudTrail datos para S3 que GuardDuty se pueden monitorear:

  • GetObjectAPIoperaciones

  • PutObjectAPIoperaciones

  • ListObjectsAPIoperaciones

  • DeleteObjectAPIoperaciones

Para obtener más información al respectoAPIs, consulte Amazon Simple Storage Service API Reference.

¿Cómo GuardDuty utiliza CloudTrail los eventos de datos para S3

Cuando habilita S3 Protection, GuardDuty comienza a analizar CloudTrail los eventos de datos de S3 desde todos sus buckets de S3 y los monitorea para detectar actividades maliciosas o sospechosas. Para obtener más información, consulte Eventos de administración de AWS CloudTrail.

Si un usuario no autenticado accede a un objeto S3, significa que el objeto S3 es de acceso público. Por lo tanto, GuardDuty no procesa dichas solicitudes. GuardDuty procesa las solicitudes realizadas a los objetos S3 mediante credenciales IAM (AWS Identity and Access Management) o AWS STS (AWS Security Token Service) válidas.

Nota

Tras activar S3 Protection, GuardDuty supervisa los eventos de datos de los buckets de Amazon S3 que residen en la misma región en la que la GuardDuty activó.

Si deshabilita la protección de S3 en su cuenta en una región específica, GuardDuty detiene la supervisión de los eventos de datos de S3 de los datos almacenados en sus depósitos de S3. GuardDuty ya no generará los tipos de búsqueda de S3 Protection para tu cuenta en esa región.

GuardDuty usar eventos CloudTrail de datos de S3 para secuencias de ataque

GuardDuty Detección de amenazas extendidadetecta secuencias de ataques en varias etapas que abarcan las fuentes de datos, AWS los recursos y el cronograma fundamentales de una cuenta. Cuando GuardDuty observa una secuencia de eventos que es indicativa de una actividad sospechosa reciente o en curso en tu cuenta, GuardDuty genera una búsqueda de la secuencia de ataque asociada.

De forma predeterminada, cuando la habilitas GuardDuty, la detección extendida de amenazas también se habilita en tu cuenta. Esta capacidad cubre el escenario de amenazas asociado a los eventos de CloudTrail administración sin costo adicional. Sin embargo, para aprovechar al máximo el potencial de la detección extendida de amenazas, GuardDuty recomienda habilitar S3 Protection para cubrir los escenarios de amenazas asociados a CloudTrail los eventos de datos en S3.

Después de activar S3 Protection, GuardDuty cubrirá automáticamente los escenarios de amenaza de la secuencia de ataque, como el compromiso o la destrucción de datos, en los que puedan estar involucrados sus recursos de Amazon S3.