Bagaimana cara kerja Perlindungan Malware untuk S3? - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana cara kerja Perlindungan Malware untuk S3?

Bagian ini menjelaskan komponen Perlindungan Malware untuk S3, cara kerjanya setelah Anda mengaktifkannya untuk bucket S3, dan bagaimana Anda dapat meninjau status dan hasil pemindaian malware.

Gambaran Umum

Anda dapat mengaktifkan Perlindungan Malware untuk S3 untuk bucket Amazon S3 milik Anda sendiri. Akun AWS GuardDutymemberi Anda fleksibilitas untuk mengaktifkan fitur ini untuk seluruh bucket Anda, atau membatasi cakupan pemindaian malware ke awalan objek tertentu tempat GuardDuty memindai setiap objek yang diunggah yang dimulai dengan salah satu awalan yang dipilih. Anda dapat menambahkan hingga 5 awalan. Saat Anda mengaktifkan fitur untuk bucket S3, bucket tersebut disebut bucket yang dilindungi.

IAMizin peran

Perlindungan Malware untuk S3 menggunakan IAM peran yang memungkinkan GuardDuty untuk melakukan tindakan pemindaian malware atas nama Anda. Tindakan ini termasuk diberi tahu tentang objek yang baru diunggah di bucket yang dipilih, memindai objek tersebut, dan secara opsional menambahkan tag ke objek yang dipindai. Ini adalah prasyarat untuk mengonfigurasi bucket S3 Anda dengan fitur ini.

Anda memiliki opsi untuk memperbarui IAM peran yang ada, atau membuat peran baru untuk tujuan ini. Saat mengaktifkan Perlindungan Malware untuk S3 untuk lebih dari satu bucket, Anda dapat memperbarui IAM peran yang ada untuk menyertakan nama bucket lainnya, sesuai kebutuhan. Untuk informasi selengkapnya, lihat Prasyarat - Membuat atau memperbarui kebijakan peran IAM.

Penandaan opsional objek berdasarkan hasil pemindaian

Pada saat mengaktifkan Perlindungan Malware untuk S3 untuk bucket Anda, ada langkah opsional untuk mengaktifkan penandaan objek S3 yang dipindai. IAMPeran tersebut sudah menyertakan izin untuk menambahkan tag ke objek Anda setelah pemindaian. Namun, GuardDuty akan menambahkan tag hanya ketika Anda mengaktifkan opsi ini pada saat setup.

Anda harus mengaktifkan opsi ini sebelum objek diunggah. Setelah pemindaian berakhir, GuardDuty tambahkan tag yang telah ditentukan ke objek S3 yang dipindai dengan pasangan key:value berikut:

GuardDutyMalwareScanStatus:Potential scan result

Nilai tag hasil pemindaian potensial meliputiNO_THREATS_FOUND,THREATS_FOUND,UNSUPPORTED,ACCESS_DENIED, danFAILED. Untuk informasi selengkapnya tentang nilai-nilai ini, lihatStatus pemindaian potensial objek S3 dan status hasil.

Mengaktifkan penandaan adalah salah satu cara untuk mengetahui tentang hasil pemindaian objek S3. Anda dapat menggunakan tag ini lebih lanjut untuk menambahkan kebijakan sumber daya S3 kontrol akses berbasis tag (TBAC) sehingga Anda dapat mengambil tindakan pada objek yang berpotensi berbahaya. Untuk informasi selengkapnya, lihat TBACMenambahkan sumber daya bucket S3.

Kami menyarankan Anda untuk mengaktifkan penandaan pada saat mengonfigurasi Perlindungan Malware untuk S3 untuk bucket Anda. Jika Anda mengaktifkan penandaan setelah objek diunggah dan berpotensi pemindaian dimulai, tidak GuardDuty akan dapat menambahkan tag ke objek yang dipindai. Untuk informasi tentang biaya Penandaan Objek S3 terkait, lihat. Harga dan biaya penggunaan untuk Perlindungan Malware untuk S3

Proses setelah Anda mengaktifkan Perlindungan Malware untuk S3 untuk ember

Setelah Anda mengaktifkan Perlindungan Malware untuk S3, sumber daya paket Perlindungan Malware akan dibuat secara eksklusif untuk bucket S3 yang dipilih. Sumber daya ini dikaitkan dengan ID paket Perlindungan Malware, pengenal unik untuk sumber daya Anda yang dilindungi. Dengan menggunakan salah satu IAM izin, GuardDuty kemudian membuat dan mengelola aturan EventBridge terkelola dengan nama. DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*

Bagaimana GuardDuty menangani data Anda - pagar pembatas untuk perlindungan data

Perlindungan Malware untuk S3 mendengarkan notifikasi Amazon EventBridge . Saat objek diunggah ke bucket yang dipilih atau salah satu awalan, GuardDuty unduh objek tersebut dari bucket S3 dengan menggunakan lalu membaca, mendekripsi, AWS PrivateLinkdan memindainya di lingkungan terisolasi di Wilayah yang sama. Lingkungan pemindaian berjalan di cloud pribadi virtual yang terkunci (VPC) tanpa akses internet. VPCIni dilampirkan ke grup aturan DNS Firewall yang memungkinkan komunikasi hanya ke domain allowslisted yang dimiliki. AWS Selama pemindaian, simpan GuardDuty sementara objek S3 yang diunduh dalam lingkungan pemindaian yang dienkripsi dengan kunci AWS Key Management Service ()AWS KMS.

Untuk informasi tentang metodologi deteksi GuardDuty malware dan mesin pemindaian yang digunakannya, lihatGuardDuty mesin pemindai deteksi malware.

Setelah pemindaian malware selesai, GuardDuty proses metadata pemindaian dengan status pemindaian dan kemudian menghapus salinan objek yang diunduh.

GuardDuty membersihkan lingkungan pemindaian setiap kali sebelum pemindaian baru dimulai. GuardDuty menggunakan otorisasi kontingen untuk akses operator ke lingkungan pemindaian, dan setiap permintaan akses ditinjau, disetujui, dan diaudit.

Meninjau status dan hasil pemindaian objek S3

GuardDuty menerbitkan peristiwa hasil pemindaian objek S3 ke bus acara EventBridge default Amazon. GuardDuty juga mengirimkan metrik pemindaian seperti jumlah objek yang dipindai dan byte yang dipindai ke Amazon. CloudWatch Jika Anda mengaktifkan penandaan, maka GuardDuty akan menambahkan tag yang telah ditentukan GuardDutyMalwareScanStatus dan hasil pemindaian potensial sebagai nilai tag.

Untuk informasi selengkapnya, lihat Memantau pemindaian objek S3 di Perlindungan Malware untuk S3.

Meninjau temuan yang dihasilkan

Meninjau temuan tergantung pada apakah Anda menggunakan Perlindungan Malware untuk S3 dengan atau tidak. GuardDuty Pertimbangkan skenario berikut:

Menggunakan Perlindungan Malware untuk S3 ketika Anda mengaktifkan GuardDuty layanan (ID detektor)

Jika pemindaian malware mendeteksi file yang berpotensi berbahaya di objek S3, GuardDuty akan menghasilkan temuan terkait. Anda dapat melihat detail temuan dan menggunakan langkah-langkah yang disarankan untuk berpotensi memulihkan temuan tersebut. Berdasarkan frekuensi temuan Ekspor Anda, temuan yang dihasilkan akan diekspor ke bucket S3 dan bus EventBridge acara.

Untuk informasi tentang jenis temuan yang akan dihasilkan, lihatPerlindungan Malware untuk tipe pencarian S3.

Menggunakan Perlindungan Malware untuk S3 sebagai fitur independen (tidak ada ID detektor)

GuardDuty tidak akan dapat menghasilkan temuan karena tidak ada ID detektor terkait. Untuk mengetahui status pemindaian malware objek S3, Anda dapat melihat hasil pemindaian yang GuardDuty secara otomatis dipublikasikan ke bus acara default Anda. Anda juga dapat melihat CloudWatch metrik untuk menilai jumlah objek dan byte yang GuardDuty mencoba memindai. Anda dapat mengatur CloudWatch alarm untuk mendapatkan pemberitahuan tentang hasil pemindaian. Jika Anda telah mengaktifkan S3 Object Tagging, Anda juga dapat melihat status pemindaian malware dengan memeriksa objek S3 untuk kunci GuardDutyMalwareScanStatus tag dan nilai tag hasil pemindaian.

Untuk informasi tentang status dan hasil pemindaian objek S3, lihatMemantau pemindaian objek S3 di Perlindungan Malware untuk S3.