Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funziona Malware Protection for S3?
Questa sezione descrive i componenti di Malware Protection for S3, come funziona dopo averlo abilitato per un bucket S3 e come esaminare lo stato e i risultati della scansione del malware.
Panoramica
Puoi abilitare Malware Protection for S3 per un bucket Amazon S3 che appartiene al tuo. Account AWS GuardDutyti offre la flessibilità necessaria per abilitare questa funzionalità per l'intero bucket o limitare l'ambito della scansione antimalware a prefissi di oggetti specifici, in cui GuardDuty analizza ogni oggetto caricato che inizia con uno dei prefissi selezionati. È possibile aggiungere fino a 5 prefissi. Quando abiliti la funzionalità per un bucket S3, quel bucket viene chiamato bucket protetto.
IAMautorizzazioni di ruolo
Malware Protection for S3 utilizza un IAM ruolo che consente di GuardDuty eseguire le azioni di scansione del malware per tuo conto. Queste azioni includono la notifica degli oggetti appena caricati nel bucket selezionato, la scansione di tali oggetti e, facoltativamente, l'aggiunta di tag agli oggetti scansionati. Questo è un prerequisito per configurare il bucket S3 con questa funzionalità.
È possibile aggiornare un IAM ruolo esistente o creare un nuovo ruolo per questo scopo. Quando abiliti Malware Protection for S3 per più di un bucket, puoi aggiornare il IAM ruolo esistente per includere il nome dell'altro bucket, se necessario. Per ulteriori informazioni, consulta Prerequisito: creare o aggiornare i criteri relativi ai IAM ruoli.
Etichettatura opzionale degli oggetti in base al risultato della scansione
Al momento di abilitare Malware Protection for S3 per il tuo bucket, è disponibile un passaggio opzionale per abilitare l'etichettatura per gli oggetti S3 scansionati. Il IAM ruolo include già l'autorizzazione ad aggiungere tag all'oggetto dopo la scansione. Tuttavia, GuardDuty aggiungerà tag solo quando abiliti questa opzione al momento della configurazione.
È necessario abilitare questa opzione prima che un oggetto venga caricato. Al termine della scansione, GuardDuty aggiunge un tag predefinito all'oggetto S3 scansionato con la seguente coppia chiave:valore:
GuardDutyMalwareScanStatus:Potential scan
result
I potenziali valori dei tag dei risultati della scansione includonoNO_THREATS_FOUND,,, eTHREATS_FOUND. UNSUPPORTED ACCESS_DENIED FAILED Per ulteriori informazioni su questi valori, consulta Potenziale stato di scansione dell'oggetto S3 e stato dei risultati.
L'abilitazione dei tag è uno dei modi per conoscere i risultati della scansione degli oggetti S3. Puoi utilizzare ulteriormente questi tag per aggiungere una politica di risorse S3 basata su tag access control (TBAC) in modo da poter intraprendere azioni sugli oggetti potenzialmente dannosi. Per ulteriori informazioni, consulta Aggiungendo TBAC una risorsa bucket S3.
Ti consigliamo di abilitare i tag al momento della configurazione di Malware Protection for S3 per il tuo bucket. Se abiliti l'etichettatura dopo il caricamento di un oggetto e potenzialmente l'avvio della scansione, non GuardDuty sarà possibile aggiungere tag all'oggetto scansionato. Per informazioni sui costi associati all'etichettatura degli oggetti S3, consulta. Prezzi e costi di utilizzo di Malware Protection for S3
Procedura dopo aver abilitato Malware Protection for S3 per un bucket
Dopo aver abilitato Malware Protection for S3, viene creata una risorsa del piano Malware Protection esclusivamente per il bucket S3 selezionato. Questa risorsa è associata a un ID del piano Malware Protection, un identificatore univoco per la risorsa protetta. Utilizzando una delle IAM autorizzazioni GuardDuty , crea e gestisce una regola EventBridge gestita denominata. DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*
Come GuardDuty gestisce i tuoi dati: guardrails per la protezione dei dati
Malware Protection for S3 ascolta le notifiche di Amazon EventBridge . Quando un oggetto viene caricato nel bucket selezionato o in uno dei prefissi, GuardDuty scarica quell'oggetto dal bucket S3 utilizzando un bucket, quindi lo legge, lo decrittografa AWS PrivateLinke scansiona in un ambiente isolato nella stessa regione. L'ambiente di scansione viene eseguito in un cloud privato virtuale bloccato () senza accesso a Internet. VPC VPCÈ collegato a un gruppo di regole DNS del firewall che consente la comunicazione solo con i domini consentiti elencati di cui è proprietario. AWS Per tutta la durata della scansione, memorizza GuardDuty temporaneamente l'oggetto S3 scaricato all'interno dell'ambiente di scansione crittografato con AWS Key Management Service chiavi ().AWS KMS
Per informazioni sulla metodologia di rilevamento del GuardDuty malware e sui motori di scansione utilizzati, consulta. GuardDuty motore di scansione per il rilevamento di malware
Una volta completata la scansione antimalware, GuardDuty elabora i metadati di scansione con lo stato della scansione e quindi elimina la copia scaricata dell'oggetto.
GuardDuty pulisce l'ambiente di scansione ogni volta prima che inizi una nuova scansione. GuardDuty utilizza l'autorizzazione contingente per l'accesso dell'operatore all'ambiente di scansione e ogni richiesta di accesso viene esaminata, approvata e verificata.
Revisione dello stato e dei risultati della scansione degli oggetti S3
GuardDuty pubblica l'evento del risultato della scansione degli oggetti S3 sul bus eventi EventBridge predefinito di Amazon. GuardDuty invia anche i parametri di scansione, come il numero di oggetti scansionati e i byte scansionati, ad Amazon. CloudWatch Se hai abilitato l'etichettatura, GuardDuty aggiungerà il tag predefinito GuardDutyMalwareScanStatus e un potenziale risultato della scansione come valore del tag.
Per ulteriori informazioni, consulta Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3.
Revisione dei risultati generati
La revisione dei risultati dipende dal fatto che tu stia utilizzando o meno Malware Protection for S3 con GuardDuty. Considerare i seguenti scenari:
- Utilizzo di Malware Protection for S3 quando il GuardDuty servizio è abilitato (detector ID)
-
Se la scansione antimalware rileva un file potenzialmente dannoso in un oggetto S3, GuardDuty genererà un risultato associato. È possibile visualizzare i dettagli del risultato e utilizzare i passaggi consigliati per correggere potenzialmente il risultato. In base alla frequenza di esportazione dei risultati, i risultati generati vengono esportati in un bucket S3 e in un bus di eventi. EventBridge
Per informazioni sul tipo di risultato che verrebbe generato, consulta. Protezione da malware per tipo di ricerca S3
- Utilizzo di Malware Protection for S3 come funzionalità indipendente (nessun ID di rilevamento)
-
GuardDuty non sarà in grado di generare risultati perché non esiste un ID del rilevatore associato. Per conoscere lo stato della scansione antimalware degli oggetti S3, puoi visualizzare il risultato della scansione che GuardDuty viene pubblicato automaticamente sul tuo bus eventi predefinito. Puoi anche visualizzare le CloudWatch metriche per valutare il numero di oggetti e byte che GuardDuty hanno tentato di scansionare. È possibile impostare CloudWatch allarmi per ricevere notifiche sui risultati della scansione. Se hai abilitato S3 Object Tagging, puoi anche visualizzare lo stato della scansione antimalware controllando l'oggetto S3 per la chiave del tag e il valore del
GuardDutyMalwareScanStatustag dei risultati della scansione.Per informazioni sullo stato e sui risultati della scansione degli oggetti S3, consulta. Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3
