GuardDuty Protezione S3 - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty Protezione S3

S3 Protection ti aiuta a rilevare potenziali rischi per la sicurezza dei dati, come l'esfiltrazione e la distruzione dei dati, nei bucket Amazon Simple Storage Service (Amazon S3). GuardDuty monitora gli eventi AWS CloudTrail relativi ai dati per Amazon S3, che includono operazioni a API livello di oggetto per identificare questi rischi in tutti i bucket Amazon S3 del tuo account.

Quando GuardDuty rileva una potenziale minaccia basata sul monitoraggio degli eventi relativi ai dati di S3, genera una rilevazione di sicurezza. Per informazioni sui tipi di risultati che GuardDuty possono essere generati quando abiliti S3 Protection, consulta. GuardDuty S3 Tipi di risultati di protezione

Per impostazione predefinita, il rilevamento fondamentale delle minacce include il monitoraggio AWS CloudTrail eventi di gestione per identificare potenziali minacce nelle risorse Amazon S3. Questa fonte di dati è diversa dagli eventi AWS CloudTrail relativi ai dati di S3 in quanto entrambi monitorano diversi tipi di attività nel tuo ambiente.

Puoi abilitare S3 Protection in un account in qualsiasi regione in cui GuardDuty supporta questa funzionalità. Questo ti aiuterà a monitorare gli eventi CloudTrail relativi ai dati per S3 in quell'account e nella regione. Dopo aver abilitato S3 Protection, GuardDuty sarai in grado di monitorare completamente i tuoi bucket Amazon S3 e generare rilevazioni di accessi sospetti ai dati archiviati nei tuoi bucket S3.

Per utilizzare S3 Protection, non è necessario abilitare o configurare in modo esplicito la registrazione degli eventi relativi ai dati S3. AWS CloudTrail

Prova gratuita di 30 giorni

L'elenco seguente spiega come potrebbe funzionare la prova gratuita di 30 giorni per il tuo account:

  • Quando la attivi GuardDuty Account AWS in una nuova regione per la prima volta, ricevi una prova gratuita di 30 giorni. In questo caso, GuardDuty abiliterà anche S3 Protection, incluso nella versione di prova gratuita.

  • Se utilizzi già S3 Protection GuardDuty e decidi di abilitare S3 Protection per la prima volta, il tuo account in questa regione riceverà una prova gratuita di 30 giorni per S3 Protection.

  • Puoi scegliere di disabilitare S3 Protection in qualsiasi momento. Se sono ancora disponibili giorni di prova gratuiti nel tuo account in una regione, puoi utilizzarli se decidi di abilitare nuovamente S3 Protection.

  • Durante la prova gratuita di 30 giorni, puoi ottenere una stima dei costi di utilizzo per quell'account e per quella regione. Al termine della prova gratuita di 30 giorni, S3 Protection non viene disabilitato automaticamente. Il tuo account in questa regione inizierà a incorrere in costi di utilizzo. Per ulteriori informazioni, consulta Stima del costo di GuardDuty utilizzo.

AWS CloudTrail eventi relativi ai dati per S3

Gli eventi di dati, anche conosciuti come operazioni del piano dati, forniscono informazioni dettagliate sulle operazioni eseguite su una risorsa o al suo interno e sono spesso attività che interessano volumi elevati di dati.

Di seguito sono riportati alcuni esempi di eventi CloudTrail relativi ai dati per S3 che è GuardDuty possibile monitorare:
  • GetObjectAPIoperazioni

  • PutObjectAPIoperazioni

  • ListObjectsAPIoperazioni

  • DeleteObjectAPIoperazioni

Per ulteriori informazioni su questiAPIs, consulta Amazon Simple Storage Service API Reference.

In che modo GuardDuty utilizza gli eventi CloudTrail relativi ai dati per S3

Quando abiliti S3 Protection, GuardDuty inizia ad analizzare gli eventi CloudTrail relativi ai dati per S3 provenienti da tutti i bucket S3 e li monitora per rilevare eventuali attività dannose e sospette. Per ulteriori informazioni, consulta AWS CloudTrail eventi di gestione.

Quando un utente non autenticato accede a un oggetto S3, significa che l'oggetto S3 è accessibile pubblicamente. Pertanto, GuardDuty non elabora tali richieste. GuardDuty elabora le richieste fatte agli oggetti S3 utilizzando credenziali valide IAM (AWS Identity and Access Management) o AWS STS (AWS Security Token Service).

Nota

Dopo aver abilitato S3 Protection, GuardDuty monitora gli eventi relativi ai dati provenienti da quei bucket Amazon S3 che risiedono nella stessa regione in cui hai abilitato. GuardDuty

Se disabiliti S3 Protection nel tuo account in una regione specifica, GuardDuty interrompe il monitoraggio degli eventi di dati S3 dei dati archiviati nei bucket S3. GuardDuty non genererà più i tipi di risultati di S3 Protection per il tuo account in quella regione.

GuardDuty utilizzo di eventi CloudTrail relativi ai dati per S3 per le sequenze di attacco

GuardDuty Rilevamento esteso delle minaccerileva sequenze di attacco in più fasi che abbracciano fonti di dati, AWS risorse e cronologia fondamentali in un account. Quando GuardDuty rileva una sequenza di eventi indicativa di un'attività sospetta recente o in corso nel tuo account, genera la relativa sequenza di attacco. GuardDuty

Per impostazione predefinita, quando abiliti GuardDuty, anche Extended Threat Detection viene abilitato nel tuo account. Questa funzionalità copre lo scenario di minaccia associato agli eventi di CloudTrail gestione senza costi aggiuntivi. Tuttavia, per utilizzare Extended Threat Detection al massimo delle sue potenzialità, GuardDuty consigliamo di abilitare S3 Protection per coprire gli scenari di minaccia associati agli eventi CloudTrail relativi ai dati per S3.

Dopo aver abilitato S3 Protection, GuardDuty coprirà automaticamente gli scenari di minaccia della sequenza di attacco, come la compromissione o la distruzione dei dati, in cui potrebbero essere coinvolte le tue risorse Amazon S3.