Amazon による S3 オブジェクトスキャンのモニタリング EventBridge - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon による S3 オブジェクトスキャンのモニタリング EventBridge

Amazon EventBridge は、アプリケーションをさまざまなソースからのデータに簡単に接続できるサーバーレスイベントバスサービスです。 は、独自のアプリケーション、 (SaaS ) アプリケーション、 Software-as-a-Serviceおよび AWS のサービスからリアルタイムデータのストリーム EventBridge を提供し、そのデータを Lambda などのターゲットにルーティングします。これにより、サービスで発生したイベントをモニタリングし、イベント駆動型アーキテクチャを構築できます。詳細については、「Amazon EventBridge ユーザーガイド」を参照してください。

Malware Protection for S3 で保護されている S3 バケットの所有者アカウントとして、 は、次のシナリオでデフォルトのイベントバス EventBridge に通知 GuardDuty を発行します。

  • Malware Protection は、保護されたバケットのリソースステータスを変更します。さまざまなステータスの詳細については、「」を参照してくださいMalware Protection プランのリソースステータス

    リソースステータスの Amazon EventBridge (EventBridge) ルールの設定については、「」を参照してくださいMalware Protection プランのリソースステータス

  • S3 オブジェクトスキャン結果は、デフォルトの EventBridge イベントバスに発行されます。

    s3Throttled フィールドは、Amazon S3 からのストレージのアップロードまたは取得に遅延があったかどうかを示します。値は遅延があったことtrueを示し、遅延がないfalseことを示します。

    s3Throttled がスキャン結果trueの である場合、Amazon S3 は、各プレフィックスの 1 秒あたりのトランザクション (TPS) を減らすのに役立つ方法でプレフィックスを設定することをお勧めします。詳細については、Amazon S3 ユーザーガイド」の「ベストプラクティスの設計パターン: Amazon S3 のパフォーマンスの最適化」を参照してください。 Amazon S3

    S3 オブジェクトスキャン結果の Amazon EventBridge (EventBridge) ルールの設定については、「」を参照してくださいS3 オブジェクトスキャン結果

  • 次の理由により、スキャン後のタグの失敗イベントが発生します。

    • IAM ロールに、オブジェクトにタグを付けるアクセス許可がありません。

      IAM ポリシーアクセス許可の追加 テンプレートには、 オブジェクトにタグ GuardDuty を付けるための のアクセス許可が含まれています。

    • IAM ロールで指定されたバケットリソースまたはオブジェクトは存在しません。

    • 関連付けられた S3 オブジェクトは、既にタグの最大制限に達しています。タグの制限の詳細については、Amazon S3ユーザーガイド」の「タグを使用したストレージの分類」を参照してください。

    スキャン後のタグ障害イベントの Amazon EventBridge (EventBridge) ルールの設定については、「」を参照してくださいスキャン後タグの失敗イベント

ルールの設定 EventBridge

アカウントで EventBridge ルールを設定して、リソースステータス、スキャン後タグの失敗イベント、または S3 オブジェクトのスキャン結果を別の に送信できます AWS のサービス。委任された GuardDuty 管理者アカウントとして、ステータスに変更があった場合、Malware Protection プランのリソースステータス通知を受け取ります。

標準 EventBridge 料金が適用されます。詳細については、「Amazon EventBridge の料金」を参照してください。

に表示されるすべての値 red は例のプレースホルダーです。これらの値は、アカウントの値とマルウェアが検出されたかどうかに基づいて変化します。

Malware Protection プランのリソースステータス

次のシナリオに基づいて EventBridge イベントパターンを作成できます。

潜在的なdetail-type
  • "GuardDuty Malware Protection Resource Status Active"

  • "GuardDuty Malware Protection Resource Status Warning"

  • "GuardDuty Malware Protection Resource Status Error"

イベントパターン

{ "detail-type": ["potential detail-type"], "source": ["aws.guardduty"] }

の通知スキーマの例GuardDuty Malware Protection Resource Status Active

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "GuardDuty Malware Protection Resource Status Active", "source": "aws.guardduty", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-east-1", "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"], "detail": { "schemaVersion": "1.0", "eventTime": "2024-02-28T01:01:01Z", "s3BucketDetails": { "bucketName": "amzn-s3-demo-bucket" }, "resourceStatus": "ACTIVE" } }

の通知スキーマの例GuardDuty Malware Protection Resource Status Warning

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "GuardDuty Malware Protection Resource Status warning", "source": "aws.guardduty", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-east-1", "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"], "detail": { "schemaVersion": "1.0", "eventTime": "2024-02-28T01:01:01Z", "s3BucketDetails": { "bucketName": "amzn-s3-demo-bucket" }, "resourceStatus": "WARNING", "statusReasons": [ { "code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS" } ] } }

の通知スキーマの例GuardDuty Malware Protection Resource Status Error

{ "version": "0", "id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2", "detail-type": "GuardDuty Malware Protection Resource Status Error", "source": "aws.guardduty", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-east-1", "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"], "detail": { "schemaVersion": "1.0", "eventTime": "2024-02-28T01:01:01Z", "s3BucketDetails": { "bucketName": "amzn-s3-demo-bucket" }, "resourceStatus": "ERROR", "statusReasons": [ { "code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED" } ] } }

の背後にある理由に基づいてresourceStatusERRORstatusReasons値が入力されます。

以下の警告とエラーのトラブルシューティング手順については、「」を参照してくださいMalware Protection プランのステータスのトラブルシューティング

S3 オブジェクトスキャン結果

{ "detail-type": ["GuardDuty Malware Protection Object Scan Result"], "source": ["aws.guardduty"] }

の通知スキーマの例NO_THREATS_FOUND

{ "version": "0", "id": "72c7d362-737a-6dce-fc78-9e27a0171419", "detail-type": "GuardDuty Malware Protection Object Scan Result", "source": "aws.guardduty", "account": "111122223333", "time": "2024-02-28T01:01:01Z", "region": "us-east-1", "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "S3_OBJECT", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "APKAEIBAERJR2EXAMPLE", "eTag": "ASIAI44QH8DHBEXAMPLE", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "scanResultDetails": { "scanResultStatus": "NO_THREATS_FOUND", "threats": null } } }

の通知スキーマの例THREATS_FOUND

{ "version": "0", "id": "72c7d362-737a-6dce-fc78-9e27a0171419", "detail-type": "GuardDuty Malware Protection Object Scan Result", "source": "aws.guardduty", "account": "111122223333", "time": "2024-02-28T01:01:01Z", "region": "us-east-1", "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "S3_OBJECT", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "APKAEIBAERJR2EXAMPLE", "eTag": "ASIAI44QH8DHBEXAMPLE", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "scanResultDetails": { "scanResultStatus": "THREATS_FOUND", "threats": [ { "name": "EICAR-Test-File (not a virus)" } ] } } }

スキャン結果ステータスのサンプル通知スキーマ UNSUPPORTED (スキップ)

{ "version": "0", "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE", "detail-type": "GuardDuty Malware Protection Object Scan Result", "source": "aws.guardduty", "account": "111122223333", "time": "2024-02-28T01:01:01Z", "region": "us-east-1", "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE], "detail": { "schemaVersion": "1.0", "scanStatus": "SKIPPED", "resourceType": "S3_OBJECT", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "APKAEIBAERJR2EXAMPLE", "eTag": "ASIAI44QH8DHBEXAMPLE", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "scanResultDetails": { "scanResultStatus": "UNSUPPORTED", "threats": null } } }

スキャン結果ステータスのサンプル通知スキーマ ACCESS_DENIED (スキップ)

{ "version": "0", "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE", "detail-type": "GuardDuty Malware Protection Object Scan Result", "source": "aws.guardduty", "account": "111122223333", "time": "2024-02-28T01:01:01Z", "region": "us-east-1", "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE], "detail": { "schemaVersion": "1.0", "scanStatus": "SKIPPED", "resourceType": "S3_OBJECT", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "APKAEIBAERJR2EXAMPLE", "eTag": "ASIAI44QH8DHBEXAMPLE", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "scanResultDetails": { "scanResultStatus": "ACCESS_DENIED", "threats": null } } }

スキャン結果ステータス の通知スキーマの例FAILED

{ "version": "0", "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE", "detail-type": "GuardDuty Malware Protection Object Scan Result", "source": "aws.guardduty", "account": "111122223333", "time": "2024-02-28T01:01:01Z", "region": "us-east-1", "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE], "detail": { "schemaVersion": "1.0", "scanStatus": "FAILED", "resourceType": "S3_OBJECT", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "APKAEIBAERJR2EXAMPLE", "eTag": "ASIAI44QH8DHBEXAMPLE", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "scanResultDetails": { "scanResultStatus": "FAILED", "threats": null } } }

スキャン後タグの失敗イベント

イベントパターン

{ "detail-type": "GuardDuty Malware Protection Post Scan Action Failed", "source": "aws.guardduty" }

の通知スキーマの例ACCESS_DENIED

{ "version": "0", "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7", "detail-type": "GuardDuty Malware Protection Post Scan Action Failed", "source": "aws.guardduty", "account": "111122223333", "time": "2024-06-10T16:16:08Z", "region": "us-east-1", "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"], "detail": { "schemaVersion": "1.0", "eventTime": "2024-06-10T16:16:08Z", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0", "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "postScanActions": [{ "actionType": "TAGGING", "failureReason": "ACCESS_DENIED" }] } }

の通知スキーマの例MAX_TAG_LIMIT_EXCEEDED

{ "version": "0", "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7", "detail-type": "GuardDuty Malware Protection Post Scan Action Failed", "source": "aws.guardduty", "account": "111122223333", "time": "2024-06-10T16:16:08Z", "region": "us-east-1", "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"], "detail": { "schemaVersion": "1.0", "eventTime": "2024-06-10T16:16:08Z", "s3ObjectDetails": { "bucketName": "amzn-s3-demo-bucket", "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0", "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6", "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE", "s3Throttled": false }, "postScanActions": [{ "actionType": "TAGGING", "failureReason": "MAX_TAG_LIMIT_EXCEEDED" }] } }

これらの障害の原因をトラブルシューティングするには、「」を参照してくださいS3 オブジェクトのスキャン後タグ障害のトラブルシューティング