As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como funciona a Proteção contra malware para o S3?
Esta seção descreve os componentes da Proteção contra malware para o S3, como ela funciona depois de habilitada para um bucket do S3 e como é possível revisar o status e o resultado da verificação de malware.
Visão geral
Você pode ativar o Malware Protection for S3 para um bucket Amazon S3 que pertença ao seu. Conta da AWS GuardDutyoferece flexibilidade para ativar esse recurso para todo o bucket ou limitar o escopo da verificação de malware a prefixos de objetos específicos, onde GuardDuty verifica cada objeto carregado que começa com um dos prefixos selecionados. É possível adicionar até 5 prefixos. Ao ativar o recurso para um bucket S3, esse bucket é chamado de bucket protegido.
Permissões de perfil do IAM
O Malware Protection for S3 usa uma função do IAM que permite GuardDuty realizar as ações de verificação de malware em seu nome. Entre essas ações estão ser notificado sobre os objetos recém-carregados no bucket selecionado, ler esses objetos e, opcionalmente, adicionar tags aos objetos lidos. Trata-se de um pré-requisito para configurar seu bucket S3 com esse recurso.
Existe a opção de atualizar uma função do IAM existente ou criar uma nova função para essa finalidade. Ao habilitar a Proteção contra malware para o S3 para mais de um bucket, é possível atualizar a função do IAM existente para incluir o nome do outro bucket, caso necessário. Para obter mais informações, consulte Criar ou atualizar a política do perfil do IAM.
Criação opcional de tags de objetos com base no resultado da verificação
Ao habilitar a Proteção contra malware para o S3 para o seu bucket, há uma etapa opcional para habilitar a criação de tags para objetos S3 lidos. A função do IAM já inclui a permissão para adicionar tags ao seu objeto após a verificação. No entanto, GuardDuty adicionará tags somente quando você ativar essa opção no momento da configuração.
Deve-se habilitar essa opção antes que um objeto seja carregado. Depois que a varredura terminar, GuardDuty adiciona uma tag predefinida ao objeto S3 digitalizado com o seguinte par chave/valor:
GuardDutyMalwareScanStatus:Potential scan
result
Os possíveis valores da tag de resultado da verificação incluem NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED e FAILED. Para obter mais informações sobre esses valores, consulte Status de verificação potencial do objeto S3 e status do resultado.
A habilitação da criação de tags é uma das maneiras de saber sobre o resultado da verificação do objeto S3. Além disso, é possível usar essas tags para adicionar uma política de recursos do S3 de controle de acesso baseado em tags (TBAC), para que seja possível tomar medidas em relação aos objetos possivelmente maliciosos. Para obter mais informações, consulte Adicionando TBAC ao recurso do bucket do S3.
Recomendamos que a habilitação da colocação de tags seja feita no momento da configuração da Proteção contra malware para o S3 para o seu bucket. Se você ativar a marcação após o upload de um objeto e, potencialmente, o escaneamento iniciar, não GuardDuty será possível adicionar tags ao objeto digitalizado. Para obter informações sobre o custo associado com a colocação de tags em objetos S3, consulte Preço e custo de uso da Proteção contra Malware para S3.
Processe depois de habilitar a Proteção contra malware para o S3 para um bucket
Depois de habilitar a Proteção contra malware para o S3, um recurso do plano de Proteção contra Malware é criado exclusivamente para o bucket do S3 selecionado. Esse recurso está associado a um ID do plano de Proteção contra malware, um identificador exclusivo para seu recurso protegido. Ao usar uma das permissões do IAM GuardDuty , cria e gerencia uma regra EventBridge gerenciada com o nome deDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.
Como GuardDuty lida com seus dados - proteções para proteção de dados
O Malware Protection for S3 escuta as notificações da Amazon EventBridge . Quando um objeto é carregado no bucket selecionado ou em um dos prefixos, GuardDuty baixa esse objeto do bucket do S3 usando um AWS PrivateLinke depois o lê, descriptografa e digitaliza em um ambiente isolado na mesma região. O ambiente de verificação é executado em uma nuvem privada virtual (VPC) bloqueada, sem acesso à Internet. A VPC está conectada a um grupo de regras do Firewall DNS que permite a comunicação somente com os domínios listados como permitidos que possuem. AWS Durante o escaneamento, armazena GuardDuty temporariamente o objeto S3 baixado no ambiente de escaneamento que é criptografado com as chaves AWS Key Management Service (AWS KMS).
nota
Por padrão, todos os Amazon S3 APIs listados sob o tipo Object Created Event no Guia do usuário do Amazon S3 iniciarão a verificação do Malware Protection for S3.
Esses tipos de eventos incluem PutObjectPOST Object CompleteMultipartUploade. CopyObject
Para obter informações sobre a metodologia de detecção de GuardDuty malware e os mecanismos de verificação que ela usa, consulteGuardDuty mecanismo de verificação de detecção de malware.
Após a conclusão da verificação de malware, GuardDuty processa os metadados da verificação com o status da verificação e, em seguida, exclui a cópia baixada do objeto.
GuardDuty limpa o ambiente de escaneamento toda vez antes do início de um novo escaneamento. GuardDuty usa autorização contingente para o acesso do operador ao ambiente de digitalização, e cada solicitação de acesso é analisada, aprovada e auditada.
Analisando o status e o resultado da verificação de objetos do S3
GuardDuty publica o evento de resultado da digitalização de objetos do S3 no barramento de eventos EventBridge padrão da Amazon. GuardDuty também envia as métricas de escaneamento, como número de objetos escaneados e bytes escaneados, para a Amazon. CloudWatch Se você ativou a marcação, GuardDuty adicionará a tag predefinida GuardDutyMalwareScanStatus e um possível resultado de escaneamento como o valor da tag.
Para obter mais informações, consulte Monitorando verificações de objetos do S3 na Proteção contra Malware para S3.
Revisar descobertas geradas
A análise das descobertas depende se você está ou não usando o Malware Protection for S3 com. GuardDuty Considere os seguintes cenários:
- Usando a Proteção contra Malware para S3 quando o GuardDuty serviço está ativado (ID do detector)
-
Se a verificação de malware detectar um arquivo potencialmente malicioso em um objeto do S3, GuardDuty gerará uma descoberta associada. É possível visualizar os detalhes da descoberta e usar as etapas recomendadas para corrigir a descoberta. Com base na frequência de suas descobertas de exportação, a descoberta gerada é exportada para um bucket do S3 e um barramento de EventBridge eventos.
Para obter informações sobre o tipo de descoberta que seria gerado, consulteTipo de descoberta da Proteção contra malware para S3.
- Como usar a Proteção contra malware para o S3 como um recurso independente (sem ID de detector)
-
GuardDuty não será capaz de gerar descobertas porque não há uma ID de detector associada. Para saber o status da verificação de malware do objeto S3, você pode visualizar o resultado da verificação que é publicado GuardDuty automaticamente no seu barramento de eventos padrão. Você também pode visualizar as CloudWatch métricas para avaliar o número de objetos e bytes que GuardDuty tentaram escanear. Você pode configurar CloudWatch alarmes para ser notificado sobre os resultados da verificação. Caso tenha habilitado a colocação de tags em objetos S3, também é possível visualizar o status da verificação de malware verificando no objeto S3 a chave da tag e o
GuardDutyMalwareScanStatusvalor da tag do resultado da verificação.Para obter informações sobre o status e o resultado da verificação de objetos S3, consulte Monitorando verificações de objetos do S3 na Proteção contra Malware para S3.
