Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge

EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos Software-as-a-Service (SaaS) e AWS serviços e encaminha esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o Guia EventBridge do usuário da Amazon.

Como conta do proprietário de um bucket do S3 protegido com o Malware Protection for S3, GuardDuty publica EventBridge notificações no barramento de eventos padrão nos seguintes cenários:

Alterações no status dos recursos do plano de proteção contra malware para qualquer um dos seus buckets protegidos. Para obter mais informações sobre vários status, consulte Visualizando e entendendo o status do bucket protegido.

Para configurar a regra Amazon EventBridge (EventBridge) para o status do recurso, consulteStatus do recurso do plano de proteção contra malware.
O resultado da verificação de objetos do S3 é publicado no seu barramento de EventBridge eventos padrão.

O campo s3Throttled indica se houve ou não um atraso no upload ou na recuperação do armazenamento dos Amazon S3. O valor true indica que houve um atraso e false indica que não houve atraso.

Se s3Throttled for true para o resultado da verificação, o Amazon S3 recomenda configurar prefixos de uma forma que ajude a reduzir as transações por segundo (TPS) para cada prefixo. Para obter mais informações, consulte Padrões de Design de Práticas Recomendadas: Otimizando a Performance do Amazon S3 no Guia de Usuário do Amazon S3.

Para configurar a regra Amazon EventBridge (EventBridge) para os resultados de escaneamento de objetos do S3, consulteResultado da verificação de objetos do S3.
Há um evento de falha na etiqueta pós-verificação devido aos seguintes motivos:
- Seu perfil do IAM não tem permissões para marcar o objeto.
  
  O Adicionar permissões de política do IAM modelo inclui a permissão GuardDuty para marcar um objeto.
- O recurso ou objeto do bucket especificado no perfil do IAM não existe mais.
- O objeto S3 associado já atingiu o limite máximo de marcações. Para obter informações, sobre o limite de marcações, consulte Categorizando o armazenamento usando marcações no Guia do usuário do Amazon S3.
Para configurar a regra Amazon EventBridge (EventBridge) para os eventos de falha da tag pós-digitalização, consulteEventos de falha da marcação pós-verificação.

Configurar EventBridge regras

Você pode configurar EventBridge regras em sua conta para enviar o status do recurso, os eventos de falha da tag pós-escaneamento ou o resultado do escaneamento de objetos do S3 para outra pessoa. AWS service (Serviço da AWS) Como conta de GuardDuty administrador delegado, você receberá a notificação de status do recurso do plano de Proteção contra Malware quando houver uma alteração no status.

O EventBridge preço padrão será aplicado. Para obter mais informações, consulte os EventBridge preços da Amazon.

Todos os valores que aparecem em red são espaços reservados para o exemplo. Esses valores mudarão com base nos valores da sua conta e na detecção ou não de malware.

Tópicos

Status do recurso do plano de proteção contra malware
Resultado da verificação de objetos do S3
Eventos de falha da marcação pós-verificação

Status do recurso do plano de proteção contra malware

Você pode criar um padrão de EventBridge evento com base nos seguintes cenários:

Valores `detail-type`potenciais

"GuardDuty Malware Protection Resource Status Active"
"GuardDuty Malware Protection Resource Status Warning"
"GuardDuty Malware Protection Resource Status Error"

Padrão de evento


{
      "detail-type": ["potential detail-type"],
      "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Active:


{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status Active",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ACTIVE"
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Warning:


{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status warning",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "WARNING",
        "statusReasons": [
         {
            "code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
         }
        ]
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Error:


{
    "version": "0",
    "id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
    "detail-type": "GuardDuty Malware Protection Resource Status Error",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ERROR",
        "statusReasons": [
        {
            "code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
        }
       ]
    }
}

Mostrar mais

Mostrar menos

Com base no motivo por trás do resourceStatusERROR, o statusReasons valor será preenchido.

Para obter informações sobre as etapas de solução de problemas dos seguintes avisos e erros, consulteSolução de problemas do status do plano de proteção contra malware.

Resultado da verificação de objetos do S3


{
  "detail-type": ["GuardDuty Malware Protection Object Scan Result"],
  "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para NO_THREATS_FOUND:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para THREATS_FOUND:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "threats": [
                {
                    "name": "EICAR-Test-File (not a virus)"
                }
            ]
        }
    }
}

nota

O campo scanResultDetails.Threats contém apenas uma ameaça. Por padrão, a verificação do Proteção contra Malware para S3 relata a primeira ameaça detectada. Depois disso, o scanStatus é definido comoCOMPLETED.

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação UNSUPPORTED (ignorado):


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "UNSUPPORTED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação ACCESS_DENIED (ignorado):


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "ACCESS_DENIED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação FAILED:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "FAILED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "FAILED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Eventos de falha da marcação pós-verificação

Padrão de evento:


{
      "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
      "source": "aws.guardduty"
 }

Exemplo de esquema de notificação para ACCESS_DENIED:


{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "ACCESS_DENIED"
        }]
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para MAX_TAG_LIMIT_EXCEEDED:


{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "MAX_TAG_LIMIT_EXCEEDED"
        }]
    }
}