GuardDuty S3 的恶意软件防护 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 的恶意软件防护

S3 恶意软件防护通过扫描新上传到 Amazon Simple Storage Service(Amazon S3)存储桶的对象,来帮助检测可能存在的恶意软件。当 S3 对象或现有 S3 对象的新版本上传到您选择的存储桶时, GuardDuty 会自动启动恶意软件扫描。

启用 S3 恶意软件防护的两种方法

如果您启用了 S3 的恶意软件防护,并且将适用于 S3 的恶意软件防护作为整体 GuardDuty 体验的一部分,或者您想在不启用该 GuardDuty 服务的情况下单独使用适用于 S3 的恶意软件防护功能,则可以启用该 GuardDuty 服务。 AWS 账户 当您单独启用 S3 的恶意软件防护时, GuardDuty 文档将其称为使用 S3 的恶意软件防护作为一项独立功能。

独立使用 S3 恶意软件防护的注意事项
  • GuardDuty 安全发现 — 探测器 ID 是与您在某个地区中的账户关联的唯一标识符。当您在账户的一个或多个区域 GuardDuty 中启用检测器时,系统会在您启用的每个区域中自动为该账户创建检测器 ID GuardDuty。有关更多信息,请参阅 Amazon 中的概念和关键术语 GuardDuty文档中的检测器

    在账户中单独启用 S3 恶意软件防护时,该账户将没有关联的检测器 ID。这会影响您可能使用的 GuardDuty 功能。例如,当 S3 恶意软件扫描检测到恶意软件的存在时, AWS 账户 由于所有 GuardDuty 发现都与检测器 ID 相关联,因此不会在您的系统中生成任何 GuardDuty 发现结果。

  • 检查扫描的对象是否为恶意对象-默认情况下,会将恶意软件扫描结果 GuardDuty 发布到您的默认 Amazon EventBridge 事件总线和 Amazon CloudWatch 命名空间。如果在为存储桶启用 S3 恶意软件防护时启用了标记,将为已扫描的 S3 对象分配一个提及扫描结果的标签。有关标记的更多信息,请参阅根据扫描结果标记对象(可选)

启用 S3 恶意软件防护的一般注意事项

无论您是单独使用适用于 S3 的恶意软件防护,还是作为 GuardDuty 体验的一部分,以下一般考虑因素都适用:

  • 您可以为属于自己账户的 Amazon S3 存储桶启用 S3 恶意软件防护。作为委托 GuardDuty 管理员账户,您无法在属于成员账户的 Amazon S3 存储桶中启用此功能。

  • 您可以在属于当前在 GuardDuty 控制台中选择的同一区域的 S3 存储桶中启用此功能。 GuardDuty 不支持在跨区域 S3 存储桶中启用此功能。

  • 作为委托 GuardDuty 管理员账户,每当您的组织成员账户为该查看和了解受保护的存储桶状态功能配置的 S3 存储桶发生变化时,您都会收到 Amazon EventBridge 通知。