GuardDuty S3 防护 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 防护

S3 Protection 可帮助您检测亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险,例如数据泄露和破坏。 GuardDuty 监控 Amazon S3 AWS CloudTrail 的数据事件,其中包括用于识别您账户中所有 Amazon S3 存储桶中这些风险的对象级API操作。

当基于 S3 数据事件监控 GuardDuty 检测到潜在威胁时,它会生成安全发现。有关启用 S3 保护时 GuardDuty 可能生成的查找类型的信息,请参阅GuardDuty S3 保护查找类型

默认情况下,基础威胁检测包括通过监控AWS CloudTrail 管理事件来识别 Amazon S3 资源中的潜在威胁。此数据源与 S3 AWS CloudTrail 的数据事件不同,因为它们都监视环境中不同类型的活动。

您可以在任何 GuardDuty 支持此功能的区域的账户中启用 S3 保护。这将帮助您监控该账户和区域中 S3 CloudTrail 的数据事件。启用 S3 保护后, GuardDuty 将能够全面监控您的 Amazon S3 存储桶,并针对存储在 S3 存储桶中的数据的可疑访问生成调查结果。

要使用 S3 保护,您无需明确启用或配置 S3 数据事件登录功能 AWS CloudTrail。

30 天免费试用

以下列表说明了 30 天免费试用如何适用于您的账户:

  • 首次在新区域 GuardDuty AWS 账户 中启用时,您将获得 30 天的免费试用期。在这种情况下, GuardDuty 还将启用免费试用版中包含的 S3 保护。

  • 如果您已经在使用 GuardDuty 并决定首次启用 S3 保护,那么您在该区域的账户将获得 30 天的 S3 保护免费试用。

  • 您可以随时选择禁用 S3 保护。如果您的账户在某个地区还有免费试用天数,如果您选择再次启用 S3 保护,则可以使用这些天数。

  • 在 30 天免费试用期间,您可以估算出该账户和地区的使用成本。30 天免费试用期结束后,S3 保护不会自动禁用。您在该地区的账户将开始产生使用费用。有关更多信息,请参阅 估算 GuardDuty 使用成本

AWS CloudTrail S3 的数据事件

数据事件也称为数据面板操作,提供对在资源上或资源内执行的资源操作的见解。数据事件通常是高容量活动。

以下是 S3 中 GuardDuty 可以监控 CloudTrail 的数据事件示例:
  • GetObjectAPI操作

  • PutObjectAPI操作

  • ListObjectsAPI操作

  • DeleteObjectAPI操作

有关这些内容的更多信息APIs,请参阅 Amazon 简单存储服务API参考

如何在 S3 中 GuardDuty 使用 CloudTrail 数据事件

启用 S3 保护后, GuardDuty 开始分析来自所有 S3 存储桶的 S3 CloudTrail 数据事件,并监控这些事件中是否存在恶意和可疑活动。有关更多信息,请参阅 AWS CloudTrail 管理事件

当未经身份验证的用户访问 S3 对象时,这意味着 S3 对象可以公开访问。因此, GuardDuty 不处理此类请求。 GuardDuty 使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 凭证处理对 S3 对象发出的请求。

备注

启用 S3 保护后,将 GuardDuty 监控位于您启用的 GuardDuty同一区域的 Amazon S3 存储桶中的数据事件。

如果您在特定区域的账户中禁用 S3 保护,则 GuardDuty 会停止对存储在 S3 存储桶中的数据的 S3 数据事件监控。 GuardDuty 将不再为您的账户在该区域生成 S3 保护查找类型。