本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty S3 防护

S3 Protection 可帮助您检测亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险，例如数据泄露和破坏。 GuardDuty 监控 Amazon S3 AWS CloudTrail 的数据事件，其中包括用于识别您账户中所有 Amazon S3 存储桶中这些风险的对象级API操作。

当基于 S3 数据事件监控 GuardDuty 检测到潜在威胁时，它会生成安全发现。有关启用 S3 保护时 GuardDuty 可能生成的查找类型的信息，请参阅GuardDuty S3 保护查找类型。

默认情况下，基础威胁检测包括通过监控 AWS CloudTrail 管理事件 来识别 Amazon S3 资源中的潜在威胁。此数据来源与 S3 的 AWS CloudTrail 数据事件不同，因为两者会监控环境中不同类型的活动。

您可以在任何 GuardDuty 支持此功能的区域的账户中启用 S3 保护。这将帮助您监控该账户和区域中 S3 CloudTrail 的数据事件。启用 S3 保护后， GuardDuty 将能够全面监控您的 Amazon S3 存储桶，并针对存储在 S3 存储桶中的数据的可疑访问生成调查结果。

要使用 S3 防护，您无需在 AWS CloudTrail中显式启用或配置 S3 数据事件日志记录。

AWS CloudTrail S3 的数据事件

数据事件也称为数据面板操作，提供对在资源上或资源内执行的资源操作的见解。数据事件通常是高容量活动。

如何在 S3 中 GuardDuty 使用 CloudTrail 数据事件

启用 S3 保护后， GuardDuty 开始分析来自所有 S3 存储桶的 S3 CloudTrail 数据事件，并监控这些事件中是否存在恶意和可疑活动。有关更多信息，请参阅 AWS CloudTrail 管理事件。

当未通过身份验证的用户访问某个 S3 对象时，意味着该 S3 对象可以公开访问。因此， GuardDuty 不处理此类请求。 GuardDuty 使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 凭证处理对 S3 对象发出的请求。

如果您在特定区域的账户中禁用 S3 保护，则 GuardDuty 会停止对存储在 S3 存储桶中的数据的 S3 数据事件监控。 GuardDuty 将不再为您的账户在该区域生成 S3 保护查找类型。

GuardDuty 将 S3 CloudTrail 的数据事件用于攻击序列

GuardDuty 扩展威胁检测检测账户中跨越基础数据源、 AWS 资源和时间轴的多阶段攻击序列。当 GuardDuty 观察到一系列事件表明您的账户中最近或正在进行可疑活动时， GuardDuty 会生成相关的攻击序列发现。

默认情况下，当您启用时 GuardDuty，扩展威胁检测也会在您的账户中启用。此功能涵盖了与 CloudTrail 管理事件相关的威胁场景，无需支付额外费用。但是，要充分发挥扩展威胁检测的潜力， GuardDuty 建议启用 S3 防护以涵盖与 S3 CloudTrail 数据事件相关的威胁场景。

启用 S3 保护后， GuardDuty 将自动涵盖可能涉及您的 Amazon S3 资源的攻击序列威胁场景，例如数据泄露或损坏。