本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

GuardDuty S3 保護

S3 保護可協助您偵測 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險，例如資料外洩和銷毀。GuardDuty 會監控 Amazon S3 AWS CloudTrail 的資料事件，其中包含物件層級 API 操作，以識別您帳戶中所有 Amazon S3 儲存貯體中的這些風險。

當 GuardDuty 根據 S3 資料事件監控偵測到潛在威脅時，會產生安全調查結果。如需有關啟用 S3 保護時 GuardDuty 可能產生的調查結果類型的資訊，請參閱 GuardDuty S3 保護調查結果類型。

根據預設，基礎威脅偵測包括監控AWS CloudTrail 管理事件，以識別 Amazon S3 資源中的潛在威脅。此資料來源與 AWS CloudTrail S3 的資料事件不同，因為它們都會監控您環境中不同類型的活動。

您可以在 GuardDuty 支援此功能的任何區域中，在 帳戶中啟用 S3 保護。這可協助您監控該帳戶和區域中 S3 的 CloudTrail 資料事件。啟用 S3 保護後，GuardDuty 將能夠完整監控您的 Amazon S3 儲存貯體，並產生調查結果，以對存放在 S3 儲存貯體中的資料進行可疑存取。

若要使用 S3 保護，您不需要在 中明確啟用或停用 S3 資料事件記錄 AWS CloudTrail。

AWS CloudTrail S3 的資料事件

資料事件 (也稱為資料平面操作) 可讓您深入了解對資源執行的或在資源中執行的資源操作。它們通常是大量資料的活動。

GuardDuty 如何使用 S3 的 CloudTrail 資料事件

當您啟用 S3 保護時，GuardDuty 會開始分析所有 S3 儲存貯體中 S3 的 CloudTrail 資料事件，並監控它們是否有惡意和可疑活動。如需詳細資訊，請參閱AWS CloudTrail 管理事件。

當未驗證的使用者存取 S3 物件時，表示 S3 物件可公開存取。因此，GuardDuty 不會處理這類請求。GuardDuty 會使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 登入資料來處理對 S3 物件提出的請求。

如果您在特定區域中停用帳戶中的 S3 保護，GuardDuty 會停止對存放在 S3 儲存貯體中的資料的 S3 資料事件監控。GuardDuty 不會再為該區域中的帳戶產生 S3 保護調查結果類型。

GuardDuty 針對攻擊序列使用 S3 的 CloudTrail 資料事件

GuardDuty 延伸威脅偵測 偵測 帳戶中跨基礎資料來源、 AWS 資源和時間軸的多階段攻擊序列。當 GuardDuty 觀察到一系列事件，指出您的帳戶中最近或進行中可疑活動時，GuardDuty 會產生相關的攻擊序列調查結果。

根據預設，當您啟用 GuardDuty 時，您的帳戶也會啟用延伸威脅偵測。此功能涵蓋與 CloudTrail 管理事件相關的威脅案例，無需額外費用。不過，若要完全使用延伸威脅偵測，GuardDuty 建議啟用 S3 保護，以涵蓋與 S3 的 CloudTrail 資料事件相關聯的威脅案例。

在您啟用 S3 保護之後，GuardDuty 會自動涵蓋攻擊序列威脅案例，例如資料遭到入侵或銷毀，而您的 Amazon S3 資源可能涉及其中。