GuardDuty S3 保護 - Amazon GuardDuty
AWS CloudTrail S3 的資料事件如何使用 S3 GuardDuty CloudTrail 的資料事件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty S3 保護

S3 保護可協助您偵測 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險。 GuardDuty 監控 Amazon S3 AWS CloudTrail 的資料事件,其中包括物件層級API操作,以識別您帳戶中所有 Amazon S3 儲存貯體中的這些風險。

當 根據 S3 資料事件監控 GuardDuty 偵測到潛在威脅時,會產生安全調查結果。如需啟用 S3 保護時 GuardDuty 可能產生的調查結果類型的相關資訊,請參閱GuardDuty S3 保護調查結果類型

根據預設,基礎威脅偵測包括監控AWS CloudTrail 管理事件,以識別 Amazon S3 資源中的潛在威脅。此資料來源與 AWS CloudTrail S3 的資料事件不同,因為它們都會監控您環境中不同類型的活動。

您可以在 GuardDuty 支援此功能的任何 區域中的 帳戶中啟用 S3 保護。這可協助您監控該帳戶和區域中 S3 CloudTrail 的資料事件。啟用 S3 保護之後, GuardDuty 將能夠完整監控您的 Amazon S3 儲存貯體,並產生調查結果,以找出對存放在 S3 儲存貯體中的資料的可疑存取。

若要使用 S3 保護,您不需要在 中明確啟用或停用 S3 資料事件記錄 AWS CloudTrail。

30 天免費試用

下列清單說明 30 天免費試用如何適用於您的帳戶:

  • 當您第一次 GuardDuty 在 AWS 帳戶 新的 區域中啟用 時,您會獲得 30 天的免費試用。在此情況下, GuardDuty 也會啟用 S3 保護,該保護包含在免費試用中。

  • 當您已使用 GuardDuty 並決定第一次啟用 S3 保護時,您在此區域中的帳戶將可獲得 30 天的 S3 保護免費試用。

  • 您可以隨時選擇停用 S3 保護。如果您的帳戶在某個區域中還有免費試用日,則如果您選擇再次啟用 S3 保護,則可以使用這些免費試用日。

  • 在 30 天免費試用期間,您可以取得該帳戶和區域中用量成本的預估值。30 天免費試用結束後,S3 保護不會自動停用。您在此區域中的帳戶將開始產生使用成本。如需詳細資訊,請參閱估算 GuardDuty 用量成本

AWS CloudTrail S3 的資料事件

資料事件 (也稱為資料平面操作) 可讓您深入了解對資源執行的或在資源中執行的資源操作。它們通常是大量資料的活動。

以下是 GuardDuty 可監控的 S3 CloudTrail 資料事件範例:

  • GetObject API 操作

  • PutObject API 操作

  • ListObjects API 操作

  • DeleteObject API 操作

如需這些 的詳細資訊APIs,請參閱 Amazon Simple Storage Service API參考

如何使用 S3 GuardDuty CloudTrail 的資料事件

當您啟用 S3 保護時, GuardDuty 會開始分析所有 S3 儲存貯體中 S3 CloudTrail 的資料事件,並監控這些事件是否有惡意和可疑活動。如需詳細資訊,請參閱AWS CloudTrail 管理事件

當未驗證的使用者存取 S3 物件時,表示 S3 物件可公開存取。因此, GuardDuty 不會處理這類請求。 會使用有效的 IAM(AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 登入資料 GuardDuty 來處理對 S3 物件提出的請求。

注意

啟用 S3 保護之後, 會 GuardDuty 監控來自您啟用之相同區域中 Amazon S3 儲存貯體的資料事件 GuardDuty。

如果您在特定區域中停用帳戶中的 S3 保護, 會 GuardDuty 停止對存放在 S3 儲存貯體中的資料的 S3 資料事件監控。 GuardDuty 不會再為該區域中的帳戶產生 S3 保護問題清單類型。

GuardDuty 針對攻擊序列使用 S3 CloudTrail 的資料事件

GuardDuty 延伸威脅偵測 偵測 帳戶中跨基礎資料來源、 AWS 資源和時間軸的多階段攻擊序列。當 GuardDuty 觀察到顯示您的帳戶中最近或進行中可疑活動的一系列事件時, GuardDuty 會產生關聯的攻擊序列調查結果。

根據預設,當您啟用 時 GuardDuty,您的帳戶也會啟用延伸威脅偵測。此功能涵蓋與 CloudTrail 管理事件相關聯的威脅案例,無需額外費用。不過,若要完整地使用延伸威脅偵測, GuardDuty 建議讓 S3 保護涵蓋與 S3 CloudTrail 資料事件相關的威脅案例。

在您啟用 S3 保護之後, GuardDuty 會自動涵蓋攻擊序列威脅案例,例如資料遭到入侵或銷毀,而您的 Amazon S3 資源可能涉及其中。