疑難排解惡意程式碼防護計劃 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

疑難排解惡意程式碼防護計劃

對於任何受保護的值區, GuardDuty 會根據排名顯示「狀態」。例如,如果受保護的值區在「錯誤」和「警告」類別下都有問題,則 GuardDuty 會先顯示與「錯誤」狀態相關聯的問題。

下表提供狀態詳細資訊,以及解決這些問題的對應步驟。

Status

問題

狀態詳情

疑難排解的步驟

警告

無法放置測試物件

若要驗證所選值區的設定,請在值區中 GuardDuty 放置一個測試物件。

若要選取的 IAM 角色,請新增下列權限, GuardDuty以便將測試物件放入選取的資源:

{
         "Sid": "AllowPutValidationObject",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
           ],
         "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
           ]
}

文檔示例存儲桶替換為您的 Amazon S3 存儲桶名稱。如需 IAM 角色許可的相關資訊,請參閱先決條件-建立或更新 IAM PassRole 政策

狀態」欄值可能需要幾分鐘的時間才能變更為「作用中」。

無法監控 S3 安裝程式的惡意軟體防護

IAM 角色缺少監控此儲存貯體 S3 安裝程式的惡意軟體保護的許可。 GuardDuty

將下列許可新增至您的 IAM 角色:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
         "Effect": "Allow",
         "Action": [
            "events:PutRule",
            "events:DeleteRule",
            "events:PutTargets",
            "events:RemoveTargets"
           ],
         "Resource": [
            "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
         "Condition": {
            "StringEquals": {
               "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
             }
         }
},
{
         "Sid": "AllowEnableS3EventBridgeEvents",
         "Effect": "Allow",
         "Action": [
              "s3:PutBucketNotification",
              "s3:GetBucketNotification"
           ],
           "Resource": [
              "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
           ]
}

狀態」欄值可能需要幾分鐘的時間才能變更為「作用中」。

錯誤

EventBridge 此 S3 儲存貯體的通知已停用。

GuardDuty 用 EventBridge 於在新物件上傳到此 S3 儲存貯體時接收通知。您的 IAM 角色缺少此權限。

  • 選項 1:將下列權限陳述式新增至您的 IAM 角色:

    {
          "Sid": "AllowEnableS3EventBridgeEvents",
          "Effect": "Allow",
          "Action": [
             "s3:PutBucketNotification",
             "s3:GetBucketNotification"
             ],
          "Resource": [
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
}

    文檔示例存儲桶替換為您的 Amazon S3 存儲桶名稱。

  • 選項 2:使用 Amazon S3 主控台啟用 EventBridge 通知

    1. 前往 https://console.aws.amazon.com/s3/ 開啟的 Amazon Simple Storage Service (Amazon S3) 主控台。

    2. 在「值區」頁面的「一般用途值區」標籤下,選取與此錯誤相關聯的值區名稱。

    3. 在此值區頁面上,選擇 [內容] 索引標籤。

    4. Amazon EventBridge 部分下,選擇編輯

    5. 在「編輯 Amazon」 EventBridge 頁面上,針對此儲存貯體中 EventBridge 的所有事件傳送通知給 Amazon,請選取「開」。

    6. 選擇儲存變更

狀態」欄值可能需要幾分鐘的時間才能變更為「作用中」。

EventBridge 缺少接收 S3 儲存貯體事件的受管規則。

缺少管理規則設定的 EventBridge 受管理 EventBridge 規則權限。

將下列權限陳述式新增至您的 IAM 角色:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
        "Effect": "Allow",
        "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
        "Resource": [
           "arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
        "Condition": {
           "StringEquals": {
              "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
              }
           }
}

狀態」欄值可能需要幾分鐘的時間才能變更為「作用中」。

此 S3 儲存貯體不再存在。

此 S3 儲存貯體已從您的帳戶中刪除,且不再存在。

如果不是故意刪除 S3 儲存貯體,您可以使用 Amazon S3 主控台建立新儲存貯體。

成功建立儲存貯體後,請依照為儲存貯體設定 S3 的惡意軟體防護頁面下方的步驟啟用 S3 的惡意程式碼防護。