Eventos de datos de AWS CloudTrail para S3 Cómo GuardDuty utiliza los eventos de datos de CloudTrail para S3

Protección de S3 en GuardDuty

La protección de S3 ayuda a detectar posibles riesgos para la seguridad de los datos, como su filtración y destrucción, en los buckets de Amazon Simple Storage Service (Amazon S3). GuardDuty supervisa los eventos de datos de AWS CloudTrail para Amazon S3, que incluyen operaciones de la API a nivel de objeto para identificar estos riesgos en todos los buckets de Amazon S3 en la cuenta.

Cuando GuardDuty detecta una amenaza potencial según la supervisión de eventos de datos de S3, genera un resultado de seguridad. Para obtener información sobre los tipos de resultados que GuardDuty puede generar cuando se habilita la protección de S3, consulte Tipos de resultados de S3 Protection de GuardDuty.

De forma predeterminada, la detección de amenazas fundamental incluye la supervisión de Eventos de administración de AWS CloudTrail para identificar posibles amenazas en los recursos de Amazon S3. Este origen de datos es diferente de los eventos de datos de AWS CloudTrail para S3, ya que ambos supervisan diferentes tipos de actividades en el entorno.

Puede habilitar la protección de S3 en una cuenta en cualquier región en la que GuardDuty admita esta característica. Esto ayudará a supervisar los eventos de datos de CloudTrail para S3 en esa cuenta y región. Después de habilitar la protección de S3, GuardDuty será capaz de supervisar plenamente los buckets de Amazon S3 y generar resultados en caso de acceso sospechoso a los datos almacenados en los buckets de S3.

Para utilizar la protección de S3, no es necesario habilitar ni configurar explícitamente el registro de eventos de datos de S3 en AWS CloudTrail.

Prueba gratuita de 30 días

En la siguiente lista se explica cómo funciona la prueba gratuita de 30 días para la cuenta:

Al habilitar GuardDuty en una Cuenta de AWS en una nueva región por primera vez, obtendrá una prueba gratuita de 30 días. En este caso, GuardDuty también habilitará la protección de S3, que está incluida en la prueba gratuita.
Si ya utiliza GuardDuty y decide habilitar la protección de S3 por primera vez, la cuenta de esta región recibirá una prueba gratuita de 30 días para la protección de S3.
Puede optar por desactivar la S3 Protection en cualquier región y en cualquier momento.
Durante los 30 días de la prueba gratuita, puede obtener una estimación de los costos de su uso en esa cuenta y región. Una vez finalizada la prueba gratuita de 30 días, la protección de S3 no se desactivará automáticamente. La cuenta en esta región comenzará a incurrir en costos de uso. Para obtener más información, consulte Estimar el costo de uso de GuardDuty.

Eventos de datos de AWS CloudTrail para S3

En los eventos de datos, también conocidos como operaciones del plano de datos, se muestra información sobre las operaciones de recursos llevadas a cabo en un recurso determinado. Suelen ser actividades de gran volumen.

A continuación se incluyen ejemplos de eventos de datos de CloudTrail para S3 que GuardDuty puede supervisar:

GetObjectOperaciones de la API de
PutObjectOperaciones de la API de
ListObjectsOperaciones de la API de
DeleteObjectOperaciones de la API de

Para obtener más información sobre estas API, consulte la Referencia de la API de Amazon Simple Storage Service.

Cómo GuardDuty utiliza los eventos de datos de CloudTrail para S3

Al habilitar la protección de S3, GuardDuty comenzará a analizar los eventos de datos de CloudTrail para S3 de todos los buckets de S3, y los supervisará en busca de actividad maliciosa y sospechosa. Para obtener más información, consulte Eventos de administración de AWS CloudTrail.

Si un usuario no autenticado accede a un objeto S3, significa que el objeto S3 es de acceso público. Por lo tanto, GuardDuty no procesa tales solicitudes. GuardDuty procesa las solicitudes realizadas a los objetos de S3 mediante el uso de credenciales de IAM (AWS Identity and Access Management) o AWS STS (AWS Security Token Service) válidas.

Nota

Después de habilitar la protección de S3, GuardDuty supervisará los eventos de datos de los buckets de Amazon S3 que residen en la misma región en la que habilitó GuardDuty.

Si desactiva la protección de S3 en la cuenta en una región específica, GuardDuty detendrá la supervisión de eventos de datos de S3 de los datos almacenados en los buckets de S3. GuardDuty dejará de generar tipos de resultados de la protección de S3 para la cuenta en esa región.

GuardDuty utiliza los eventos de datos de CloudTrail para S3 para las secuencias de ataque

Detección Extendida de Amenazas de GuardDuty detecta secuencias de ataques en varias etapas que abarcan los orígenes de los datos, los recursos de AWS y el cronograma fundamentales de una cuenta. Cuando GuardDuty observa una secuencia de eventos que indica una actividad sospechosa reciente o en curso en su cuenta, GuardDuty genera un resultado de la secuencia de ataque asociada.

De forma predeterminada, al activar GuardDuty, la Detección Extendida de Amenazas también se habilita en su cuenta. Esta capacidad cubre el escenario de amenazas asociado a los eventos de administración de CloudTrail sin costo adicional. Sin embargo, para aprovechar al máximo el potencial de la Detección Extendida de Amenazas, GuardDuty recomienda habilitar S3 Protection para cubrir los escenarios de amenazas asociados a los eventos de datos de CloudTrail para S3.

Después de habilitar la S3 Protection, GuardDuty cubrirá automáticamente los escenarios de amenaza de la secuencia de ataque, como la puesta en peligro o la destrucción de datos, en los que puedan estar involucrados los recursos de Amazon S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar EKS Protection para una cuenta independiente

Habilitar la protección de S3 en entornos de varias cuentas