Eventos de dados do AWS CloudTrail para o S3 Como o GuardDuty usa eventos de dados CloudTrail para S3

Proteção do S3 no GuardDuty

A Proteção do S3 ajuda a detectar possíveis riscos de segurança para dados, como exfiltração e destruição de dados, em buckets do Amazon Simple Storage Service (Amazon S3). O GuardDuty AWS CloudTrail monitora eventos de dados do Amazon S3, o que inclui operações de API em nível de objeto para identificar esses riscos em todos os buckets do Amazon S3 em sua conta.

Ao detectar uma ameaça com base no monitoramento de eventos de dados do S3, o GuardDuty gera uma descoberta de segurança. Para obter informações sobre os tipos de descoberta que o GuardDuty pode gerar quando você habilita a Proteção do S3, consulte. Tipos de descoberta da Proteção do S3 do GuardDuty

Por padrão, a detecção de ameaças por base inclui o monitoramento Eventos de gerenciamento do AWS CloudTrail para identificar possíveis ameaças em seus recursos do Amazon S3. Essa fonte de dados é diferente dos eventos de AWS CloudTrail dados do S3, pois ambos monitoram diferentes tipos de atividades em seu ambiente.

Você pode ativar o Proteção do S3 em uma conta em qualquer região em que o GuardDuty ofereça suporte a esse recurso. Isso o ajudará a monitorar eventos de dados do CloudTrail para o S3 na conta e na região. Após habilitar a Proteção do S3, o GuardDuty não poderá monitorar totalmente seus buckets do Amazon S3 nem gerar descobertas de acesso suspeito aos dados armazenados em seus buckets do S3.

Para usar a Proteção do S3, você não precisa habilitar ou configurar explicitamente o login de eventos de dados do S3 em AWS CloudTrail.

Teste gratuito de 30 dias

A lista a seguir explica como o teste gratuito de 30 dias funcionaria para sua conta:

Ao habilitar o GuardDuty pela primeira vez em Conta da AWS uma nova região, você ganha uma avaliação gratuita de 30 dias. Nesse caso, o GuardDuty também habilitará a Proteção do S3, que está incluído no teste gratuito.
Quando você já estiver usando o GuardDuty e decidir habilitar a Proteção do S3 pela primeira vez, sua conta nessa região receberá uma avaliação gratuita de 30 dias para a Proteção do S3.
É possível optar por desabilitar a Proteção do S3 em qualquer região a qualquer momento.
Durante o teste gratuito de 30 dias, você pode obter uma estimativa dos custos de uso nessa conta e região. Após o término do teste gratuito de 30 dias, a Proteção do S3 não será desativada automaticamente. Sua conta nessa região começará a incorrer em custos de uso. Para obter mais informações, consulte Estimar o custo de uso do GuardDuty.

Eventos de dados do AWS CloudTrail para o S3

Eventos de dados, também conhecidos como operações do plano de dados, fornecem insights sobre as operações de recurso executadas no recurso ou dentro de um recurso. Muitas vezes, são atividades de grande volume.

Veja a seguir exemplos de eventos de dados do CloudTrail para o S3 que o GuardDuty é capaz de monitorar:

Operações da API GetObject
PutObjectOperações da API
ListObjectsOperações da API
DeleteObjectOperações da API

Para ter mais informações sobre esses APIs, consulte Referência da API do Amazon Simple Storage Service.

Como o GuardDuty usa eventos de dados CloudTrail para S3

Ao habilitar a Proteção do S3, o GuardDuty começa a analisar eventos de dados CloudTrail para S3 de todos os seus buckets do S3 e a monitorá-los em busca de atividades nocivas e suspeitas. Para obter mais informações, consulte Eventos de gerenciamento do AWS CloudTrail.

Quando um usuário não autenticado acessa um objeto do S3, isso significa que o objeto do S3 está acessível ao público. Portanto, o GuardDuty não processa essas solicitações. O GuardDuty processa as solicitações feitas aos objetos do S3 usando credenciais do IAM AWS Identity and Access Management () ou () AWS STS válidas. AWS Security Token Service

Observação

Depois de habilitar a Proteção do S3, o GuardDuty monitora os eventos de dados desses buckets do Amazon S3 que residem na mesma região em que você habilitou o GuardDuty.

Se você desabilitar a Proteção do S3 em sua conta em uma Região específica, o GuardDuty interromperá o monitoramento de eventos de dados do S3 dos dados armazenados em seus buckets do S3. O GuardDuty não gerará mais tipos de descoberta de Proteção do S3 para sua conta nessa região.

GuardDuty usando eventos de dados do CloudTrail para S3 para sequências de ataque

Detecção de Ameaças Avançada do GuardDuty detecta sequências de ataques em vários estágios que abrangem fontes de dados, recursos da AWS e cronogramas fundamentais em uma conta. Quando o GuardDuty observa uma sequência de eventos que indica uma atividade suspeita recente ou em andamento na sua conta, o GuardDuty gera a descoberta da sequência de ataque associada.

Por padrão, quando você habilita o GuardDuty, a Detecção de Ameaças Avançada também é habilitada na sua conta. Esse recurso abrange o cenário de ameaça associado aos eventos de gerenciamento do CloudTrail sem custo adicional. No entanto, para usar a Detecção de Ameaças Avançada em todo o seu potencial, o GuardDuty recomenda habilitar a Proteção do S3 para cobrir cenários de ameaças associados a eventos de dados do CloudTrail para S3.

Após habilitar a Proteção do S3, o GuardDuty cobrirá automaticamente cenários de ameaças da sequência de ataque, como comprometimento ou destruição de dados, em que seus recursos do Amazon S3 possam estar envolvidos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Ativando a Proteção do EKS para uma conta independente

Habilitando a Proteção do S3 em ambientes de várias contas