GuardDuty S3 防护
S3 防护有助您检测 Amazon Simple Storage Service(Amazon S3)存储桶中潜在的数据安全风险,例如数据泄露和损毁。GuardDuty 会监控 Amazon S3 的 AWS CloudTrail 数据事件(包括对象级别的 API 操作),从而识别账户中所有 Amazon S3 存储桶中的此类风险。
当 GuardDuty 根据 S3 数据事件监控检测到潜在威胁时,将会生成安全调查发现。要了解在启用 S3 防护后,GuardDuty 可能生成的调查发现类型,请参阅 GuardDuty S3 防护调查发现类型。
默认情况下,基础威胁检测包括通过监控 AWS CloudTrail 管理事件 来识别 Amazon S3 资源中的潜在威胁。此数据来源与 S3 的 AWS CloudTrail 数据事件不同,因为两者会监控环境中不同类型的活动。
您可以在 GuardDuty 支持此功能的任何区域中为账户启用 S3 防护。这有助您监控该账户和区域中的 S3 CloudTrail 数据事件。启用 S3 防护后,GuardDuty 将能够全面监控您的 Amazon S3 存储桶,并在 S3 存储桶中所存储数据受到可疑访问时生成调查发现。
要使用 S3 防护,您无需在 AWS CloudTrail 中显式启用或配置 S3 数据事件日志记录。
- 30 天免费试用期
-
以下列表说明了 30 天免费试用期用于账户的方式:
-
当您第一次在某个 AWS 账户中为某个新区域启用 GuardDuty 时,您拥有 30 天免费试用期。在这种情况下,GuardDuty 还会启用 S3 防护,并且包含在免费试用期内。
-
如果您已在使用 GuardDuty 并且首次决定启用 S3 防护,您的账户可以在该区域免费试用 S3 防护功能 30 天。
-
您可以随时选择禁用任何区域的 S3 防护。
-
在 30 天免费试用期内,您可以估算该账户在该区域的使用成本。30 天免费试用期结束后,S3 防护不会自动禁用。您的账户在该区域将开始产生使用成本。有关更多信息,请参阅 估算 GuardDuty 使用成本。
-
S3 的 AWS CloudTrail 数据事件
数据事件也称为数据面板操作,提供对在资源上或资源内执行的资源操作的见解。数据事件通常是高容量活动。
- 以下是 GuardDuty 可以监控的 S3 的 CloudTrail 数据事件示例:
-
-
GetObjectAPI 操作 -
PutObjectAPI 操作 -
ListObjectsAPI 操作 -
DeleteObjectAPI 操作
有关这些 API 的更多信息,请参阅 Amazon Simple Storage Service API 参考。
-
GuardDuty 如何使用 S3 CloudTrail 数据事件
启用 S3 防护后,GuardDuty 将开始分析所有 S3 存储桶中的 S3 CloudTrail 数据事件,并监控这些存储桶中是否有恶意和可疑的活动。有关更多信息,请参阅 AWS CloudTrail 管理事件。
当未通过身份验证的用户访问某个 S3 对象时,意味着该 S3 对象可以公开访问。因此,GuardDuty 不会处理此类请求。GuardDuty 会处理使用有效 IAM(AWS Identity and Access Management)或 AWS STS(AWS Security Token Service)凭证向 S3 对象发出的请求。
注意
启用 S3 防护后,GuardDuty 会监控位于您启用 GuardDuty 的区域的 Amazon S3 存储桶中的数据事件。
如果您在特定的区域中为账户禁用 S3 防护,GuardDuty 将停止对存储在 S3 存储桶中的数据执行 S3 数据事件监控。GuardDuty 将不再在该区域为您的账户生成 S3 防护调查发现类型。
GuardDuty 将 S3 CloudTrail 数据事件用于攻击序列
GuardDuty 扩展威胁检测 可检测账户中跨越基础数据来源、AWS 资源和时间线的多阶段攻击序列。当 GuardDuty 观察到一系列表明您账户近期或正在进行可疑活动的事件时,GuardDuty 会生成相关的攻击序列调查发现。
默认情况下,当您启用 GuardDuty 时,您的账户还会启用扩展威胁检测。此功能涵盖与 CloudTrail 管理事件相关的威胁场景,不会收取额外费用。但是,为了充分发挥扩展威胁检测的潜力,GuardDuty 建议启用 S3 防护以涵盖与 S3 CloudTrail 数据事件相关的威胁场景。
启用 S3 防护后,GuardDuty 将自动涵盖可能涉及 Amazon S3 资源的攻击序列威胁场景,例如数据泄露或销毁。
