在 S3 恶意软件防护中监控 S3 对象扫描 - Amazon GuardDuty
可能的 S3 对象扫描状态和结果状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 S3 恶意软件防护中监控 S3 对象扫描

将 S3 恶意软件防护与某个 GuardDuty 检测器 ID 结合使用时,如果您的 Amazon S3 对象可能存在恶意行为,GuardDuty 将生成 S3 恶意软件防护调查发现类型。您可以使用 GuardDuty 控制台以及 API 来查看生成的调查发现。有关有助了解此调查发现类型的信息,请参阅调查发现详细信息

在未启用 GuardDuty(无检测器 ID)的情况下使用 S3 恶意软件防护时,即使已扫描的 Amazon S3 对象可能存在恶意行为,GuardDuty 也不会生成任何调查发现。

目录

可能的 S3 对象扫描状态和结果状态

本节介绍可能的 S3 对象扫描状态值和扫描结果值。

S3 对象扫描状态指示恶意软件扫描的状态,例如已完成、已跳过或失败。

S3 对象恶意软件扫描结果状态根据扫描状态值指示扫描结果。每个恶意软件扫描结果状态值都映射一个扫描状态。

以下列表提供了可能的 S3 对象扫描结果值。如果您启用了标记,则可以通过使用 S3 对象标签来监控扫描结果。扫描后,标签值将具有以下扫描结果值之一。

S3 对象潜在恶意软件扫描结果状态值

  • NO_THREATS_FOUND:GuardDuty 未检测到任何与已扫描对象相关的潜在威胁。

  • THREATS_FOUND:GuardDuty 检测到一个与已扫描对象相关的潜在威胁。

  • UNSUPPORTED:S3 恶意软件防护会因几个原因跳过扫描。可能的原因包括文件受密码保护、归档文件压缩率极高、S3 恶意软件防护配额,以及可能不支持某些 Amazon S3 功能。有关更多信息,请参阅 S3 恶意软件防护的功能

  • ACCESS_DENIED:GuardDuty 无法访问此对象以进行扫描。检查与此存储桶关联的 IAM 角色权限。有关更多信息,请参阅 创建或更新 IAM 角色策略

    如果您启用了扫描后 S3 对象标记,请参阅对 S3 对象扫描后标记失败问题进行故障排除

  • FAILED:由于内部错误,GuardDuty 无法对此对象执行恶意软件扫描。

以下列表提供了可能的 S3 对象扫描状态值及其与 S3 对象扫描结果的映射。

可能的 S3 对象扫描状态值

  • 已完成:扫描已成功完成并指示 S3 对象是否存在恶意软件。在此场景中,可能的 S3 对象扫描结果值或为 THREATS_FOUNDNO_THREATS_FOUND

  • 已跳过:当 S3 恶意软件防护不支持扫描此 S3 对象,或者 GuardDuty 无法访问选定存储桶中的已上传 S3 对象时,GuardDuty 会跳过恶意软件扫描。

    在此场景中,可能的 S3 对象扫描结果值或为 UNSUPPORTEDACCESS_DENIED

    如果所需的 IAM 角色被删除,GuardDuty 也将跳过扫描。

  • 失败:与 S3 对象扫描结果值 FAILED 类似,此扫描状态表示 GuardDuty 由于内部错误而无法对 S3 对象执行恶意软件扫描。