亚马逊的Amazon S3 保护 GuardDuty - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的Amazon S3 保护 GuardDuty

S3 保护Amazon GuardDuty允许监控对象级 API 操作,以识别 S3 存储段中数据的潜在安全风险。

GuardDuty 通过分析Amazon CloudTrail管理事件来监控 Amaz CloudTrail on S3 资源威胁。这些数据源监控不同类型的活动,例如,S3 的 CloudTrail 管理事件包括列出或配置 S3 存储桶的操作ListBuckets,例如DeleteBuckets、和PutBucketReplication。S3 的数据事件示例包括对象级 API 操作,例如GetObjectListObjectsDeleteObject、和PutObject

GuardDuty 默认情况下,所有已启用且不可配置的帐户的 CloudTrail 管理事件监控处于启用状态 GuardDuty 。 CloudTrail S3 数据事件日志是中的可配置数据来源 GuardDuty。默认情况下,为新检测器启用 S3 保护,对于在添加 S3 保护之前创建的帐户,必须手动启用此数据源。本主题涵盖了启用或禁用 S3 数据事件监控的过程。

强烈建议您启用 S3 保护 GuardDuty。如果禁用该功能, GuardDuty 则无法全面监控或生成发现结果,以发现对存储在 S3 存储桶中的数据的可疑访问。

如何 GuardDuty 使用 S3 数据事件

中的 S3 保护功能 GuardDuty 指示 S3 数据事件是否作为数据来源启用 GuardDuty。启用 S3 数据事件监控后, GuardDuty 立即开始分析来自您的所有 S3 存储桶的 S3 数据事件,并监控它们是否存在恶意和可疑活动。有关更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源

GuardDuty 不处理对您已公开访问的对象的请求,但会在存储段公开访问时提醒您。当基于 S3 数据事件监控 GuardDuty 检测到威胁时,它会生成安全发现。有关 GuardDuty 可以为 Amazon S3 生成的发现类型的信息,请参阅GuardDuty S3 查找类型

如果您禁用 S3 保护,则 GuardDuty 立即停止使用此数据源并停止监控对存储在 S3 存储桶中的数据的访问。

为独立账户配置 S3 保护

对于关联的帐户Amazon Organizations,可以通过控制台设置自动执行此过程,如下一节所述。

在添加 S3 保护 GuardDuty 之前使用的账户可以通过控制台或UpdateDetector API 操作 GuardDuty 进行配置来启用新数据源。

要将 Amazon S3 数据事件配置为账户的数据源,请参阅以下配置选项。

启用或禁用 S3 保护

在下面选择您的访问方法,获取有关为独立账户启用或禁用 S3 保护的说明。

Console
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格的 “设置” 下,选择 S3 保护

  3. S 3 保护窗格列出了您的账户的 S3 保护的当前状态。您可以随时启用或禁用它,分别选择 “用” 或 “禁用”,然后确认您的选择。

API
  • 使用您自己的区域检测器 ID 运行 updateDetectorAPI 操作,并将"S3 Logs":"enable"设置为 true 或 false 的dataSources对象传递。

    您也可以通过运行以下Amazon CLIAmazon 命令使用命令行工具启用或禁用 S3 保护。务必使用您自己的有效探测器 ID。

    注意

    以下示例代码启用 S3 保护。要将其禁用,请true替换为false

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"S3Logs":{"Enable":true}}'

在多账户环境中配置 S3 保护

在多账户环境中,只有 GuardDuty 管理员帐户才能配置 S3 保护。 GuardDuty 管理员账户可以为其成员账户启用或禁用 S3 保护。 GuardDuty 成员帐户无法启用或禁用此数据源。

GuardDuty 在Amazon Organizations支持下管理其成员账户的管理员账户可以选择在组织中的所有新账户上自动启用 S3 保护。有关更多信息,请参阅使用以下 GuardDuty 方式管理账户Amazon Organizations

自动为组织成员账户启用 S3 保护

注意

此功能仅适用于通过注册的 GuardDuty 成员的管理员Amazon Organizations。

  1. 使用您的管理员帐户执行此步骤。

    通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中的 Settings 下,选择 Accounts

  3. 确保 “的自动启 GuardDuty 用” 已开启。如果已关闭,则可以通过从标题中选择 “启用” 或选择 “自动启用为关闭” 来启用。此功能将自动 GuardDuty 为组织内的新成员账户启用,必须启用该功能才能自动启用 S3 保护。

  4. 开启自动启用后,除了 GuardDuty 通过选择 S3 保护切换图标启用外,您还可以为新成员启用 S3 保护。 GuardDuty 选择 “更新设置” 进行确认。

在成员账户中选择性地启用或禁用 S3 保护

在下面选择您的访问方法,获取有关为成员账户启用或禁用 S3 保护的说明。

Console

为所有账户启用 S3 保护

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 如果您想同时为所有账户启用 S3 保护,请从导航窗格中选择 S3 保护

  3. 您将看到一条声明,该声明反映了您管理的启用了 S3 保护的账户数量。选择 “全部启用” 可为所有账户启用 S3 保护。

    注意

    如果您在组织内管理帐户,则此操作还会启用自动启用功能,以自动为组织内的future 成员账户启用 S3 保护。

在成员账户中选择性地启用或禁用 S3 保护

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中的 Settings 下,选择 Accounts

    注意

    在账户表中,查看 S 3 保护列。绿色勾号图标表示 S3 保护已启用,蓝色短划线图标表示已禁用。如果此列为空,则该账户没有资格获得 S3 保护。您也可以按 “启用” 或 “用” 进行筛选。

  3. 选择您要为其配置 S3 保护的账户。从 “操作” 菜单中选择 “启用 S3 保护” 或 “禁用 S3 保护”,然后确认您的选择以更改所选账户的设置。表格将自动更新以显示您的更改。

API

要有选择地为您的成员账户启用或禁用 S3 保护,请使用您自己的检测器 ID 运行 updateMemberDetectorsAPI 操作。以下示例显示如何为单个成员账户启用 S3 保护。要将其禁用,请true替换为false

你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"S3Logs":{"Enable":true}}'
注意

您也可以传递由空格分隔的账户 ID 列表。

成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

注意

如果您使用脚本加入新账户并希望在新账户中禁用 S3 保护,则可以使用本主题中所述的可选dataSources对象修改 createDetectorAPI 操作。

自动为新 GuardDuty 账户禁用 S3 保护

重要

默认情况下,S3 保护自动启用。

如果您是首次在新账户上启 GuardDuty 用 S3 保护的 GuardDuty 管理员,并且您不希望在默认情况下启用 S3 保护,则可以通过修改带有可选dataSources对象的 createDetectorAPI 操作来将其禁用。以下示例使用在禁Amazon CLI用 S3 保护的情况下启用新的 GuardDuty 检测器。

aws guardduty create-detector --enable --data-sources '{"S3Logs":{"Enable":false}}'