恶意软件防护计划故障排除状态详细信息 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件防护计划故障排除状态详细信息

对于任何受保护的存储桶,都会根据排名 GuardDuty 显示状态。例如,如果受保护的存储桶在 “错误” 和 “警告” 类别下都存在问题,则 GuardDuty 将首先显示与错误状态相关的问题。

下表提供了状态详细信息以及解决这些问题的相应步骤。

Status

问题

状态详情

疑难解答步骤

Warning

无法放置测试对象

要验证所选存储桶的设置,请在存储桶中 GuardDuty 放置一个测试对象。

向选定的 IAM 角色添加以下权限,以便 GuardDuty可以将测试对象放入所选资源:

{
         "Sid": "AllowPutValidationObject",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
           ],
         "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
           ]
}

DOC-EXAMPLE-BUCKET 替换为您的 Amazon S3 存储桶名称。有关 IAM 角色权限的信息,请参阅先决条件-创建或更新 IAM PassRole 策略

状态” 列的值可能需要几分钟才能更改为 “活动”。

无法监控 S3 设置的恶意软件防护

IAM 角色缺少监视 GuardDuty 此存储桶的 S3 恶意软件防护设置的权限。

为您的 IAM 角色添加以下权限:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
         "Effect": "Allow",
         "Action": [
            "events:PutRule",
            "events:DeleteRule",
            "events:PutTargets",
            "events:RemoveTargets"
           ],
         "Resource": [
            "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
         "Condition": {
            "StringEquals": {
               "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
             }
         }
},
{
         "Sid": "AllowEnableS3EventBridgeEvents",
         "Effect": "Allow",
         "Action": [
              "s3:PutBucketNotification",
              "s3:GetBucketNotification"
           ],
           "Resource": [
              "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
           ]
}

状态” 列的值可能需要几分钟才能更改为 “活动”。

错误

EventBridge 此 S3 存储桶的通知已禁用。

GuardDuty 用于 EventBridge 在将新对象上传到此 S3 存储桶时收到通知。您的 IAM 角色中缺少此权限。

  • 选项 1:将以下权限声明添加到您的 IAM 角色:

    {
          "Sid": "AllowEnableS3EventBridgeEvents",
          "Effect": "Allow",
          "Action": [
             "s3:PutBucketNotification",
             "s3:GetBucketNotification"
             ],
          "Resource": [
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
}

    DOC-EXAMPLE-BUCKET 替换为您的 Amazon S3 存储桶名称。

  • 选项 2:使用 Amazon S3 控制台启用 EventBridge 通知

    1. 打开 Amazon S3 控制台,网址为:https://console.aws.amazon.com/s3/

    2. Buckets 页面的通用存储桶选项卡下,选择与此错误关联的存储桶名称。

    3. 在此存储桶页面上,选择属性选项卡。

    4. 在 “亚马逊 EventBridge” 部分下,选择 “编辑”

    5. “编辑亚马逊 EventBridge” 页面上,在 “向亚马逊 EventBridge 发送此存储桶中所有事件的通知” 中,选择 “”。

    6. 选择保存更改

状态” 列的值可能需要几分钟才能更改为 “活动”。

EventBridge 缺少用于接收 S3 存储桶事件的托管规则。

缺少 EventBridge 管理规则设置的托管 EventBridge 规则权限。

将以下权限声明添加到您的 IAM 角色:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
        "Effect": "Allow",
        "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
        "Resource": [
           "arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
        "Condition": {
           "StringEquals": {
              "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
              }
           }
}

状态” 列的值可能需要几分钟才能更改为 “活动”。

此 S3 存储桶已不存在。

此 S3 存储桶已从您的账户中删除,已不复存在。

如果删除 S3 存储桶不是故意的,则可以使用 Amazon S3 控制台创建新的存储桶。

成功创建存储桶后,按照为您的存储桶配置 S3 的恶意软件防护页面下方的步骤启用 S3 的恶意软件防护。