Wie funktioniert Malware Protection for S3?

In diesem Abschnitt werden die Komponenten von Malware Protection for S3 beschrieben, wie es funktioniert, nachdem Sie es für einen S3-Bucket aktiviert haben, und wie Sie den Status und das Ergebnis des Malware-Scans überprüfen können.

Übersicht

Sie können Malware Protection for S3 für einen Amazon S3 S3-Bucket aktivieren, der zu Ihrem eigenen gehört AWS-Konto. GuardDutybietet Ihnen die Flexibilität, diese Funktion für Ihren gesamten Bucket zu aktivieren oder den Umfang des Malware-Scans auf bestimmte Objektpräfixe zu beschränken. Dabei wird jedes hochgeladene Objekt GuardDuty gescannt, das mit einem der ausgewählten Präfixe beginnt. Sie können bis zu 5 Präfixe hinzufügen. Wenn Sie die Funktion für einen S3-Bucket aktivieren, wird dieser Bucket als geschützter Bucket bezeichnet.

IAMRollenberechtigungen

Malware Protection for S3 verwendet eine IAM Rolle, die es GuardDuty ermöglicht, die Malware-Scanaktionen in Ihrem Namen durchzuführen. Zu diesen Aktionen gehören die Benachrichtigung über die neu hochgeladenen Objekte in Ihrem ausgewählten Bucket, das Scannen dieser Objekte und das optionale Hinzufügen von Tags zu Ihren gescannten Objekten. Dies ist eine Voraussetzung für die Konfiguration Ihres S3-Buckets mit dieser Funktion.

Sie haben die Möglichkeit, entweder eine bestehende IAM Rolle zu aktualisieren oder zu diesem Zweck eine neue Rolle zu erstellen. Wenn Sie Malware Protection for S3 für mehr als einen Bucket aktivieren, können Sie die bestehende IAM Rolle nach Bedarf so aktualisieren, dass sie den anderen Bucket-Namen enthält. Weitere Informationen finden Sie unter Voraussetzung — IAM Rollenrichtlinie erstellen oder aktualisieren.

Optionales Markieren von Objekten auf der Grundlage des Scanergebnisses

Wenn Sie Malware Protection for S3 für Ihren Bucket aktivieren, gibt es einen optionalen Schritt, um das Tagging für gescannte S3-Objekte zu aktivieren. Die IAM Rolle beinhaltet bereits die Erlaubnis, Ihrem Objekt nach dem Scan Tags hinzuzufügen. Es GuardDuty werden jedoch nur Tags hinzugefügt, wenn Sie diese Option bei der Einrichtung aktivieren.

Sie müssen diese Option aktivieren, bevor ein Objekt hochgeladen wird. GuardDuty Fügt nach Abschluss des Scans dem gescannten S3-Objekt ein vordefiniertes Tag mit dem folgenden Schlüssel/Wert-Paar hinzu:

GuardDutyMalwareScanStatus:Potential scan result

Zu den möglichen Tagwerten für das Scanergebnis gehörenNO_THREATS_FOUND,THREATS_FOUND, UNSUPPORTEDACCESS_DENIED, und. FAILED Weitere Informationen zu diesen Werten finden Sie unterStatus des potenziellen Scans und Status der Ergebnisse des S3-Objekts.

Die Aktivierung von Tagging ist eine der Möglichkeiten, mehr über das Ergebnis des S3-Objektscans zu erfahren. Sie können diese Tags außerdem verwenden, um eine S3-Ressourcenrichtlinie für die Tag-basierte Zugriffskontrolle (TBAC) hinzuzufügen, sodass Sie Maßnahmen für die potenziell schädlichen Objekte ergreifen können. Weitere Informationen finden Sie unter Hinzufügen TBAC einer S3-Bucket-Ressource.

Wir empfehlen Ihnen, das Tagging bei der Konfiguration von Malware Protection for S3 für Ihren Bucket zu aktivieren. Wenn Sie das Tagging aktivieren, nachdem ein Objekt hochgeladen wurde und möglicherweise der Scan gestartet wurde, GuardDuty können dem gescannten Objekt keine Tags hinzugefügt werden. Informationen zu den damit verbundenen Kosten für das S3-Objekt-Tagging finden Sie unter. Preise und Nutzungskosten für Malware Protection for S3

Vorgang, nachdem Sie Malware Protection for S3 für einen Bucket aktiviert haben

Nachdem Sie Malware Protection for S3 aktiviert haben, wird eine Ressource für den Malware-Schutzplan exklusiv für den ausgewählten S3-Bucket erstellt. Diese Ressource ist mit einer Paket-ID für den Malware-Schutz verknüpft, einer eindeutigen Kennung für Ihre geschützte Ressource. Mithilfe einer der IAM Berechtigungen wird GuardDuty anschließend eine EventBridge verwaltete Regel mit dem Namen erstellt und verwaltetDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

Wie GuardDuty geht man mit Ihren Daten um — Leitplanken für den Datenschutz

Malware Protection for S3 hört sich die EventBridge Amazon-Benachrichtigungen an. Wenn ein Objekt in den ausgewählten Bucket oder eines der Präfixe hochgeladen wird, wird dieses Objekt mithilfe eines aus dem S3-Bucket GuardDuty heruntergeladen AWS PrivateLinkund liest, entschlüsselt und scannt es dann in einer isolierten Umgebung in derselben Region. Die Scanumgebung wird in einer gesperrten virtuellen privaten Cloud (VPC) ohne Internetzugang ausgeführt. Die VPC ist an eine DNS Firewall-Regelgruppe angehängt, die nur die Kommunikation mit den Domänen erlaubt, die auf der Zulassungsliste aufgeführt sind AWS besitzt. Speichert das heruntergeladene S3-Objekt für die Dauer des Scans GuardDuty vorübergehend in der Scanumgebung, die verschlüsselt ist mit AWS Key Management Service (AWS KMS) Schlüssel.

Informationen zur Methode zur GuardDuty Malware-Erkennung und zu den verwendeten Scan-Engines finden Sie unterGuardDuty Scan-Engine zur Malware-Erkennung.

Nach Abschluss des Malware-Scans GuardDuty werden die Scan-Metadaten mit dem Scanstatus verarbeitet und anschließend die heruntergeladene Kopie des Objekts gelöscht.

GuardDuty reinigt die Scanumgebung jedes Mal, bevor ein neuer Scan beginnt. GuardDuty verwendet eine bedingte Autorisierung für den Benutzerzugriff auf die Scanumgebung, und jede Zugriffsanfrage wird geprüft, genehmigt und geprüft.

Status und Ergebnis des S3-Objektscans werden überprüft

GuardDuty veröffentlicht das Ergebnisereignis des S3-Objektscans im EventBridge Amazon-Standardereignisbus. GuardDuty sendet auch die Scan-Metriken wie die Anzahl der gescannten Objekte und die Anzahl der gescannten Byte an Amazon CloudWatch. Wenn Sie Tagging aktiviert haben, GuardDuty werden das vordefinierte Tag GuardDutyMalwareScanStatus und ein potenzielles Scanergebnis als Tag-Wert hinzugefügt.

Weitere Informationen finden Sie unter Überwachung von S3-Objektscans in Malware Protection for S3.

Überprüfung der generierten Ergebnisse

Die Überprüfung der Ergebnisse hängt davon ab, ob Sie Malware Protection for S3 mit verwenden oder nicht GuardDuty. Betrachten Sie folgende Szenarien:

Verwenden Sie den Malware-Schutz für S3, wenn Sie den GuardDuty Dienst aktiviert haben (Detektor-ID)

Wenn der Malware-Scan eine potenziell schädliche Datei in einem S3-Objekt erkennt, GuardDuty wird ein entsprechender Befund generiert. Sie können sich die Details des Befundes ansehen und die empfohlenen Schritte anwenden, um das Ergebnis möglicherweise zu beheben. Je nach Häufigkeit Ihrer Exportergebnisse wird das generierte Ergebnis in einen S3-Bucket und einen EventBridge Event-Bus exportiert.

Hinweise zu dem Befundtyp, der generiert werden würde, finden Sie unterSuchtyp „Malware-Schutz für S3“.

Verwendung von Malware Protection for S3 als eigenständige Funktion (keine Detektor-ID)

GuardDuty kann keine Ergebnisse generieren, da keine zugehörige Detektor-ID vorhanden ist. Um den Status des S3-Objekt-Malware-Scans zu erfahren, können Sie sich das Scanergebnis ansehen, das GuardDuty automatisch in Ihrem Standard-Event-Bus veröffentlicht wird. Sie können sich auch die CloudWatch Metriken ansehen, um die Anzahl der Objekte und Byte einzuschätzen, die GuardDuty versucht haben, zu scannen. Sie können CloudWatch Alarme einrichten, um über die Scanergebnisse informiert zu werden. Wenn Sie S3 Object Tagging aktiviert haben, können Sie auch den Status des Malware-Scans einsehen, indem Sie das S3-Objekt auf den GuardDutyMalwareScanStatus Tag-Schlüssel und den Tag-Wert für das Scanergebnis überprüfen.

Informationen zum Status und zum Ergebnis des S3-Objektscans finden Sie unterÜberwachung von S3-Objektscans in Malware Protection for S3.