Amazon S3 Protection in Amazon GuardDuty

S3 Protection hilft Amazon bei der GuardDuty Überwachung von AWS CloudTrail Datenereignissen für Amazon Simple Storage Service (Amazon S3), die API-Operationen auf Objektebene enthalten, um potenzielle Sicherheitsrisiken für Daten in Ihren Amazon S3-Buckets zu identifizieren.

GuardDuty überwacht sowohl AWS CloudTrail Verwaltungsereignisse als auch AWS CloudTrail S3-Datenereignisse, um potenzielle Bedrohungen in Ihren Amazon S3-Ressourcen zu identifizieren. Beide Datenquellen überwachen verschiedene Arten von Aktivitäten. Beispiele für CloudTrail Verwaltungsereignisse für S3 sind Operationen, die Amazon S3-Buckets auflisten oder konfigurieren, wie ListBucketsDeleteBuckets, und PutBucketReplication. Beispiele für CloudTrail Datenereignisse für S3 sind API-Operationen auf Objektebene wie GetObject, ListObjectsDeleteObject, und PutObject.

Wenn Sie Amazon GuardDuty für ein aktivierenAWS-Konto, GuardDuty startet die Überwachung CloudTrail von Verwaltungsereignissen. Sie müssen die S3-Datenereignisprotokollierung in nicht manuell aktivieren oder konfigurierenAWS CloudTrail. Sie können die Funktion S3 Protection (die CloudTrail Datenereignisse für S3 überwacht) für jedes Konto in jedem aktivieren GuardDuty, in AWS-Region dem diese Funktion in Amazon verfügbar ist. Ein AWS-Konto, der bereits aktiviert hat GuardDuty, kann S3 Protection zum ersten Mal mit einer 30-tägigen kostenlosen Testphase aktivieren. Für ein AWS-Konto, das GuardDuty zum ersten Mal aktiviert, ist S3 Protection bereits aktiviert und in diese 30-tägige kostenlose Testversion aufgenommen. Weitere Informationen finden Sie unter Schätzung der GuardDuty Kosten.

Wir empfehlen Ihnen, S3 Protection in zu aktivieren GuardDuty. Wenn diese Funktion nicht aktiviert ist, kann Ihre Amazon- GuardDuty S3-Buckets nicht vollständig überwachen oder Ergebnisse für verdächtigen Zugriff auf die in Ihren S3-Buckets gespeicherten Daten generieren. Amazon S3

So GuardDuty verwendet S3-Datenereignisse

Wenn Sie S3-Datenereignisse aktivieren (S3 Protection), GuardDuty beginnt damit, S3-Datenereignisse aus allen Ihren S3-Buckets zu analysieren, und überwacht sie auf böswillige und verdächtige Aktivitäten. Weitere Informationen finden Sie unter AWS CloudTrail-Datenereignisse für S3.

Wenn über S3-Objekte GuardDuty verfügt, die Sie öffentlich zugänglich gemacht haben, warnt Sie jedoch, wenn ein Bucket öffentlich zugänglich gemacht wird. Wenn auf ein S3-Objekt anonym oder auf unbefugte Weise zugegriffen wird, GuardDuty ignoriert die Prozessanforderungen. Wenn jedoch dasselbe S3-Objekt die Anforderungen mit IAM-Benutzeranmeldeinformationen verarbeitet, GuardDuty verarbeitet die Anforderung. Wenn eine Bedrohung basierend auf der Überwachung von S3-Datenereignissen GuardDuty erkennt, generiert es ein Sicherheitsergebnis. Informationen zu den Arten von Erkenntnissen, die für Amazon S3-Buckets generieren GuardDuty kann, finden Sie unter GuardDuty S3-Erkenntnistypen.

Wenn Sie S3 Protection deaktivieren, GuardDuty stoppt die S3-Datenereignisüberwachung der in Ihren S3-Buckets gespeicherten Daten.

S3 Protection für ein einzelnes Konto konfigurieren

Für Konten, die AWS Organizations zugeordnet sind, kann dieser Vorgang über die Konsoleneinstellungen automatisiert werden. Weitere Informationen finden Sie unter Konfigurieren von S3 Protection in Umgebungen mit mehreren Konten.

So aktivieren oder deaktivieren Sie S3 Protection

Wählen Sie Ihre bevorzugte Zugriffsmethode, um S3 Protection für ein einzelnes Konto zu konfigurieren.

Console

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

2. Wählen Sie im Navigationsbereich S3 Protection.

3. Auf der Seite S3 Protection finden Sie den aktuellen Status von S3 Protection für Ihr Konto. Wählen Sie Aktivieren oder Deaktivieren, um S3 Protection zu einem beliebigen Zeitpunkt zu aktivieren oder zu deaktivieren.

4. Wählen Sie Bestätigen, um Ihre Auswahl zu bestätigen.

API/CLI

1. Führen Sie updateDetector unter Verwendung Ihrer gültige Detektor-ID für die aktuelle Region aus und übergeben Sie das features-Objekt name als S3_DATA_EVENTS auf ENABLED oder DISABLED gesetzt, um S3 Protection zu aktivieren oder zu deaktivieren.

   Anmerkung

   Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

2. Sie können aber auch die AWS Command Line Interface verwenden. Um S3 Protection zu aktivieren, führen Sie den folgenden Befehl aus und stellen Sie sicher, dass Sie Ihre eigene gültige Detektor-ID verwenden.

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

   Um S3 Protection zu deaktivieren, ersetzen Sie ENABLED durch DISABLED im Beispiel.

Konfigurieren von S3 Protection in Umgebungen mit mehreren Konten

In einer Umgebung mit mehreren Konten hat nur das delegierte GuardDuty Administratorkonto die Möglichkeit, S3 Protection für die Mitgliedskonten in ihrer AWS Organisation zu konfigurieren (aktivieren oder deaktivieren). Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mit AWS Organizations. Das delegierte GuardDuty Administratorkonto kann festlegen, dass S3 Protection automatisch für alle Konten, nur für neue Konten oder für keine Konten in der Organisation aktiviert wird. Weitere Informationen finden Sie unter Verwalten von Konten mit AWS Organizations.

Konfigurieren von S3 Protection für ein delegiertes GuardDuty Administratorkonto

Wählen Sie Ihre bevorzugte Zugriffsmethode, um S3 Protection für das delegierte GuardDuty Administratorkonto zu konfigurieren.

Console

1. Öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

   Stellen Sie sicher, dass Sie die Anmeldeinformationen des Verwaltungskontos verwenden.

2. Wählen Sie im Navigationsbereich S3 Protection.

3. Wählen Sie auf der Seite S3 Protection die Option Bearbeiten.

4. Führen Sie eine der folgenden Aktionen aus:

   Verwendung von Für alle Konten aktivieren

   • Wählen Sie Für alle Konten aktivieren. Dadurch wird der Schutzplan für alle aktiven GuardDuty Konten in Ihrer AWS Organisation aktiviert, einschließlich der neuen Konten, die der Organisation beitreten.

   • Wählen Sie Speichern.

   Verwendung von Konten manuell konfigurieren

   • Um den Schutzplan nur für das delegierte GuardDuty Administratorkonto zu aktivieren, wählen Sie Konten manuell konfigurieren aus.

   • Wählen Sie im Abschnitt Delegiertes GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus.

   • Wählen Sie Speichern.

API/CLI

Führen Sie aus, updateDetector indem Sie die Detektor-ID des delegierten GuardDuty Administratorkontos für die aktuelle Region verwenden und das features Objekt name als S3_DATA_EVENTS und status als ENABLED oder übergebenDISABLED.

Alternativ können Sie S3 Protection konfigurieren, indem Sie AWS Command Line Interface verwenden. Führen Sie den folgenden Befehl aus und stellen Sie sicher, dass Sie 12abc34d567e8fa901bc2d34e56789f0 durch die Detektor-ID des delegierten GuardDuty Administratorkontos für die aktuelle Region und 555555555555 durch die AWS-Konto ID des delegierten GuardDuty Administratorkontos ersetzen.

Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --acountids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Automatisches Aktivieren von S3 Protection für alle Mitgliedskonten in der Organisation

Console

1. Öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

   Melden Sie sich mit Ihrem Administratorkonto an.

2. Führen Sie eine der folgenden Aktionen aus:

   Verwenden der Seite S3 Protection

   1. Wählen Sie im Navigationsbereich S3 Protection.

   2. Wählen Sie Für alle Konten aktivieren. Diese Aktion aktiviert automatisch S3 Protection sowohl für bestehende als auch für neue Konten in der Organisation.

   3. Wählen Sie Speichern.

      Anmerkung

      Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

   Verwenden der Seite Konten

   1. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

   2. Wählen Sie auf der Seite Konten die Option Einstellungen automatisch aktivieren und anschließend Konten auf Einladung hinzufügen.

   3. Wählen Sie im Fenster Einstellungen für automatische Aktivierung verwalten die Option Für alle Konten aktivieren unter S3 Protection.

   4. Wählen Sie Speichern.

   Falls Sie die Option Für alle Konten aktivieren nicht verwenden können, finden Sie weitere Informationen unter Selektive Aktivierung oder Deaktivierung von S3 Protection in Mitgliedskonten.

API/CLI

• Um S3 Protection selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID auf.

• Das folgende Beispiel zeigt, wie Sie S3 Protection für ein einzelnes Mitgliedskonto aktivieren können. Stellen Sie sicher, dass Sie 12abc34d567e8fa901bc2d34e56789f0 durch die des delegierten GuardDuty detector-idAdministratorkontos und 111122223333 ersetzen. Um S3 Protection zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

  Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'

  Anmerkung

  Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

• Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Aktivieren Sie S3 Protection für alle vorhandenen aktiven Mitgliedskonten

Wählen Sie Ihre bevorzugte Zugriffsmethode, um S3 Protection für alle vorhandenen aktiven Mitgliedskonten in Ihrer Organisation zu aktivieren.

Console

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

   Melden Sie sich mit den Anmeldeinformationen des delegierten GuardDuty Administratorkontos an.

2. Wählen Sie im Navigationsbereich S3 Protection.

3. Auf der Seite S3 Protection können Sie den aktuellen Status der Konfiguration anzeigen. Wählen Sie im Abschnitt Aktive Mitgliedskonten die Option Aktionen.

4. Wählen Sie im Dropdownmenü Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.

5. Wählen Sie Bestätigen aus.

API/CLI

• Um S3 Protection selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID auf.

• Das folgende Beispiel zeigt, wie Sie S3 Protection für ein einzelnes Mitgliedskonto aktivieren können. Stellen Sie sicher, dass Sie 12abc34d567e8fa901bc2d34e56789f0 durch die des delegierten GuardDuty detector-idAdministratorkontos und 111122223333 ersetzen. Um S3 Protection zu deaktivieren, ersetzen Sie ENABLED durch DISABLED.

  Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'

  Anmerkung

  Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

• Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Automatisches Aktivieren von S3 Protection für neue Mitgliedskonten

Wählen Sie Ihre bevorzugte Zugriffsmethode, um S3 Protection für neue Konten, die Ihrer Organisation beitreten, zu aktivieren.

Console

Das delegierte GuardDuty Administratorkonto kann für neue Mitgliedskonten in einer Organisation über die Konsole aktivieren, entweder auf der Seite S3 Protection oder Konten.

So richten Sie Automatisches Aktivieren von S3 Protection für neue Mitgliedskonten ein

1. Öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

   Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.

2. Führen Sie eine der folgenden Aktionen aus:

   • Verwendung der Seite S3 Protection:

     1. Wählen Sie im Navigationsbereich S3 Protection.

     2. Wählen Sie auf der Seite S3 Protection die Option Bearbeiten.

     3. Wählen Sie Konten manuell konfigurieren.

     4. Wählen Sie Automatisch für neue Mitgliedskonten aktivieren. Dieser Schritt stellt sicher, dass S3 Protection jedes mal automatisch für das Konto aktiviert wird, wenn ein neues Konto Ihrer Organisation beitritt. Nur das delegierte GuardDuty Administratorkonto der Organisation kann diese Konfiguration ändern.

     5. Wählen Sie Speichern.

   • Verwenden der Seite Konten:

     1. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

     2. Wählen Sie auf der Seite Konten die Option Einstellungen automatisch aktivieren.

     3. Wählen Sie im Fenster Einstellungen für automatische Aktivierung verwalten unter S3 Protection die Option Für neue Konten aktivieren.

     4. Wählen Sie Speichern.

API/CLI

• Um S3 Protection selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den API-Vorgang UpdateOrganizationConfiguration mit Ihrer eigenen Detektor-ID auf.

• Das folgende Beispiel zeigt, wie Sie S3 Protection für ein einzelnes Mitgliedskonto aktivieren können. Informationen zur Deaktivierung finden Sie unter Selektives Aktivieren oder Deaktivieren von RDS Protection für Mitgliedskonten. Legen Sie die Einstellungen so fest, dass der Schutzplan in dieser Region für neue Konten (NEW), die der Organisation beitreten, für alle Konten (ALL) oder für keines der Konten (NONE) in der Organisation automatisch aktiviert oder deaktiviert wird. Weitere Informationen finden Sie unter autoEnableOrganizationMitglieder . Je nach Ihren Einstellungen müssen Sie möglicherweise NEW durch ALL oder NONE ersetzen.

  Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  Anmerkung

  Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

• Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Selektive Aktivierung oder Deaktivierung von S3 Protection in Mitgliedskonten

Wählen Sie Ihre bevorzugte Zugriffsmethode, um S3 Protection für bestimmte Mitgliedskonten zu aktivieren oder zu deaktivieren.

Console

1. Öffnen Sie die - GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

   Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.

2. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

   Auf der Seite Konten finden Sie in der Spalte S3 Protection den Status Ihres Mitgliedskontos.

3. So können Sie S3 Protection selektiv aktivieren und deaktivieren

   Wählen Sie das Konto aus, für das Sie S3 Protection konfigurieren möchten. Sie können mehrere Konten gleichzeitig auswählen. Wählen Sie im Dropdown-Menü Schutzpläne bearbeiten die Option S3Pro aus und wählen Sie dann die entsprechende Option aus.

API/CLI

Um S3 Protection selektiv für Ihre Mitgliedskonten zu aktivieren, rufen Sie den API-Vorgang updateMemberDetectors mit Ihrer eigenen Detektor-ID auf. Das folgende Beispiel zeigt, wie Sie S3 Protection für ein einzelnes Mitgliedskonto aktivieren können. Um die Funktion zu deaktivieren, ersetzen Sie true durch false.

Sie finden Ihre eigene detectorId für Ihre aktuelle Region auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/-Konsole.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

Anmerkung

Sie können auch eine Liste von Konto-IDs übergeben, die durch ein Leerzeichen getrennt sind.

Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Anmerkung

Wenn Sie Skripts verwenden, um neue Konten zu integrieren und S3 Protection in Ihren neuen Konten deaktivieren möchten, können Sie den API-Vorgang createDetectormit dem optionalen dataSources-Objekt ändern, wie in diesem Thema beschrieben.

Automatisches Deaktivieren von S3 Protection für neue GuardDuty Konten

Wichtig

Standardmäßig wird S3 Protection automatisch für AWS-Konten diesen Join GuardDuty zum ersten Mal aktiviert.

Wenn Sie ein GuardDuty Administratorkonto sind, das GuardDuty zum ersten Mal für ein neues Konto aktiviert, und S3 Protection nicht standardmäßig aktiviert haben möchten, können Sie es deaktivieren, indem Sie die createDetector API-Operation mit dem optionalen -featuresObjekt ändern. Im folgenden Beispiel wird verwendetAWS CLI, um einen neuen GuardDuty Detektor mit deaktiviertem S3 Protection zu aktivieren.

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'