¿Cómo funciona la protección contra malware para S3?

En esta sección se describen los componentes de la protección contra malware para S3, cómo funciona después de habilitarla para un bucket de S3 y cómo puede revisar el estado y el producto del análisis de malware.

Descripción general

Puede activar Malware Protection for S3 para un bucket de Amazon S3 que le pertenezca Cuenta de AWS. GuardDutyle ofrece la flexibilidad necesaria para habilitar esta función en todo su depósito o limitar el alcance del análisis de malware a prefijos de objetos específicos, en el que se GuardDuty analiza cada objeto cargado que comience con uno de los prefijos seleccionados. Puede agregar hasta 5 prefijos. Cuando se habilita la característica para un bucket de S3, ese bucket se denomina bucket protegido.

IAMpermisos de rol

Malware Protection for S3 utiliza una IAM función que permite GuardDuty realizar las acciones de análisis de malware en su nombre. Estas acciones incluyen recibir una notificación de los objetos recién cargados en el bucket seleccionado, analizar dichos objetos y, opcionalmente, agregar etiquetas a los objetos analizados. Este es un requisito previo para configurar el bucket de S3 con esta característica.

Tiene la opción de actualizar un IAM rol existente o crear uno nuevo para este fin. Si habilita Malware Protection for S3 para más de un bucket, puede actualizar el IAM rol existente para incluir el nombre del otro bucket, según sea necesario. Para obtener más información, consulte Crear o actualizar la política de IAM roles.

Etiquetado opcional de objetos en función del resultado del análisis

Al habilitar la protección contra malware para S3 para el bucket, es posible seguir un paso opcional para habilitar el etiquetado de los objetos de S3 analizados. La IAM función ya incluye el permiso para añadir etiquetas al objeto tras el escaneo. Sin embargo, solo GuardDuty añadirá etiquetas cuando habilite esta opción en el momento de la configuración.

Debe habilitar esta opción antes de que se cargue un objeto. Una vez finalizado el escaneo, GuardDuty agrega una etiqueta predefinida al objeto S3 escaneado con el siguiente par clave-valor:

GuardDutyMalwareScanStatus:Potential scan result

Los posibles valores de la etiqueta del producto del análisis son NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED y FAILED. Para obtener más información acerca de estos valores, consulte Estado potencial de análisis de objeto de S3 y estado del producto.

Habilitar el etiquetado es una de las formas de conocer el producto del análisis del objeto de S3. También puede utilizar estas etiquetas para añadir una política de recursos de S3 basada en etiquetas para poder tomar medidas con respecto a los objetos potencialmente maliciosos. TBAC Para obtener más información, consulte Agregar un TBAC recurso de bucket de S3.

Recomendamos que habilite el etiquetado en el momento de configurar la protección contra malware para S3 para el bucket. Si habilita el etiquetado después de que se cargue un objeto y, posiblemente, se inicie el escaneo, no GuardDuty podrá añadir etiquetas al objeto escaneado. Para obtener información sobre el costo asociado al etiquetado de objetos de S3, consulte Precios y costo de uso de la protección contra malware para S3.

Proceso posterior a la habilitación de la protección contra malware para S3 para un bucket

Tras habilitar la protección contra malware para S3, se creará un recurso del plan de protección contra malware exclusivo para el bucket de S3 seleccionado. Este recurso está asociado a un ID de plan de protección contra malware, que es un identificador único para el recurso protegido. Al usar uno de los IAM permisos, GuardDuty crea y administra una regla EventBridge administrada con el nombre de. DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*

Cómo GuardDuty gestiona sus datos: barreras para la protección de datos

Malware Protection for S3 escucha las EventBridge notificaciones de Amazon. Cuando se carga un objeto en el depósito seleccionado o en uno de los prefijos, GuardDuty descarga ese objeto del depósito de S3 mediante un AWS PrivateLinky, a continuación, lo lee, descifra y escanea en un entorno aislado de la misma región. El entorno de escaneo se ejecuta en una nube privada virtual bloqueada (VPC) sin acceso a Internet. VPCSe adjunta a un grupo de reglas de DNS firewall que solo permite la comunicación con los dominios propietarios incluidos en la lista de permitidos. AWS Mientras dure el escaneo, almacena GuardDuty temporalmente el objeto S3 descargado en el entorno de escaneo, que está cifrado con las claves AWS Key Management Service (AWS KMS).

nota

De forma predeterminada, todos los Amazon S3 APIs incluidos en el tipo de evento creado por objeto en la Guía del usuario de Amazon S3 iniciarán el escaneo de Malware Protection for S3.

Estos tipos de eventos incluyen PutObjectPOSTCopyObjectObjeto y CompleteMultipartUpload.

Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulteGuardDuty motor de escaneo de detección de malware.

Una vez finalizado el análisis de software malicioso, GuardDuty procesa los metadatos del análisis con el estado del análisis y, a continuación, elimina la copia descargada del objeto.

GuardDuty limpia el entorno de escaneo cada vez antes de que comience un nuevo escaneo. GuardDuty utiliza una autorización condicionada para el acceso del operador al entorno de digitalización, y todas las solicitudes de acceso se revisan, aprueban y auditan.

Revisar el estado y el producto del análisis de objetos del S3

GuardDuty publica el evento resultante del escaneo de objetos de S3 en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty también envía a Amazon las métricas de escaneo, como el número de objetos escaneados y los bytes escaneados CloudWatch. Si has activado el etiquetado, GuardDuty añadirá la etiqueta predefinida GuardDutyMalwareScanStatus y un posible resultado del escaneo como valor de la etiqueta.

Para obtener más información, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.

Revisar los resultados generados

La revisión de los resultados dependerá de si utiliza o no Malware Protection for S3 con GuardDuty. Considere los siguientes escenarios:

Utilizar la protección contra malware para S3 cuando el GuardDuty servicio está activado (ID del detector)

Si el análisis de malware detecta un archivo potencialmente malicioso en un objeto S3, GuardDuty generará un hallazgo asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. En función de la frecuencia de las búsquedas de exportación, las conclusiones generadas se exportan a un bucket de S3 y a un bus de EventBridge eventos.

Para obtener información sobre el tipo de resultado que se generará, consulte Tipo de resultado de la protección contra malware para S3.

Utilizar la protección contra malware para S3 como una característica independiente (sin ID de detector)

GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del análisis de malware con objetos S3, puede ver el resultado del análisis que GuardDuty se publica automáticamente en su bus de eventos predeterminado. También puede ver las CloudWatch métricas para evaluar la cantidad de objetos y bytes que se GuardDuty intentaron escanear. Puede configurar CloudWatch alarmas para recibir notificaciones sobre los resultados del escaneo. Si ha habilitado el etiquetado de objetos de S3, también podrá ver el estado del análisis de malware si comprueba en el objeto de S3 la clave de la etiqueta GuardDutyMalwareScanStatus y el valor de la etiqueta del producto del análisis.

Para obtener información sobre el estado y el producto del análisis de objetos de S3, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.