¿Cómo funciona la protección contra malware para S3?

En esta sección se describen los componentes de la protección contra malware para S3, cómo funciona después de habilitarla en un bucket de S3 y cómo se pueden revisar el estado y los resultados del análisis de malware.

Información general

Puede activar Malware Protection for S3 para un bucket de Amazon S3 que le pertenezca. Cuenta de AWS. GuardDutyle ofrece la flexibilidad necesaria para activar esta función en todo el depósito o limitar el alcance del análisis de malware a prefijos de objetos específicos, en el que se GuardDuty analiza cada objeto cargado que comience por uno de los prefijos seleccionados. Puede añadir hasta 5 prefijos. Cuando habilitas la función para un depósito de S3, ese depósito se denomina depósito protegido.

IAMpermisos de rol

Malware Protection for S3 utiliza una IAM función que permite GuardDuty realizar las acciones de análisis de malware en su nombre. Estas acciones incluyen recibir una notificación de los objetos recién cargados en el depósito seleccionado, escanear esos objetos y, opcionalmente, añadir etiquetas a los objetos escaneados. Este es un requisito previo para configurar su bucket de S3 con esta función.

Tiene la opción de actualizar un IAM rol existente o crear uno nuevo para este propósito. Si habilita Malware Protection for S3 para más de un bucket, puede actualizar el IAM rol existente para incluir el nombre del otro bucket, según sea necesario. Para obtener más información, consulte Requisito previo: crear o actualizar la política de IAM roles.

Etiquetado opcional de los objetos en función del resultado del escaneo

A la hora de habilitar Malware Protection for S3 en su depósito, hay un paso opcional para habilitar el etiquetado de los objetos de S3 escaneados. La IAM función ya incluye el permiso para añadir etiquetas al objeto tras el escaneo. Sin embargo, solo GuardDuty añadirá etiquetas cuando habilite esta opción en el momento de la configuración.

Debe activar esta opción antes de cargar un objeto. Una vez finalizado el escaneo, GuardDuty agrega una etiqueta predefinida al objeto S3 escaneado con el siguiente par clave-valor:

GuardDutyMalwareScanStatus:Potential scan result

Los posibles valores de las etiquetas de los resultados del escaneo incluyen NO_THREATS_FOUNDTHREATS_FOUND, UNSUPPORTEDACCESS_DENIED, y. FAILED Para obtener más información sobre estos valores, consulteEstado potencial de escaneo y estado del resultado del objeto S3.

Habilitar el etiquetado es una de las formas de conocer el resultado del escaneo de objetos en S3. También puede utilizar estas etiquetas para añadir una política de recursos de S3 basada en etiquetas para poder tomar medidas con respecto a los objetos potencialmente maliciosos. TBAC Para obtener más información, consulte Agregar un TBAC recurso de bucket de S3.

Le recomendamos que habilite el etiquetado al configurar Malware Protection for S3 para su bucket. Si habilita el etiquetado después de que se cargue un objeto y, posiblemente, se inicie el escaneo, no GuardDuty podrá añadir etiquetas al objeto escaneado. Para obtener información sobre el coste asociado al etiquetado de objetos de S3, consulte. Precios y costes de uso de Malware Protection for S3

Procese después de activar Malware Protection for S3 en un bucket

Tras activar la protección contra malware para S3, se crea un recurso del plan de protección contra malware exclusivamente para el bucket de S3 seleccionado. Este recurso está asociado a un ID de plan de protección contra malware, un identificador único del recurso protegido. Al usar uno de los IAM permisos, GuardDuty crea y administra una regla EventBridge administrada con el nombre deDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

Cómo GuardDuty gestiona sus datos: barreras de protección de datos

Malware Protection for S3 escucha las EventBridge notificaciones de Amazon. Cuando se carga un objeto en el depósito seleccionado o en uno de los prefijos, GuardDuty descarga ese objeto del depósito de S3 mediante un AWS PrivateLinky, a continuación, lo lee, descifra y escanea en un entorno aislado en la misma región. El entorno de escaneo se ejecuta en una nube privada virtual bloqueada (VPC) sin acceso a Internet. VPCestá conectado a un grupo de reglas de DNS firewall que permite la comunicación solo con los dominios permitidos que figuran en la lista AWS es propietario. Mientras dure el escaneo, almacena GuardDuty temporalmente el objeto S3 descargado en el entorno de escaneo que está cifrado con AWS Key Management Service (AWS KMS) claves.

Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulteGuardDuty motor de escaneo de detección de malware.

Una vez finalizado el análisis de software malicioso, GuardDuty procesa los metadatos del análisis con el estado del análisis y, a continuación, elimina la copia descargada del objeto.

GuardDuty limpia el entorno de escaneo cada vez antes de que comience un nuevo escaneo. GuardDuty utiliza una autorización condicionada para el acceso del operador al entorno de digitalización y todas las solicitudes de acceso se revisan, aprueban y auditan.

Revisión del estado y el resultado del escaneo de objetos de S3

GuardDuty publica el evento resultante del escaneo de objetos S3 en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty también envía a Amazon las métricas de escaneo, como el número de objetos escaneados y los bytes escaneados CloudWatch. Si has activado el etiquetado, GuardDuty añadirá la etiqueta predefinida GuardDutyMalwareScanStatus y un posible resultado del escaneo como valor de la etiqueta.

Para obtener más información, consulte Supervisión de escaneos de objetos de S3 en Malware Protection for S3.

Revisar los hallazgos generados

La revisión de los resultados depende de si utiliza o no Malware Protection for S3 con GuardDuty. Considere los siguientes escenarios:

Utilizar la protección contra malware para S3 cuando el GuardDuty servicio está activado (ID del detector)

Si el análisis de malware detecta un archivo potencialmente malicioso en un objeto S3, GuardDuty generará un hallazgo asociado. Puede ver los detalles del hallazgo y seguir los pasos recomendados para remediarlo potencialmente. En función de la frecuencia de exportación de los hallazgos, el hallazgo generado se exporta a un bucket de S3 y a un bus de EventBridge eventos.

Para obtener información sobre el tipo de hallazgo que se generaría, consulteProtección contra malware para el tipo de búsqueda S3.

Uso de la protección contra malware para S3 como función independiente (sin ID de detector)

GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del análisis de malware con objetos S3, puede ver el resultado del análisis que GuardDuty se publica automáticamente en su bus de eventos predeterminado. También puede ver las CloudWatch métricas para evaluar la cantidad de objetos y bytes que se GuardDuty intentaron escanear. Puede configurar CloudWatch alarmas para recibir notificaciones sobre los resultados del escaneo. Si ha activado el etiquetado de objetos de S3, también puede ver el estado del análisis de malware comprobando si el objeto S3 contiene la clave de la GuardDutyMalwareScanStatus etiqueta y el valor de la etiqueta del resultado del escaneo.

Para obtener información sobre el estado y el resultado del escaneo de objetos de S3, consulteSupervisión de escaneos de objetos de S3 en Malware Protection for S3.