Protección de Amazon S3 en Amazon GuardDuty - Amazon GuardDuty
¿Cómo GuardDuty utiliza los eventos de datos de S3Configuración de la protección de S3 para una cuenta independienteConfiguración de la protección de S3 en entornos con varias cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de Amazon S3 en Amazon GuardDuty

S3 Protection ayuda a Amazon a GuardDuty supervisar AWS CloudTrail los eventos de datos de Amazon Simple Storage Service (Amazon S3), que incluyen operaciones de API a nivel de objeto para identificar posibles riesgos de seguridad para los datos contenidos en sus buckets de Amazon S3.

GuardDuty monitorea tanto los eventos de AWS CloudTrail administración como los eventos de datos de AWS CloudTrail S3 para identificar posibles amenazas en sus recursos de Amazon S3. Los dos orígenes de datos supervisan diferentes tipos de actividades. Algunos ejemplos de eventos de CloudTrail administración para S3 incluyen operaciones que muestran o configuran buckets de Amazon S3, como ListBucketsDeleteBuckets, yPutBucketReplication. Entre los ejemplos de eventos de CloudTrail datos para S3 se incluyen las operaciones de API a nivel de objeto, comoGetObject,ListObjects, DeleteObject y. PutObject

Cuando habilitas Amazon GuardDuty para un Cuenta de AWS, GuardDuty comienza a monitorear los eventos CloudTrail de administración. No necesita habilitar ni configurar manualmente el registro de eventos de datos de S3 AWS CloudTrail. Puedes activar la función S3 Protection (que monitorea CloudTrail los eventos de datos de S3) para cualquier cuenta en cualquier Región de AWS lugar en el que esta función esté disponible en Amazon GuardDuty y en cualquier momento. Si Cuenta de AWS ya está habilitada GuardDuty, puede activar S3 Protection por primera vez con un período de prueba gratuito de 30 días. Si Cuenta de AWS se activa GuardDuty por primera vez, S3 Protection ya está activado e incluido en esta prueba gratuita de 30 días. Para obtener más información, consulte Estimación del costo GuardDuty .

Le recomendamos que active S3 Protection en GuardDuty. Si esta función no está habilitada, no GuardDuty podrá monitorizar completamente sus depósitos de Amazon S3 ni generar información sobre el acceso sospechoso a los datos almacenados en sus depósitos de S3.

¿Cómo GuardDuty utiliza los eventos de datos de S3

Cuando habilita los eventos de datos de S3 (protección de S3), GuardDuty comienza a analizar los eventos de datos de S3 de todos sus buckets de S3 y los monitorea para detectar actividades maliciosas o sospechosas. Para obtener más información, consulte AWS CloudTrail eventos de datos para S3.

Cuando un usuario no autenticado accede a un objeto de S3, significa que el objeto de S3 es de acceso público. Por lo tanto, GuardDuty no procesa dichas solicitudes. GuardDuty procesa las solicitudes realizadas a los objetos S3 mediante credenciales de IAM (AWS Identity and Access Management) o AWS STS (AWS Security Token Service) válidas.

Cuando GuardDuty detecta una amenaza potencial en función de la supervisión de eventos de datos de S3, genera una comprobación de seguridad. Para obtener información sobre los tipos de hallazgos que GuardDuty se pueden generar para los buckets de Amazon S3, consulteGuardDuty Tipos de búsqueda S3.

Si deshabilita S3 Protection, GuardDuty detiene la supervisión de los eventos de datos de S3 de los datos almacenados en sus buckets de S3.

Configuración de la protección de S3 para una cuenta independiente

En el caso de las cuentas asociadas por AWS Organizations, este proceso se puede automatizar mediante la configuración de la consola. Para obtener más información, consulte Configuración de la protección de S3 en entornos con varias cuentas.

Habilitación o deshabilitación de la protección de S3

Elija el método de acceso que prefiera para configurar la protección de S3 para una cuenta independiente.

Console

  1. Inicie sesión en la GuardDuty consola AWS Management Console y ábrala en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Protección de S3.

  3. En la página Protección de S3 se indica el estado actual de la protección de S3 de su cuenta. Seleccione Habilitar o Deshabilitar para habilitar o deshabilitar la protección de S3 en cualquier momento.

  4. Elija Confirmar para confirmar su selección.

API/CLI

  1. Ejecute updateDetector con su ID de detector válido para la región actual y transfiera el valor de name del objeto features como S3_DATA_EVENTS establecido en ENABLED o DISABLED para habilitar lo deshabilitar la protección de S3, respectivamente.

    nota

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

  2. Como alternativa, puedes usar AWS Command Line Interface. Para habilitar la protección de S3, ejecute el siguiente comando y asegúrese de utilizar su propio ID de detector válido. 

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

    Para deshabilitar la protección de S3, sustituya ENABLED por DISABLED en el ejemplo.

Configuración de la protección de S3 en entornos con varias cuentas

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de configurar (activar o desactivar) S3 Protection para las cuentas de los miembros de su AWS organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. La cuenta de GuardDuty administrador delegado puede elegir que S3 Protection se active automáticamente en todas las cuentas, solo en las cuentas nuevas o en ninguna cuenta de la organización. Para obtener más información, consulte Administración de cuentas con AWS Organizations.

Elija su método de acceso preferido para configurar S3 Protection para la cuenta de GuardDuty administrador delegado.

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administración.

  2. En el panel de navegación, elija Protección de S3.

  3. En la página Protección de S3, seleccione Editar.

  4. Realice una de las siguientes acciones siguientes:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las cuentas nuevas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

updateDetectorPara ello, utilice el identificador de detector de la cuenta de GuardDuty administrador delegado para la región actual y pase el features objeto name como S3_DATA_EVENTS y status como ENABLED o. DISABLED

Como alternativa, puede configurar S3 Protection mediante AWS Command Line Interface. Ejecute el siguiente comando y asegúrese de sustituir 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta de administrador delegado de la región actual y 555555555555 por el ID de la cuenta de administrador delegado. GuardDuty Cuenta de AWS GuardDuty

Para encontrar el de su cuenta y su región ListDetectorsactual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con su cuenta de administrador.

  2. Realice una de las siguientes acciones siguientes:

    Uso de la página Protección de S3

    1. En el panel de navegación, elija Protección de S3.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de S3 para las cuentas nuevas y existentes de la organización.

    3. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Protección de S3.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitación o deshabilitación selectiva de la protección de S3 para las cuentas de miembros.

API/CLI

  • Para habilitar o deshabilitar la protección de S3 de forma selectiva para las cuentas de miembros, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Asegúrese de sustituir 12abc34d567e8fa901bc2d34e56789f0 por la cuenta de administrador delegado y 111122223333. detector-id GuardDuty Para deshabilitar la protección de S3, sustituya ENABLED por DISABLED.

    Para detectorId encontrar la correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de S3 en todas las cuentas de miembros activas existentes de la organización.

Console

  1. Inicia sesión en la GuardDuty consola AWS Management Console y ábrela en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Protección de S3.

  3. En la página Protección de S3, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

  • Para habilitar o deshabilitar la protección de S3 de forma selectiva para las cuentas de miembros, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Asegúrese de sustituir 12abc34d567e8fa901bc2d34e56789f0 por la cuenta de administrador delegado y 111122223333. detector-id GuardDuty Para deshabilitar la protección de S3, sustituya ENABLED por DISABLED.

    Para detectorId encontrar la correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de S3 para las cuentas nuevas que se unan a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar las cuentas de nuevos miembros de una organización a través de la consola, desde la página de Protección de S3 o desde la página de Cuentas.

Habilitación automática de la protección de S3 para las cuentas de nuevos miembros

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    • Uso de la página Protección de S3:

      1. En el panel de navegación, elija Protección de S3.

      2. En la página Protección de S3, seleccione Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se una a su organización, la protección de S3 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Accounts (Cuentas).

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las nuevas cuentas en Protección de S3.

      4. Seleccione Guardar.

API/CLI

  • Para habilitar o deshabilitar la protección de S3 de forma selectiva para las cuentas de miembros, invoque la operación de la API UpdateOrganizationConfiguration con su propio ID de detector.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Para deshabilitar esta característica, consulte Activación o desactivación de la Protección de RDS para las cuentas de miembros de forma selectiva. Establezca las preferencias para habilitar o deshabilitar automáticamente el plan de protección en esa región para las nuevas cuentas (NEW) que se unan a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) de la organización. Para obtener más información, consulte autoEnableOrganizationMiembros. Según sus preferencias, es posible que deba sustituir NEW por ALL o NONE.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar o deshabilitar de forma selectiva la protección de S3 en las cuentas de miembros.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, elija Accounts (Cuentas).

    En la página Cuentas, revise la columna Protección de S3 para ver el estado de su cuenta de miembro.

  3. Habilitación o deshabilitación selectiva de la protección de S3

    Seleccione la cuenta para la que desee configurar la protección de S3. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione S3Pro y, a continuación, elija la opción adecuada.

API/CLI

Para habilitar o deshabilitar la protección de S3 de forma selectiva para las cuentas de miembros, ejecute la operación de la API updateMemberDetectors con su propio ID de detector. En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Para desactivarlo, sustituya true por false.

Para encontrar las detectorId de tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

nota

Si utiliza scripts para incorporar nuevas cuentas y desea deshabilitar la protección de S3 en sus nuevas cuentas, puede modificar la operación de la API createDetector con el objeto dataSources opcional, tal y como se describe en este tema.

importante

De forma predeterminada, la protección de S3 se habilita automáticamente para Cuentas de AWS esa unión GuardDuty por primera vez.

Si es GuardDuty administrador y habilita una cuenta nueva GuardDuty por primera vez y no quiere que S3 Protection esté habilitada de forma predeterminada, puede deshabilitarla modificando la operación de la createDetectorAPI con el features objeto opcional. En el siguiente ejemplo, se utiliza AWS CLI para activar un GuardDuty detector nuevo con la protección S3 desactivada. 

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'