Protección de Amazon S3 en AmazonGuardDuty

S3 Protection ayuda a AmazonGuardDutymonitorAWS CloudTraileventos de datos para Amazon Simple Storage Service (Amazon S3) que incluyen operaciones de API a nivel de objeto para identificar los posibles riesgos de seguridad de los datos de sus cubos de Amazon S3.

GuardDutymonitorea ambosAWS CloudTraileventos de gestión yAWS CloudTrailEventos de datos de S3 para identificar posibles amenazas en sus recursos de Amazon S3. Ambas fuentes de datos monitorean diferentes tipos de actividades. Ejemplos deCloudTraillos eventos de administración de S3 incluyen operaciones que enumeran o configuran los buckets de Amazon S3, comoListBuckets,DeleteBuckets, yPutBucketReplication. Ejemplos deCloudTraillos eventos de datos para S3 incluyen operaciones de API a nivel de objeto, comoGetObject,ListObjects,DeleteObject, yPutObject.

Cuando habilitas AmazonGuardDutypara unCuenta de AWS,GuardDutyinicia la monitorizaciónCloudTraileventos de administración y esto no se puede configurar. Puede habilitar o deshabilitar la función de protección S3 (que monitoreaCloudTraileventos de datos (para S3) para cualquier cuenta en cualquierRegión de AWSdonde esta función esté disponible en AmazonGuardDuty, en cualquier momento. UnCuenta de AWSque ya ha activadoGuardDutyahora puede habilitar S3 Protection por primera vez con un período de prueba gratuito de 30 días. Para unCuenta de AWSque permiteGuardDutypor primera vez, S3 Protection ya está habilitada e incluida en el período de prueba gratuito de 30 días. Para obtener más información, consulte EstimaciónGuardDutycoste

Le recomendamos que active S3 Protection enGuardDuty. Si esta función no está habilitada,GuardDutyno podrá supervisar completamente sus buckets de Amazon S3 ni generar hallazgos sobre accesos sospechosos a los datos almacenados en sus buckets de S3.

¿Cómo?GuardDutyusa eventos de datos de S3

Al habilitar los eventos de datos de S3 (protección de S3),GuardDutycomienza a analizar los eventos de datos de S3 de todos sus buckets de S3 y los monitorea para detectar actividades maliciosas o sospechosas. Para obtener más información, consulte AWS CloudTraileventos de datos para S3.

GuardDutyno procesa las solicitudes a objetos que hayas hecho accesibles al público, pero sí te avisa cuando un bucket pasa a ser de acceso público. ¿Cuándo?GuardDutydetecta una amenaza basándose en la monitorización de eventos de datos de S3 y genera un hallazgo de seguridad. Para obtener información sobre los tipos de hallazgosGuardDutypuede generar para Amazon S3 buckets, consulteGuardDuty Tipos de búsqueda en S3.

Si desactiva S3 Protection,GuardDutydetiene la monitorización de eventos de datos de S3 de los datos almacenados en sus buckets de S3.

Configuración de S3 Protection para una cuenta independiente

Para las cuentas asociadas aAWS Organizations, este proceso se puede automatizar mediante la configuración de la consola. Para obtener más información, consulte Configuración de S3 Protection en entornos de cuentas múltiples.

Para habilitar o deshabilitar la protección S3

Elija su método de acceso preferido para configurar S3 Protection para una cuenta independiente.

Console

1. Inicia sesión en elAWS Management Consoley abre elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

2. En el panel de navegación, elijaProtección S3.

3. ElProtección S3la página proporciona el estado actual de S3 Protection para su cuenta. EligeHabilitaroDesactivarpara habilitar o deshabilitar S3 Protection en cualquier momento.

4. EligeConfirmepara confirmar tu selección.

API/CLI

1. CorreupdateDetectorutilizando su identificador de detector válido para la región actual y pasando lafeaturesobjetarnametanS3_DATA_EVENTSestablecido enENABLEDoDISABLEDpara habilitar o deshabilitar la protección S3, respectivamente.

   nota

   Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

2. Alternativamente, puede utilizarAWS Command Line Interface. Para habilitar S3 Protection, ejecute el siguiente comando y asegúrese de utilizar su propio identificador de detector válido.

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

   Para deshabilitar la protección S3, sustituyaENABLEDconDISABLEDen el ejemplo.

Configuración de S3 Protection en entornos de cuentas múltiples

En un entorno de varias cuentas, solo elGuardDutyla cuenta de administrador delegado tiene la opción de configurar (habilitar o deshabilitar) S3 Protection para las cuentas de los miembros en susAWSorganización. ElGuardDutylas cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. ElGuardDutyla cuenta de administrador delegado administra sus cuentas de miembros medianteAWS Organizations. El administrador delegado puede elegir que S3 Protection se active automáticamente en todas las cuentas, solo en las cuentas nuevas o en ninguna cuenta de la organización. Para obtener más información, consulte Administrar cuentas conAWS Organizations.

Configuración de S3 Protection para el administrador delegado

Elija su método de acceso preferido para configurar S3 Protection para la cuenta de administrador delegado.

Console

1. Abra elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de administración.

2. En el panel de navegación, elijaProtección S3.

3. En elProtección S3página, eligeEditar.

4. Haga una de las siguientes acciones:

   UsoHabilitar para todas las cuentas

   • EligeHabilitar para todas las cuentas. Esto habilitará el plan de protección para todos los activosGuardDutycuentas en tuAWSorganización, incluidas las nuevas cuentas que se unen a la organización.

   • Seleccione Guardar.

   UsoConfigurar cuentas manualmente

   • Para habilitar el plan de protección solo para la cuenta de administrador delegado, elijaConfigurar cuentas manualmente.

   • EligeHabilitarbajo eladministrador delegado (esta cuenta)sección.

   • Seleccione Guardar.

API/CLI

CorreupdateDetectormediante el identificador del detector de la cuenta de administrador delegada para la región actual y pasando lafeaturesobjetarnametanS3_DATA_EVENTSystatustanENABLEDoDISABLED.

Como alternativa, puede configurar S3 Protection medianteAWS Command Line Interface. Ejecute el siguiente comando y asegúrese de reemplazar12abc34d567e8fa901bc2d34e56789f0con el ID del detector de la cuenta de administrador delegada para la región actual y555555555555con elCuenta de AWSID de la cuenta de administrador delegada.

Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --acountids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Habilitar automáticamente la protección de S3 para todas las cuentas de los miembros de la organización

Console

1. Abra elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

   Inicia sesión con tu cuenta de administrador.

2. Haga una de las siguientes acciones:

   Uso delProtección S3página

   1. En el panel de navegación, elijaProtección S3.

   2. EligeHabilitar para todas las cuentas. Esta acción habilita automáticamente la protección de S3 para las cuentas existentes y nuevas de la organización.

   3. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de los miembros puede tardar hasta 24 horas.

   Uso delCuentaspágina

   1. En el panel de navegación, elija Accounts (Cuentas).

   2. En elCuentaspágina, eligeHabilitar automáticamentepreferencias antesAñadir cuentas por invitación.

   3. En elAdministrar las preferencias de activación automáticaventana, eligeHabilitar para todas las cuentasdebajo deProtección S3.

   4. Seleccione Guardar.

   Si no puede utilizar elHabilitar para todas las cuentasopción, consulteHabilitar o deshabilitar S3 Protection de forma selectiva en las cuentas de los miembros.

API/CLI

• Para habilitar o deshabilitar de forma selectiva la protección S3 para sus cuentas de miembros, invoque laupdateMemberDetectorsOperación de API con tu propiaID del detector.

• El siguiente ejemplo muestra cómo puede habilitar S3 Protection para una cuenta de un solo miembro. Asegúrese de reemplazar12abc34d567e8fa901bc2d34e56789f0con eldetector-idde la cuenta de administrador delegada, y111122223333. Para deshabilitar la protección S3, sustituyaENABLEDconDISABLED.

  Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

  aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'

  nota

  También puedes pasar una lista de identificadores de cuenta separados por un espacio.

• Cuando el código se ha ejecutado correctamente, devuelve una lista vacía deUnprocessedAccounts. Si hubo algún problema al cambiar la configuración del detector de una cuenta, aparece el ID de la cuenta junto con un resumen del problema.

Habilite S3 Protection para todas las cuentas de miembros activos existentes

Elija su método de acceso preferido para habilitar S3 Protection para todas las cuentas de miembros activas existentes en su organización.

Console

1. Inicia sesión en elAWS Management Consoley abre elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

   Inicie sesión con las credenciales de administrador delegadas.

2. En el panel de navegación, elijaProtección S3.

3. En elProtección S3página, puede ver el estado actual de la configuración. Bajo elCuentas de miembros activassección, eligeAcciones.

4. Desde elAccionesmenú desplegable, eligeHabilitar para todas las cuentas de miembros activos existentes.

5. Elija Confirm (Confirmar).

API/CLI

• Para habilitar o deshabilitar de forma selectiva la protección S3 para sus cuentas de miembros, invoque laupdateMemberDetectorsOperación de API con tu propiaID del detector.

• El siguiente ejemplo muestra cómo puede habilitar S3 Protection para una cuenta de un solo miembro. Asegúrese de reemplazar12abc34d567e8fa901bc2d34e56789f0con eldetector-idde la cuenta de administrador delegada, y111122223333. Para deshabilitar la protección S3, sustituyaENABLEDconDISABLED.

  Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

  aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'

  nota

  También puedes pasar una lista de identificadores de cuenta separados por un espacio.

• Cuando el código se ha ejecutado correctamente, devuelve una lista vacía deUnprocessedAccounts. Si hubo algún problema al cambiar la configuración del detector de una cuenta, aparece el ID de la cuenta junto con un resumen del problema.

Habilitar automáticamente la protección de S3 para cuentas de miembros nuevos

Elija su método de acceso preferido para habilitar S3 Protection para las cuentas nuevas que se unan a su organización.

Console

El administrador delegado puede habilitar las cuentas de miembros nuevos en una organización a través de la consola, mediante laProtección S3oCuentaspágina.

Para habilitar automáticamente S3 Protection para las cuentas de miembros nuevos

1. Abra elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de administrador delegada.

2. Haga una de las siguientes acciones:

   • Uso delProtección S3página:

     1. En el panel de navegación, elijaProtección S3.

     2. En elProtección S3página, eligeEditar.

     3. EligeConfigurar cuentas manualmente.

     4. SeleccioneHabilitar automáticamente para cuentas de miembros nuevos. Este paso garantiza que cada vez que se una cuenta nueva a su organización, S3 Protection se habilite automáticamente para su cuenta. Solo el administrador delegado de la organización puede modificar esta configuración.

     5. Seleccione Guardar.

   • Uso delCuentaspágina:

     1. En el panel de navegación, elija Accounts (Cuentas).

     2. En elCuentaspágina, eligeHabilitar automáticamentepreferencias.

     3. En elAdministrar las preferencias de activación automáticaventana, seleccioneHabilitar para cuentas nuevasdebajo deProtección S3.

     4. Seleccione Guardar.

API/CLI

• Para habilitar o deshabilitar de forma selectiva la protección S3 para sus cuentas de miembros, invoque laUpdateOrganizationConfigurationOperación de API con tu propiaID del detector.

• El siguiente ejemplo muestra cómo puede habilitar S3 Protection para una cuenta de un solo miembro. Para deshabilitarlo, consulteHabilitar o deshabilitar RDS Protection de forma selectiva para las cuentas de los miembros. Configure las preferencias para habilitar o deshabilitar automáticamente el plan de protección en esa región para las cuentas nuevas (NEW) que se unen a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) en la organización. Para obtener más información, consulteautoEnableOrganizationMiembros. Según sus preferencias, es posible que deba reemplazarNEWconALLoNONE.

  Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": NEW}]'

  nota

  También puedes pasar una lista de identificadores de cuenta separados por un espacio.

• Cuando el código se ha ejecutado correctamente, devuelve una lista vacía deUnprocessedAccounts. Si hubo algún problema al cambiar la configuración del detector de una cuenta, aparece el ID de la cuenta junto con un resumen del problema.

Habilitar o deshabilitar S3 Protection de forma selectiva en las cuentas de los miembros

Elija su método de acceso preferido para habilitar o deshabilitar de forma selectiva S3 Protection para las cuentas de los miembros.

Console

1. Abra elGuardDutyconsola enhttps://console.aws.amazon.com/guardduty/.

   Asegúrese de utilizar las credenciales de la cuenta de administrador delegada.

2. En el panel de navegación, elija Accounts (Cuentas).

   En elCuentaspágina, revise laProtección S3columna para ver el estado de su cuenta de miembro.

3. Para habilitar o deshabilitar de forma selectiva la protección S3

   Seleccione la cuenta para la que desea configurar S3 Protection. Puede seleccionar varias cuentas a la vez. En elEditar planes de protecciónmenú desplegable, eligeS3 Proy, a continuación, elija la opción adecuada.

API/CLI

Para habilitar o deshabilitar S3 Protection de forma selectiva para sus cuentas de miembros, ejecute elupdateMemberDetectorsFuncionamiento de la API con su propio ID de detector. El siguiente ejemplo muestra cómo puede habilitar S3 Protection para una cuenta de un solo miembro. Para deshabilitarlo, sustituyatrueconfalse.

Puedes encontrar el tuyodetectorIdpara su región actual en elAjustespágina en elhttps://console.aws.amazon.com/guardduty/consola.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

nota

También puedes pasar una lista de identificadores de cuenta separados por un espacio.

Cuando el código se ha ejecutado correctamente, devuelve una lista vacía deUnprocessedAccounts. Si hubo algún problema al cambiar la configuración del detector de una cuenta, aparece el ID de la cuenta junto con un resumen del problema.

nota

Si utiliza scripts para incorporar cuentas nuevas y desea deshabilitar S3 Protection en sus cuentas nuevas, puede modificar lacreateDetectorFuncionamiento de la API con el opcionaldataSourcesobjeto tal como se describe en este tema.

Desactivación automática de S3 Protection para nuevosGuardDutycuentas

importante

De forma predeterminada, la protección S3 está habilitada automáticamente paraCuentas de AWSque se unenGuardDutypor primera vez.

Si eres unGuardDutyhabilitación del administradorGuardDutypor primera vez en una cuenta nueva y si no desea que S3 Protection esté habilitada de forma predeterminada, puede deshabilitarla modificando lacreateDetectorFuncionamiento de la API con el opcionalfeaturesobjeto. En el ejemplo siguiente se utiliza elAWS CLIpara habilitar una nuevaGuardDutydetector con la protección S3 desactivada.

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'