Comment fonctionne Malware Protection for S3 ?

Cette section décrit les composants de Malware Protection for S3, son fonctionnement une fois que vous l'avez activée pour un compartiment S3 et la manière dont vous pouvez consulter l'état et le résultat de l'analyse des programmes malveillants.

Présentation

Vous pouvez activer la protection contre les programmes malveillants pour S3 pour un compartiment Amazon S3 qui appartient au vôtre Compte AWS. GuardDutyvous offre la possibilité d'activer cette fonctionnalité pour l'ensemble de votre compartiment ou de limiter la portée de l'analyse des programmes malveillants à des préfixes d'objets spécifiques, où GuardDuty analyse chaque objet téléchargé commençant par l'un des préfixes sélectionnés. Vous pouvez ajouter jusqu'à 5 préfixes. Lorsque vous activez la fonctionnalité pour un compartiment S3, ce compartiment est appelé compartiment protégé.

IAMautorisations de rôle

Malware Protection for S3 utilise un IAM rôle qui permet GuardDuty d'effectuer les actions d'analyse des programmes malveillants en votre nom. Ces actions incluent le fait d'être informé des nouveaux objets téléchargés dans le compartiment sélectionné, de scanner ces objets et éventuellement d'ajouter des balises à vos objets numérisés. Il s'agit d'une condition préalable à la configuration de votre compartiment S3 avec cette fonctionnalité.

Vous avez la possibilité de mettre à jour un IAM rôle existant ou d'en créer un nouveau à cette fin. Lorsque vous activez Malware Protection for S3 pour plusieurs compartiments, vous pouvez mettre à jour le IAM rôle existant pour inclure le nom de l'autre compartiment, le cas échéant. Pour de plus amples informations, veuillez consulter Prérequis : créer ou mettre à jour une politique de IAM rôle.

Marquage facultatif des objets en fonction du résultat de l'analyse

Au moment d'activer Malware Protection for S3 pour votre compartiment, une étape facultative permet d'activer le balisage pour les objets S3 scannés. Le IAM rôle inclut déjà l'autorisation d'ajouter des balises à votre objet après le scan. Cependant, vous n' GuardDuty ajouterez des balises que si vous activez cette option au moment de la configuration.

Vous devez activer cette option avant qu'un objet ne soit chargé. Une fois le scan terminé, GuardDuty ajoute une balise prédéfinie à l'objet S3 scanné avec la paire clé:valeur suivante :

GuardDutyMalwareScanStatus:Potential scan result

Les valeurs potentielles des balises de résultats d'analyse incluent NO_THREATS_FOUNDTHREATS_FOUND,UNSUPPORTED,ACCESS_DENIED, etFAILED. Pour plus d'informations sur ces valeurs, consultezÉtat du scan potentiel de l'objet S3 et état des résultats.

L'activation du balisage est l'un des moyens de connaître le résultat de l'analyse des objets S3. Vous pouvez également utiliser ces balises pour ajouter une politique de ressources S3 de contrôle d'accès (TBAC) basée sur des balises afin de pouvoir agir sur les objets potentiellement malveillants. Pour de plus amples informations, veuillez consulter Ajout TBAC d'une ressource de compartiment S3.

Nous vous recommandons d'activer le balisage au moment de configurer Malware Protection for S3 pour votre compartiment. Si vous activez le balisage après le téléchargement d'un objet et qu'il est possible que le scan soit lancé, GuardDuty vous ne pourrez pas ajouter de balises à l'objet numérisé. Pour plus d'informations sur les coûts associés au balisage d'objets S3, consultezTarification et coût d'utilisation de Malware Protection for S3.

Procédure après avoir activé la protection contre les programmes malveillants pour S3 pour un compartiment

Une fois que vous avez activé Malware Protection pour S3, une ressource de plan de protection contre les malwares est créée exclusivement pour le compartiment S3 sélectionné. Cette ressource est associée à un identifiant de plan de protection contre les programmes malveillants, un identifiant unique pour votre ressource protégée. En utilisant l'une des IAM autorisations, GuardDuty il crée et gère une règle EventBridge gérée nomméeDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

Comment GuardDuty traite-t-on vos données ? Garde-fous pour la protection des données

Malware Protection for S3 écoute les EventBridge notifications d'Amazon. Lorsqu'un objet est chargé dans le compartiment sélectionné ou dans l'un des préfixes, GuardDuty télécharge cet objet depuis le compartiment S3 à l'aide d'un AWS PrivateLinkpuis le lit, le déchiffre et le scanne dans un environnement isolé de la même région. L'environnement de numérisation s'exécute dans un cloud privé virtuel verrouillé (VPC) sans accès à Internet. Le VPC est attaché à un groupe de règles de DNS pare-feu qui autorise la communication uniquement avec les domaines autorisés qui AWS possède. Pendant la durée de l'analyse, stocke GuardDuty temporairement l'objet S3 téléchargé dans l'environnement de numérisation chiffré avec AWS Key Management Service (AWS KMS) clés.

Pour plus d'informations sur la méthodologie de détection des GuardDuty programmes malveillants et les moteurs d'analyse qu'elle utilise, consultezGuardDuty moteur d'analyse pour la détection des malwares.

Une fois l'analyse des programmes malveillants terminée, GuardDuty traite les métadonnées de l'analyse avec l'état de l'analyse, puis supprime la copie téléchargée de l'objet.

GuardDuty nettoie l'environnement de numérisation à chaque fois avant le début d'une nouvelle analyse. GuardDuty utilise une autorisation conditionnelle pour l'accès des opérateurs à l'environnement de numérisation, et chaque demande d'accès est examinée, approuvée et auditée.

Révision de l'état et du résultat de l'analyse des objets S3

GuardDuty publie l'événement du résultat de l'analyse des objets S3 dans le bus d'événements EventBridge par défaut d'Amazon. GuardDuty envoie également les mesures de numérisation telles que le nombre d'objets scannés et le nombre d'octets scannés à Amazon CloudWatch. Si vous avez activé le balisage, vous GuardDuty ajouterez la balise prédéfinie GuardDutyMalwareScanStatus et un résultat de numérisation potentiel en tant que valeur de balise.

Pour de plus amples informations, veuillez consulter Surveillance des scans d'objets S3 dans Malware Protection for S3.

Révision des résultats générés

L'examen des résultats dépend de l'utilisation ou non de Malware Protection for S3 avec GuardDuty. Réfléchissez aux scénarios suivants :

Utilisation de la protection contre les programmes malveillants pour S3 lorsque le GuardDuty service est activé (ID du détecteur)

Si l'analyse des programmes malveillants détecte un fichier potentiellement malveillant dans un objet S3, elle GuardDuty générera un résultat associé. Vous pouvez consulter les détails de la recherche et suivre les étapes recommandées pour éventuellement y remédier. En fonction de la fréquence de vos résultats d'exportation, les résultats générés sont exportés vers un compartiment S3 et un bus EventBridge d'événements.

Pour plus d'informations sur le type de recherche qui serait généré, consultezProtection contre les programmes malveillants pour le type de recherche S3.

Utilisation de Malware Protection pour S3 en tant que fonctionnalité indépendante (aucun identifiant de détecteur)

GuardDuty ne sera pas en mesure de générer des résultats car aucun identifiant de détecteur n'est associé. Pour connaître l'état de l'analyse des malwares sur les objets S3, vous pouvez consulter le résultat de l'analyse qui est GuardDuty automatiquement publié sur votre bus d'événements par défaut. Vous pouvez également consulter les CloudWatch mesures pour évaluer le nombre d'objets et d'octets qui GuardDuty ont été tentés de scanner. Vous pouvez configurer des CloudWatch alarmes pour être informé des résultats de l'analyse. Si vous avez activé le balisage des objets S3, vous pouvez également consulter l'état de l'analyse des programmes malveillants en vérifiant la clé de balise et la valeur de la GuardDutyMalwareScanStatus balise de résultat de l'analyse dans l'objet S3.

Pour plus d'informations sur l'état et le résultat de l'analyse des objets S3, consultezSurveillance des scans d'objets S3 dans Malware Protection for S3.