Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan Amazon S3 di Amazon GuardDuty
Perlindungan S3 membantu Amazon GuardDuty memantau peristiwa AWS CloudTrail data untuk Amazon Simple Storage Service (Amazon S3) yang menyertakan API operasi tingkat objek untuk mengidentifikasi potensi risiko keamanan data dalam bucket Amazon S3 Anda.
GuardDuty memantau peristiwa AWS CloudTrail manajemen dan peristiwa data AWS CloudTrail S3 untuk mengidentifikasi potensi ancaman di sumber daya Amazon S3 Anda. Kedua sumber data memantau berbagai jenis kegiatan. Contoh peristiwa CloudTrail manajemen untuk S3 mencakup operasi yang mencantumkan atau mengonfigurasi bucket Amazon S3, ListBuckets
sepertiDeleteBuckets
,, dan. PutBucketReplication
Contoh peristiwa CloudTrail data untuk S3 termasuk API operasi tingkat objek, seperti,, GetObject
ListObjects
, DeleteObject
dan. PutObject
Saat Anda mengaktifkan Amazon GuardDuty untuk Akun AWS, GuardDuty mulai memantau peristiwa CloudTrail manajemen. Anda tidak perlu mengaktifkan atau mengonfigurasi login peristiwa data S3 secara manual. AWS CloudTrail Anda dapat mengaktifkan fitur Perlindungan S3 (yang memantau peristiwa CloudTrail data untuk S3) untuk akun apa pun di Wilayah AWS mana pun fitur ini tersedia di Amazon GuardDuty, kapan saja. An Akun AWS yang telah diaktifkan GuardDuty, dapat mengaktifkan Perlindungan S3 untuk pertama kalinya dengan periode uji coba gratis 30 hari. Untuk Akun AWS yang memungkinkan GuardDuty untuk pertama kalinya, Perlindungan S3 sudah diaktifkan dan disertakan dalam uji coba gratis 30 hari ini. Untuk informasi selengkapnya, lihat Memperkirakan biaya GuardDuty .
Kami menyarankan Anda mengaktifkan Perlindungan S3 di GuardDuty. Jika fitur ini tidak diaktifkan, tidak GuardDuty akan dapat sepenuhnya memantau bucket Amazon S3 Anda atau menghasilkan temuan untuk akses mencurigakan ke data yang disimpan di bucket S3 Anda.
Bagaimana GuardDuty menggunakan peristiwa data S3
Saat Anda mengaktifkan peristiwa data S3 (Perlindungan S3), GuardDuty mulailah menganalisis peristiwa data S3 dari semua bucket S3 Anda, dan memantaunya untuk aktivitas berbahaya dan mencurigakan. Untuk informasi selengkapnya, lihat AWS CloudTrail peristiwa data untuk S3.
Ketika pengguna yang tidak diautentikasi mengakses objek S3, itu berarti bahwa objek S3 dapat diakses publik. Oleh karena itu, GuardDuty tidak memproses permintaan tersebut. GuardDuty memproses permintaan yang dibuat ke objek S3 dengan menggunakan kredensi valid IAM (AWS Identity and Access Management) atau AWS STS (AWS Security Token Service).
Ketika GuardDuty mendeteksi potensi ancaman berdasarkan pemantauan peristiwa data S3, itu menghasilkan temuan keamanan. Untuk informasi tentang jenis temuan yang GuardDuty dapat dihasilkan untuk bucket Amazon S3, lihat. GuardDuty Jenis temuan S3
Jika Anda menonaktifkan Perlindungan S3, GuardDuty menghentikan pemantauan peristiwa data S3 dari data yang disimpan di bucket S3 Anda.
Untuk akun yang terkait dengan AWS Organizations, proses ini dapat diotomatisasi melalui pengaturan konsol. Untuk informasi selengkapnya, lihat Mengkonfigurasi Perlindungan S3 di lingkungan beberapa akun.
Untuk mengaktifkan atau menonaktifkan Perlindungan S3
Pilih metode akses pilihan Anda untuk mengonfigurasi Perlindungan S3 untuk akun mandiri.
- Console
-
Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Perlindungan S3.
-
Halaman Perlindungan S3 memberikan status Perlindungan S3 saat ini untuk akun Anda. Pilih Aktifkan atau Nonaktifkan untuk mengaktifkan atau menonaktifkan Perlindungan S3 kapan saja.
Pilih Konfirmasi untuk mengonfirmasi pilihan Anda.
- API/CLI
-
-
Jalankan updateDetectordengan menggunakan ID detektor valid Anda untuk Wilayah saat ini dan meneruskan features
objek name
sebagai S3_DATA_EVENTS
disetel ke ENABLED
atau DISABLED
untuk mengaktifkan atau menonaktifkan Perlindungan S3, masing-masing.
Atau, Anda dapat menggunakan AWS Command Line Interface. Untuk mengaktifkan Perlindungan S3, jalankan perintah berikut dan pastikan untuk menggunakan ID detektor valid Anda sendiri.
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
Untuk menonaktifkan Perlindungan S3, ganti ENABLED
DISABLED
dengan contoh.
Mengkonfigurasi Perlindungan S3 di lingkungan beberapa akun
Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang didelegasikan yang memiliki opsi untuk mengonfigurasi (mengaktifkan atau menonaktifkan) Perlindungan S3 untuk akun anggota di organisasi mereka. AWS Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Akun GuardDuty administrator yang didelegasikan dapat memilih untuk mengaktifkan Perlindungan S3 secara otomatis di semua akun, hanya akun baru, atau tidak ada akun di organisasi. Untuk informasi selengkapnya, lihat Mengelola akun dengan AWS Organizations.
Pilih metode akses pilihan Anda untuk mengonfigurasi Perlindungan S3 untuk akun GuardDuty administrator yang didelegasikan.
- Console
-
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Pastikan untuk menggunakan kredensi akun manajemen.
-
Di panel navigasi, pilih Perlindungan S3.
-
Pada halaman Perlindungan S3, pilih Edit.
Lakukan salah satu hal berikut ini:
Menggunakan Aktifkan untuk semua akun
Menggunakan Konfigurasi akun secara manual
Untuk mengaktifkan paket perlindungan hanya untuk akun akun GuardDuty administrator yang didelegasikan, pilih Konfigurasi akun secara manual.
Pilih Aktifkan di bawah bagian akun GuardDuty administrator yang didelegasikan (akun ini).
Pilih Simpan.
- API/CLI
-
Jalankan updateDetectordengan menggunakan ID detektor akun GuardDuty administrator yang didelegasikan untuk Wilayah saat ini dan meneruskan features
objek name
sebagai S3_DATA_EVENTS
dan status
sebagaiENABLED
.
Atau, Anda dapat mengkonfigurasi Perlindungan S3 dengan menggunakan AWS Command Line Interface. Jalankan perintah berikut, dan pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0
dengan ID detektor dari akun GuardDuty administrator yang didelegasikan untuk Wilayah saat ini dan 555555555555
dengan Akun AWS ID akun GuardDuty administrator yang didelegasikan.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
- Console
-
-
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Masuk menggunakan akun akun administrator Anda.
Lakukan salah satu hal berikut ini:
Menggunakan halaman Perlindungan S3
Di panel navigasi, pilih Perlindungan S3.
Pilih Aktifkan untuk semua akun. Tindakan ini secara otomatis mengaktifkan Perlindungan S3 untuk akun yang ada dan baru di organisasi.
Pilih Simpan.
Mungkin diperlukan waktu hingga 24 jam untuk memperbarui konfigurasi akun anggota.
Menggunakan halaman Akun
Di panel navigasi, pilih Akun.
Pada halaman Akun, pilih Preferensi Aktifkan otomatis sebelum Tambahkan akun berdasarkan undangan.
Di jendela Kelola preferensi aktifkan otomatis, pilih Aktifkan untuk semua akun di bawah Perlindungan S3.
Pilih Simpan.
Jika Anda tidak dapat menggunakan opsi Aktifkan untuk semua akun, lihatAktifkan atau nonaktifkan Perlindungan S3 secara selektif di akun anggota.
- API/CLI
-
-
Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan milik Anda sendiri detector ID
.
-
Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0
dengan akun GuardDuty administrator detector-id
yang didelegasikan, dan 111122223333
. Untuk menonaktifkan Perlindungan S3, ganti ENABLED
denganDISABLED
.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.
-
Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts
akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.
Pilih metode akses pilihan Anda untuk mengaktifkan Perlindungan S3 untuk semua akun anggota aktif yang ada di organisasi Anda.
- Console
-
Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Masuk menggunakan kredensi akun GuardDuty administrator yang didelegasikan.
Di panel navigasi, pilih Perlindungan S3.
Pada halaman Perlindungan S3, Anda dapat melihat status konfigurasi saat ini. Di bawah bagian Akun anggota aktif, pilih Tindakan.
Dari menu tarik-turun Tindakan, pilih Aktifkan untuk semua akun anggota aktif yang ada.
Pilih Konfirmasi.
- API/CLI
-
-
Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan milik Anda sendiri detector ID
.
-
Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0
dengan akun GuardDuty administrator detector-id
yang didelegasikan, dan 111122223333
. Untuk menonaktifkan Perlindungan S3, ganti ENABLED
denganDISABLED
.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.
-
Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts
akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.
Pilih metode akses pilihan Anda untuk mengaktifkan Perlindungan S3 untuk akun baru yang bergabung dengan organisasi Anda.
- Console
-
Akun GuardDuty administrator yang didelegasikan dapat mengaktifkan akun anggota baru di organisasi melalui konsol, menggunakan halaman Perlindungan S3 atau Akun.
Untuk mengaktifkan Perlindungan S3 secara otomatis untuk akun anggota baru
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Pastikan untuk menggunakan kredensil akun GuardDuty administrator yang didelegasikan.
-
Lakukan salah satu hal berikut ini:
- API/CLI
-
-
Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan UpdateOrganizationConfigurationAPIoperasi menggunakan milik Anda sendiri detector ID
.
-
Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Untuk menonaktifkannya, lihatAktifkan atau nonaktifkan RDS Perlindungan untuk akun anggota secara selektif. Tetapkan preferensi untuk mengaktifkan atau menonaktifkan paket perlindungan secara otomatis di Wilayah tersebut untuk akun baru (NEW
) yang bergabung dengan organisasi, semua akun (ALL
), atau tidak ada akun (NONE
) di organisasi. Untuk informasi selengkapnya, lihat autoEnableOrganizationAnggota. Berdasarkan preferensi Anda, Anda mungkin perlu mengganti NEW
dengan ALL
atauNONE
.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW
"}]'
Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.
-
Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts
akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.
Pilih metode akses pilihan Anda untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota.
- Console
-
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Pastikan untuk menggunakan kredensil akun GuardDuty administrator yang didelegasikan.
-
Di panel navigasi, pilih Akun.
Pada halaman Akun, tinjau kolom Perlindungan S3 untuk status akun anggota Anda.
-
Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif
Pilih akun yang ingin Anda konfigurasikan Perlindungan S3. Anda dapat memilih beberapa akun sekaligus. Di menu dropdown Edit Protection Plans, pilih S3Pro, lalu pilih opsi yang sesuai.
- API/CLI
-
Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan ID detektor Anda sendiri. Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Untuk menonaktifkannya, ganti true
dengan false
.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 123456789012
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.
Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts
akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.
Jika Anda menggunakan skrip untuk mengaktifkan akun baru dan ingin menonaktifkan Perlindungan S3 di akun baru Anda, Anda dapat memodifikasi createDetectorAPIoperasi dengan dataSources
objek opsional seperti yang dijelaskan dalam topik ini.
Secara default, Perlindungan S3 diaktifkan secara otomatis untuk Akun AWS bergabung GuardDuty untuk pertama kalinya.
Jika Anda adalah akun GuardDuty administrator yang mengaktifkan GuardDuty untuk pertama kalinya pada akun baru dan tidak ingin Perlindungan S3 diaktifkan secara default, Anda dapat menonaktifkannya dengan memodifikasi createDetectorAPIoperasi dengan objek opsional. features
Contoh berikut menggunakan AWS CLI untuk mengaktifkan GuardDuty detektor baru dengan Perlindungan S3 dinonaktifkan.
aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'