Perlindungan Amazon S3 di Amazon GuardDuty - Amazon GuardDuty
Bagaimana GuardDuty menggunakan peristiwa data S3Mengkonfigurasi Perlindungan S3 untuk akun mandiriMengkonfigurasi Perlindungan S3 di lingkungan beberapa akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan Amazon S3 di Amazon GuardDuty

Perlindungan S3 membantu Amazon GuardDuty memantau peristiwa AWS CloudTrail data untuk Amazon Simple Storage Service (Amazon S3) yang menyertakan API operasi tingkat objek untuk mengidentifikasi potensi risiko keamanan data dalam bucket Amazon S3 Anda.

GuardDuty memantau peristiwa AWS CloudTrail manajemen dan peristiwa data AWS CloudTrail S3 untuk mengidentifikasi potensi ancaman di sumber daya Amazon S3 Anda. Kedua sumber data memantau berbagai jenis kegiatan. Contoh peristiwa CloudTrail manajemen untuk S3 mencakup operasi yang mencantumkan atau mengonfigurasi bucket Amazon S3, ListBuckets sepertiDeleteBuckets,, dan. PutBucketReplication Contoh peristiwa CloudTrail data untuk S3 termasuk API operasi tingkat objek, seperti,, GetObjectListObjects, DeleteObject dan. PutObject

Saat Anda mengaktifkan Amazon GuardDuty untuk Akun AWS, GuardDuty mulai memantau peristiwa CloudTrail manajemen. Anda tidak perlu mengaktifkan atau mengonfigurasi login peristiwa data S3 secara manual. AWS CloudTrail Anda dapat mengaktifkan fitur Perlindungan S3 (yang memantau peristiwa CloudTrail data untuk S3) untuk akun apa pun di Wilayah AWS mana pun fitur ini tersedia di Amazon GuardDuty, kapan saja. An Akun AWS yang telah diaktifkan GuardDuty, dapat mengaktifkan Perlindungan S3 untuk pertama kalinya dengan periode uji coba gratis 30 hari. Untuk Akun AWS yang memungkinkan GuardDuty untuk pertama kalinya, Perlindungan S3 sudah diaktifkan dan disertakan dalam uji coba gratis 30 hari ini. Untuk informasi selengkapnya, lihat Memperkirakan biaya GuardDuty .

Kami menyarankan Anda mengaktifkan Perlindungan S3 di GuardDuty. Jika fitur ini tidak diaktifkan, tidak GuardDuty akan dapat sepenuhnya memantau bucket Amazon S3 Anda atau menghasilkan temuan untuk akses mencurigakan ke data yang disimpan di bucket S3 Anda.

Bagaimana GuardDuty menggunakan peristiwa data S3

Saat Anda mengaktifkan peristiwa data S3 (Perlindungan S3), GuardDuty mulailah menganalisis peristiwa data S3 dari semua bucket S3 Anda, dan memantaunya untuk aktivitas berbahaya dan mencurigakan. Untuk informasi selengkapnya, lihat AWS CloudTrail peristiwa data untuk S3.

Ketika pengguna yang tidak diautentikasi mengakses objek S3, itu berarti bahwa objek S3 dapat diakses publik. Oleh karena itu, GuardDuty tidak memproses permintaan tersebut. GuardDuty memproses permintaan yang dibuat ke objek S3 dengan menggunakan kredensi valid IAM (AWS Identity and Access Management) atau AWS STS (AWS Security Token Service).

Ketika GuardDuty mendeteksi potensi ancaman berdasarkan pemantauan peristiwa data S3, itu menghasilkan temuan keamanan. Untuk informasi tentang jenis temuan yang GuardDuty dapat dihasilkan untuk bucket Amazon S3, lihat. GuardDuty Jenis temuan S3

Jika Anda menonaktifkan Perlindungan S3, GuardDuty menghentikan pemantauan peristiwa data S3 dari data yang disimpan di bucket S3 Anda.

Mengkonfigurasi Perlindungan S3 untuk akun mandiri

Untuk akun yang terkait dengan AWS Organizations, proses ini dapat diotomatisasi melalui pengaturan konsol. Untuk informasi selengkapnya, lihat Mengkonfigurasi Perlindungan S3 di lingkungan beberapa akun.

Untuk mengaktifkan atau menonaktifkan Perlindungan S3

Pilih metode akses pilihan Anda untuk mengonfigurasi Perlindungan S3 untuk akun mandiri.

Console

  1. Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Perlindungan S3.

  3. Halaman Perlindungan S3 memberikan status Perlindungan S3 saat ini untuk akun Anda. Pilih Aktifkan atau Nonaktifkan untuk mengaktifkan atau menonaktifkan Perlindungan S3 kapan saja.

  4. Pilih Konfirmasi untuk mengonfirmasi pilihan Anda.

API/CLI

  1. Jalankan updateDetectordengan menggunakan ID detektor valid Anda untuk Wilayah saat ini dan meneruskan features objek name sebagai S3_DATA_EVENTS disetel ke ENABLED atau DISABLED untuk mengaktifkan atau menonaktifkan Perlindungan S3, masing-masing.

    catatan

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

  2. Atau, Anda dapat menggunakan AWS Command Line Interface. Untuk mengaktifkan Perlindungan S3, jalankan perintah berikut dan pastikan untuk menggunakan ID detektor valid Anda sendiri. 

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

    Untuk menonaktifkan Perlindungan S3, ganti ENABLED DISABLED dengan contoh.

Mengkonfigurasi Perlindungan S3 di lingkungan beberapa akun

Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang didelegasikan yang memiliki opsi untuk mengonfigurasi (mengaktifkan atau menonaktifkan) Perlindungan S3 untuk akun anggota di organisasi mereka. AWS Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Akun GuardDuty administrator yang didelegasikan dapat memilih untuk mengaktifkan Perlindungan S3 secara otomatis di semua akun, hanya akun baru, atau tidak ada akun di organisasi. Untuk informasi selengkapnya, lihat Mengelola akun dengan AWS Organizations.

Pilih metode akses pilihan Anda untuk mengonfigurasi Perlindungan S3 untuk akun GuardDuty administrator yang didelegasikan.

Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Pastikan untuk menggunakan kredensi akun manajemen.

  2. Di panel navigasi, pilih Perlindungan S3.

  3. Pada halaman Perlindungan S3, pilih Edit.

  4. Lakukan salah satu hal berikut ini:

    Menggunakan Aktifkan untuk semua akun

    • Pilih Aktifkan untuk semua akun. Ini akan memungkinkan rencana perlindungan untuk semua GuardDuty akun aktif di AWS organisasi Anda, termasuk akun baru yang bergabung dengan organisasi.

    • Pilih Simpan.

    Menggunakan Konfigurasi akun secara manual

    • Untuk mengaktifkan paket perlindungan hanya untuk akun akun GuardDuty administrator yang didelegasikan, pilih Konfigurasi akun secara manual.

    • Pilih Aktifkan di bawah bagian akun GuardDuty administrator yang didelegasikan (akun ini).

    • Pilih Simpan.

API/CLI

Jalankan updateDetectordengan menggunakan ID detektor akun GuardDuty administrator yang didelegasikan untuk Wilayah saat ini dan meneruskan features objek name sebagai S3_DATA_EVENTS dan status sebagaiENABLED.

Atau, Anda dapat mengkonfigurasi Perlindungan S3 dengan menggunakan AWS Command Line Interface. Jalankan perintah berikut, dan pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0 dengan ID detektor dari akun GuardDuty administrator yang didelegasikan untuk Wilayah saat ini dan 555555555555 dengan Akun AWS ID akun GuardDuty administrator yang didelegasikan.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Masuk menggunakan akun akun administrator Anda.

  2. Lakukan salah satu hal berikut ini:

    Menggunakan halaman Perlindungan S3

    1. Di panel navigasi, pilih Perlindungan S3.

    2. Pilih Aktifkan untuk semua akun. Tindakan ini secara otomatis mengaktifkan Perlindungan S3 untuk akun yang ada dan baru di organisasi.

    3. Pilih Simpan.

      catatan

      Mungkin diperlukan waktu hingga 24 jam untuk memperbarui konfigurasi akun anggota.

    Menggunakan halaman Akun

    1. Di panel navigasi, pilih Akun.

    2. Pada halaman Akun, pilih Preferensi Aktifkan otomatis sebelum Tambahkan akun berdasarkan undangan.

    3. Di jendela Kelola preferensi aktifkan otomatis, pilih Aktifkan untuk semua akun di bawah Perlindungan S3.

    4. Pilih Simpan.

    Jika Anda tidak dapat menggunakan opsi Aktifkan untuk semua akun, lihatAktifkan atau nonaktifkan Perlindungan S3 secara selektif di akun anggota.

API/CLI

  • Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan milik Anda sendiri detector ID.

  • Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0 dengan akun GuardDuty administrator detector-id yang didelegasikan, dan 111122223333. Untuk menonaktifkan Perlindungan S3, ganti ENABLED denganDISABLED.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    catatan

    Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.

  • Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pilih metode akses pilihan Anda untuk mengaktifkan Perlindungan S3 untuk semua akun anggota aktif yang ada di organisasi Anda.

Console

  1. Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Masuk menggunakan kredensi akun GuardDuty administrator yang didelegasikan.

  2. Di panel navigasi, pilih Perlindungan S3.

  3. Pada halaman Perlindungan S3, Anda dapat melihat status konfigurasi saat ini. Di bawah bagian Akun anggota aktif, pilih Tindakan.

  4. Dari menu tarik-turun Tindakan, pilih Aktifkan untuk semua akun anggota aktif yang ada.

  5. Pilih Konfirmasi.

API/CLI

  • Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan milik Anda sendiri detector ID.

  • Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Pastikan untuk mengganti 12abc34d567e8fa901bc2d34e56789f0 dengan akun GuardDuty administrator detector-id yang didelegasikan, dan 111122223333. Untuk menonaktifkan Perlindungan S3, ganti ENABLED denganDISABLED.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    catatan

    Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.

  • Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pilih metode akses pilihan Anda untuk mengaktifkan Perlindungan S3 untuk akun baru yang bergabung dengan organisasi Anda.

Console

Akun GuardDuty administrator yang didelegasikan dapat mengaktifkan akun anggota baru di organisasi melalui konsol, menggunakan halaman Perlindungan S3 atau Akun.

Untuk mengaktifkan Perlindungan S3 secara otomatis untuk akun anggota baru

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Pastikan untuk menggunakan kredensil akun GuardDuty administrator yang didelegasikan.

  2. Lakukan salah satu hal berikut ini:

    • Menggunakan halaman Perlindungan S3:

      1. Di panel navigasi, pilih Perlindungan S3.

      2. Pada halaman Perlindungan S3, pilih Edit.

      3. Pilih Konfigurasikan akun secara manual.

      4. Pilih Aktifkan secara otomatis untuk akun anggota baru. Langkah ini memastikan bahwa setiap kali akun baru bergabung dengan organisasi Anda, Perlindungan S3 akan diaktifkan secara otomatis untuk akun mereka. Hanya akun GuardDuty administrator yang didelegasikan organisasi yang dapat mengubah konfigurasi ini.

      5. Pilih Simpan.

    • Menggunakan halaman Akun:

      1. Di panel navigasi, pilih Akun.

      2. Pada halaman Akun, pilih Preferensi Aktifkan otomatis.

      3. Di jendela Kelola preferensi aktifkan otomatis, pilih Aktifkan untuk akun baru di bawah Perlindungan S3.

      4. Pilih Simpan.

API/CLI

  • Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan UpdateOrganizationConfigurationAPIoperasi menggunakan milik Anda sendiri detector ID.

  • Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Untuk menonaktifkannya, lihatAktifkan atau nonaktifkan RDS Perlindungan untuk akun anggota secara selektif. Tetapkan preferensi untuk mengaktifkan atau menonaktifkan paket perlindungan secara otomatis di Wilayah tersebut untuk akun baru (NEW) yang bergabung dengan organisasi, semua akun (ALL), atau tidak ada akun (NONE) di organisasi. Untuk informasi selengkapnya, lihat autoEnableOrganizationAnggota. Berdasarkan preferensi Anda, Anda mungkin perlu mengganti NEW dengan ALL atauNONE.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
    catatan

    Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.

  • Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pilih metode akses pilihan Anda untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota.

Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Pastikan untuk menggunakan kredensil akun GuardDuty administrator yang didelegasikan.

  2. Di panel navigasi, pilih Akun.

    Pada halaman Akun, tinjau kolom Perlindungan S3 untuk status akun anggota Anda.

  3. Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif

    Pilih akun yang ingin Anda konfigurasikan Perlindungan S3. Anda dapat memilih beberapa akun sekaligus. Di menu dropdown Edit Protection Plans, pilih S3Pro, lalu pilih opsi yang sesuai.

API/CLI

Untuk mengaktifkan atau menonaktifkan Perlindungan S3 secara selektif untuk akun anggota Anda, jalankan updateMemberDetectorsAPIoperasi menggunakan ID detektor Anda sendiri. Contoh berikut menunjukkan bagaimana Anda dapat mengaktifkan Perlindungan S3 untuk satu akun anggota. Untuk menonaktifkannya, ganti true dengan false.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
catatan

Anda juga dapat melewati daftar akun yang IDs dipisahkan oleh spasi.

Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

catatan

Jika Anda menggunakan skrip untuk mengaktifkan akun baru dan ingin menonaktifkan Perlindungan S3 di akun baru Anda, Anda dapat memodifikasi createDetectorAPIoperasi dengan dataSources objek opsional seperti yang dijelaskan dalam topik ini.

penting

Secara default, Perlindungan S3 diaktifkan secara otomatis untuk Akun AWS bergabung GuardDuty untuk pertama kalinya.

Jika Anda adalah akun GuardDuty administrator yang mengaktifkan GuardDuty untuk pertama kalinya pada akun baru dan tidak ingin Perlindungan S3 diaktifkan secara default, Anda dapat menonaktifkannya dengan memodifikasi createDetectorAPIoperasi dengan objek opsional. features Contoh berikut menggunakan AWS CLI untuk mengaktifkan GuardDuty detektor baru dengan Perlindungan S3 dinonaktifkan. 

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'