Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione Amazon S3 su Amazon GuardDuty
S3 Protection aiuta Amazon a GuardDuty monitorare gli eventi AWS CloudTrail relativi ai dati per Amazon Simple Storage Service (Amazon S3) che includono API operazioni a livello di oggetto per identificare potenziali rischi per la sicurezza dei dati all'interno dei bucket Amazon S3.
GuardDuty monitora sia gli eventi di AWS CloudTrail gestione che gli eventi relativi ai dati AWS CloudTrail S3 per identificare potenziali minacce nelle tue risorse Amazon S3. Le due origini dati monitorano diversi tipi di attività. Esempi di eventi di CloudTrail gestione per S3 includono operazioni che elencano o configurano i bucket Amazon S3, ListBuckets
comeDeleteBuckets
, e. PutBucketReplication
Esempi di eventi CloudTrail relativi ai dati per S3 includono API operazioni a livello di oggetto, come,, e. GetObject
ListObjects
DeleteObject
PutObject
Quando abiliti Amazon GuardDuty for an Account AWS, GuardDuty inizia a monitorare gli eventi CloudTrail di gestione. Non è necessario abilitare o configurare manualmente la registrazione degli eventi relativi ai dati S3. AWS CloudTrail Puoi abilitare la funzionalità S3 Protection (che monitora gli eventi CloudTrail relativi ai dati per S3) per qualsiasi account in qualsiasi Regione AWS luogo in cui questa funzionalità è disponibile in Amazon GuardDuty, in qualsiasi momento. Se è Account AWS già abilitata GuardDuty, puoi abilitare S3 Protection per la prima volta con un periodo di prova gratuito di 30 giorni. Per una versione Account AWS che viene abilitata GuardDuty per la prima volta, S3 Protection è già abilitata e inclusa in questa prova gratuita di 30 giorni. Per ulteriori informazioni, consulta Stima dei costi GuardDuty .
Ti consigliamo di abilitare S3 Protection in. GuardDuty Se questa funzionalità non è abilitata, non GuardDuty sarà possibile monitorare completamente i bucket Amazon S3 o generare rilevazioni di accessi sospetti ai dati archiviati nei bucket S3.
Come vengono utilizzati gli eventi relativi ai dati di S3 GuardDuty
Quando abiliti gli eventi relativi ai dati S3 (S3 Protection), GuardDuty inizia ad analizzare gli eventi relativi ai dati S3 provenienti da tutti i bucket S3 e li monitora per rilevare eventuali attività dannose e sospette. Per ulteriori informazioni, consulta AWS CloudTrail eventi relativi ai dati per S3.
Quando un utente non autenticato accede a un oggetto S3, significa che l'oggetto S3 è accessibile pubblicamente. Pertanto, GuardDuty non elabora tali richieste. GuardDuty elabora le richieste fatte agli oggetti S3 utilizzando credenziali valide IAM (AWS Identity and Access Management) o AWS STS (AWS Security Token Service).
Quando GuardDuty rileva una potenziale minaccia basata sul monitoraggio degli eventi relativi ai dati di S3, genera un risultato di sicurezza. Per informazioni sui tipi di risultati che è GuardDuty possibile generare per i bucket Amazon S3, consulta. GuardDuty Tipi di ricerca S3
Se disabiliti S3 Protection, GuardDuty interrompe il monitoraggio degli eventi relativi ai dati archiviati nei bucket S3 di S3.
Per gli account associati da AWS Organizations, questo processo può essere automatizzato tramite le impostazioni della console. Per ulteriori informazioni, consulta Configurazione della Protezione S3 in ambienti con più account.
Per abilitare o disabilitare la Protezione S3
Scegli il metodo di accesso che preferisci per configurare la Protezione S3 per un account autonomo.
- Console
-
Accedi a AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
-
Nel riquadro di navigazione, scegli Protezione S3.
-
La pagina Protezione S3 fornisce lo stato attuale della Protezione S3 per il tuo account. Scegli Abilita o Disabilita per abilitare o disabilitare in qualsiasi momento la Protezione S3.
Scegli Conferma per confermare la selezione.
- API/CLI
-
-
Esegui updateDetector utilizzando l'ID rilevatore valido per la regione attuale e impostando il name
dell'oggetto features
da S3_DATA_EVENTS
a ENABLED
o DISABLED
rispettivamente per abilitare o disabilitare la Protezione S3.
In alternativa, puoi usare AWS Command Line Interface. Per abilitare la Protezione S3, esegui il comando seguente e assicurati di utilizzare il tuo ID rilevatore valido.
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
Per disabilitare la Protezione S3, sostituisci ENABLED
con DISABLED
nell'esempio.
Configurazione della Protezione S3 in ambienti con più account
In un ambiente con più account, solo l'account GuardDuty amministratore delegato ha la possibilità di configurare (abilitare o disabilitare) S3 Protection per gli account dei membri della propria organizzazione. AWS GuardDuty Gli account membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. L'account GuardDuty amministratore delegato può scegliere di abilitare automaticamente S3 Protection su tutti gli account, solo sui nuovi account o su nessun account dell'organizzazione. Per ulteriori informazioni, consulta Gestione degli account con AWS Organizations.
Scegli il metodo di accesso preferito per configurare S3 Protection per l'account amministratore delegato. GuardDuty
- Console
-
Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/
Assicurati di utilizzare le credenziali dell'account di gestione.
-
Nel riquadro di navigazione, scegli Protezione S3.
-
Nella pagina Protezione S3, scegli Modifica.
Esegui una di queste operazioni:
Utilizzando Abilita per tutti gli account
Utilizzando Configura gli account manualmente
Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.
Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).
Selezionare Salva.
- API/CLI
-
Esegui updateDetectorutilizzando l'ID del rilevatore dell'account GuardDuty amministratore delegato per la regione corrente e passando l'features
oggetto di tanto in name
tantoS3_DATA_EVENTS
. status
ENABLED
In alternativa, puoi configurare S3 Protection utilizzando. AWS Command Line Interface Esegui il comando seguente e assicurati di sostituirlo 12abc34d567e8fa901bc2d34e56789f0
con l'ID del rilevatore dell'account GuardDuty amministratore delegato per la regione corrente e 555555555555
con l' Account AWS ID dell'account amministratore delegato. GuardDuty
Per trovare l'detectorId
account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
- Console
-
-
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Accedi utilizzando il tuo account amministratore.
Esegui una di queste operazioni:
Utilizzando la pagina Protezione S3
Nel riquadro di navigazione, scegli Protezione S3.
Scegli Abilita per tutti gli account. Questa operazione abilita automaticamente la Protezione S3 per gli account dell'organizzazione esistenti e per quelli nuovi.
Selezionare Salva.
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
Utilizzando la pagina Account
Dal riquadro di navigazione, selezionare Accounts (Account).
Nella pagina Account, scegli le preferenze di Abilitazione automatica, quindi Aggiungi account tramite invito.
Nella finestra Gestisci le preferenze di abilitazione automatica, scegli Abilita per tutti gli account in Protezione S3.
Selezionare Salva.
Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilitare o disabilitare in modo selettivo la Protezione S3 negli account membri.
- API/CLI
-
-
Per abilitare o disabilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'updateMemberDetectorsAPIoperazione utilizzando il tuo detector ID
.
-
L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Assicurati di sostituire 12abc34d567e8fa901bc2d34e56789f0
con detector-id
l'account GuardDuty amministratore delegato e 111122223333
. Per disabilitare S3 Protection, sostituisci ENABLED
conDISABLED
.
Per trovare le detectorId
impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
Puoi anche passare un elenco di account IDs separati da uno spazio.
-
Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts
. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.
Scegli il metodo di accesso che preferisci per abilitare la Protezione S3 per tutti gli account membri attivi esistenti dell'organizzazione.
- Console
-
Accedi a AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.
Nel riquadro di navigazione, scegli Protezione S3.
Nella pagina Protezione S3, puoi visualizzare lo stato attuale della configurazione. Nella sezione Account membri attivi, scegli Operazioni.
Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.
Scegli Conferma.
- API/CLI
-
-
Per abilitare o disabilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'operazione utilizzando le tue updateMemberDetectorsAPI detector ID
.
-
L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Assicurati di sostituire 12abc34d567e8fa901bc2d34e56789f0
con detector-id
l'account GuardDuty amministratore delegato e 111122223333
. Per disabilitare S3 Protection, sostituisci ENABLED
conDISABLED
.
Per trovare le detectorId
impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
Puoi anche passare un elenco di account IDs separati da uno spazio.
-
Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts
. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.
Scegli il metodo di accesso che preferisci per abilitare la Protezione S3 per i nuovi account che entrano a far parte dell'organizzazione.
- Console
-
L'account GuardDuty amministratore delegato può abilitare nuovi account membro in un'organizzazione tramite la console, utilizzando la pagina S3 Protection o Account.
Per abilitare automaticamente la Protezione S3 per i nuovi account membri
Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/
Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.
-
Esegui una di queste operazioni:
- API/CLI
-
-
Per abilitare o disabilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'operazione utilizzando il UpdateOrganizationConfigurationAPItuo detector ID
.
-
L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Per disabilitarla, consulta Abilita o disabilita in modo selettivo RDS la protezione per gli account dei membri. Imposta le preferenze in modo da abilitare o disabilitare automaticamente il piano di protezione in una determinata regione per i nuovi account che entrano a far parte dell'organizzazione (NEW
), per tutti gli account (ALL
) o per nessuno degli account dell'organizzazione (NONE
). Per ulteriori informazioni, consulta Membri. autoEnableOrganization In base alle tue preferenze, potrebbe essere necessario sostituire NEW
con ALL
o NONE
.
Per trovare le detectorId
informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW
"}]'
Puoi anche passare un elenco di account IDs separati da uno spazio.
-
Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts
. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.
Scegli il metodo di accesso che preferisci per abilitare o disabilitare in modo selettivo la Protezione S3 per gli account membri.
- Console
-
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.
-
Dal riquadro di navigazione, selezionare Accounts (Account).
Nella pagina Account, consulta la colonna Protezione S3 per visualizzare lo stato del tuo account membro.
-
Per abilitare o disabilitare in modo selettivo la Protezione S3
Seleziona l'account per il quale desideri configurare la Protezione S3. Puoi selezionare più account alla volta. Nel menu a discesa Modifica piani di protezione, scegli S3Pro, quindi scegli l'opzione appropriata.
- API/CLI
-
Per abilitare o disabilitare in modo selettivo S3 Protection per i tuoi account membro, esegui l'updateMemberDetectorsAPIoperazione utilizzando il tuo ID di rilevamento. L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Per disabilitarla, sostituisci true
con false
.
Per trovare il codice detectorId
relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il. ListDetectorsAPI
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 123456789012
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
Puoi anche passare un elenco di account IDs separati da uno spazio.
Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts
. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.
Se utilizzi script per inserire nuovi account e desideri disabilitare S3 Protection nei nuovi account, puoi modificare l'createDetectorAPIoperazione con l'dataSources
oggetto opzionale come descritto in questo argomento.
Per impostazione predefinita, S3 Protection è abilitata automaticamente per Account AWS quel join GuardDuty per la prima volta.
Se sei un account GuardDuty amministratore che abilita GuardDuty per la prima volta un nuovo account e non desideri che S3 Protection sia abilitato per impostazione predefinita, puoi disabilitarlo modificando l'createDetectorAPIoperazione con l'oggetto opzionale. features
L'esempio seguente utilizza AWS CLI per abilitare un nuovo GuardDuty rilevatore con la protezione S3 disabilitata.
aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'