Malware Protection for S3 の仕組み - Amazon GuardDuty
概要IAM PassRole アクセス許可スキャン結果に基づくオブジェクトのオプションのタグ付けバケットの S3 の Malware Protection を有効にした後Malware Protection for S3 の機能

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for S3 の仕組み

このセクションでは、Malware Protection for S3 の仕組みを理解するのに役立つコンポーネントについて説明します。

概要

独自の に属する Amazon S3 バケットに対して Malware Protection for S3 を有効にできます AWS アカウント。 GuardDuty では、この機能をバケット全体で有効にしたり、マルウェアスキャンの範囲を、選択したプレフィックスのいずれかで始まるアップロードされた各オブジェクトを が GuardDuty スキャンする特定のオブジェクトプレフィックスに制限したりできます。 Amazon S3 最大 5 つのプレフィックスを追加できます。S3 バケットに対してこの機能を有効にすると、そのバケットは保護されたバケット と呼ばれます。

IAM PassRole アクセス許可

Malware Protection for S3 は、 IAM PassRole がユーザーに代わってマルウェアスキャンアクションを実行 GuardDuty することを許可する を使用します。これらのアクションには、選択したバケットに新しくアップロードされたオブジェクトの通知、それらのオブジェクトのスキャン、およびオプションでスキャンされたオブジェクトへのタグの追加が含まれます。これは、この機能で S3 バケットを設定する前提条件です。

既存のIAMロールを更新するか、この目的のために新しいロールを作成するかを選択できます。複数のバケットに対して Malware Protection for S3 を有効にすると、必要に応じて既存のIAMロールを更新して他のバケット名を含めることができます。詳細については、「前提条件 - IAM PassRole ポリシーを作成または更新する」を参照してください。

スキャン結果に基づくオブジェクトのオプションのタグ付け

バケットで Malware Protection for S3 を有効にするときに、スキャンされた S3 オブジェクトのタグ付けを有効にするオプションの手順があります。には、スキャン後にオブジェクトにタグを追加するアクセス許可がIAM PassRole 既に含まれています。ただし、 GuardDuty は、セットアップ時にこのオプションを有効にした場合にのみタグを追加します。

オブジェクトをアップロードする前に、このオプションを有効にする必要があります。スキャンが終了すると、 は、次のキーと値のペアを使用して、スキャンされた S3 オブジェクトに事前定義されたタグ GuardDuty を追加します。

GuardDutyMalwareScanStatus:Potential scan result

潜在的なスキャン結果タグ値には、NO_THREATS_FOUNDTHREATS_FOUNDUNSUPPORTEDACCESS_DENIED、および が含まれますFAILED。これらの値の詳細については、S3 object potential scan result value を参照してください。

タグ付けを有効にすることは、S3 オブジェクトのスキャン結果を知る方法の 1 つです。これらのタグをさらに使用して、タグベースのアクセスコントロール (TBAC) S3 リソースポリシーを追加することで、潜在的に悪意のあるオブジェクトに対してアクションを実行できます。詳細については、「S3 バケットリソースへの TBAC の追加」を参照してください。

バケットの Malware Protection for S3 を設定するときに、タグ付けを有効にすることをお勧めします。オブジェクトがアップロードされ、スキャンが開始された後にタグ付けを有効にすると、 はスキャンされたオブジェクトにタグを追加 GuardDuty できなくなります。関連する S3 オブジェクトのタグ付けコストについては、「」を参照してくださいMalware Protection for S3 の料金

バケットの S3 の Malware Protection を有効にした後

Malware Protection for S3 を有効にすると、Malware Protection プランリソースは選択した S3 バケットに対してのみ作成されます。このリソースは、保護されたリソースの一意の識別子である Malware Protection プラン ID に関連付けられます。アクセスIAM許可のいずれかを使用することで、 GuardDuty は の名前で EventBridge マネージドルールを作成および管理しますDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*

データ保護のためのガードレール

Malware Protection for S3 は Amazon EventBridge 通知をリッスンします。オブジェクトが選択したバケットまたはプレフィックスのいずれかにアップロードされると、 は を使用して S3 バケットからそのオブジェクト GuardDuty をダウンロードAWS PrivateLinkし、同じリージョン内の分離された環境でオブジェクトを読み取り、復号、スキャンします。スキャン環境は、インターネットにアクセスできないロックされた仮想プライベートクラウド (VPC) で実行されます。VPC は、 AWS が所有する許可リストに登録されたドメインへの通信のみを許可する DNS Firewall ルールグループにアタッチされます。スキャンの期間中、 はダウンロードした S3 オブジェクトを AWS Key Management Service (AWS KMS) キーで暗号化されたスキャン環境に GuardDuty 一時的に保存します。マルウェアスキャンが完了すると、 はスキャンメタデータをスキャンステータスで GuardDuty 処理し、ダウンロードしたオブジェクトのコピーを削除します。

GuardDuty は、新しいスキャンが始まる前に毎回スキャン環境をクリーンアップします。 は、スキャン環境へのオペレータアクセスに対する条件付き認証 GuardDuty を使用し、すべてのアクセスリクエストがレビュー、承認、監査されます。

S3 オブジェクトのスキャン結果を表示する

GuardDuty は、S3 オブジェクトスキャン結果イベントを Amazon の EventBridge デフォルトイベントバスに発行します。 GuardDuty は、スキャンされたオブジェクトの数やスキャンされたバイト数などのスキャンメトリクスも Amazon に送信します CloudWatch。タグ付けを有効にした場合、 GuardDuty は事前定義されたタグGuardDutyMalwareScanStatusと潜在的なスキャン結果をタグ値として追加します。

詳細については、「S3 オブジェクトスキャンステータスのモニタリング」を参照してください。

GuardDuty サービスが有効になっている場合の S3 の Malware Protection の使用 (ディテクター ID)

マルウェアスキャンで S3 オブジェクト内の潜在的に悪意のあるファイルが検出されると、 GuardDuty は関連する検出結果を生成します。検出結果の詳細を表示し、推奨されるステップを使用して検出結果を修正できます。検出結果のエクスポート頻度 に基づいて、生成された検出結果は S3 バケットと EventBridge イベントバスにエクスポートされます。

Malware Protection for S3 を独立した機能として使用する (ディテクター ID なし)

GuardDuty に関連付けられたディテクター ID がないため、 は検出結果を生成できません。S3 オブジェクトのマルウェアスキャンステータスを知るには、 がデフォルトのイベントバス GuardDuty に自動的に発行するスキャン結果を表示できます。 CloudWatch メトリクスを表示して、スキャンを試み GuardDuty たオブジェクトとバイト数を評価することもできます。 CloudWatch アラームを設定して、スキャン結果に関する通知を受け取ることができます。S3 オブジェクトのタグ付けを有効にしている場合は、S3 オブジェクトでGuardDutyMalwareScanStatusタグキーとスキャン結果タグ値を確認することで、マルウェアスキャンのステータスを表示することもできます。

Malware Protection for S3 の機能

次のリストは、バケットで Malware Protection for S3 を有効にした後に期待または実行できることの概要を示しています。

  • スキャン対象の選択 — 選択した S3 バケットに関連付けられているすべてのプレフィックスまたは特定のプレフィックス (最大 5 つ) にアップロードされたファイルをスキャンします。

  • アップロードされたオブジェクトの自動スキャン – バケットに対して Malware Protection for S3 を有効にすると、 は自動的にスキャンを開始し、新しくアップロードされたオブジェクト内の潜在的なマルウェアを検出 GuardDuty します。

  • /、API AWS CLIまたは を使用してコンソールから を有効にする AWS CloudFormation – Malware Protection for S3 を有効にする任意の方法を選択します。

    Terraform などの Infrastructure as Code (IaC) プラットフォームを使用して、S3 の Malware Protection を有効にできます。詳細については、「リソース:aws_guardduty_malware_protection_plan」を参照してください。

  • スキャンされた S3 オブジェクトのタグ付けをサポート (オプション) — マルウェアスキャンのたびに、アップロードされた S3 オブジェクトのスキャンステータスを示すタグ GuardDuty が追加されます。このタグを使用して、S3 オブジェクトのタグベースのアクセスコントロール (TBAC) を設定できます。例えば、悪意のあることが判明し、タグ値が である S3 オブジェクトへのアクセスを制限できますTHREATS_FOUND

  • Amazon EventBridge 通知 – EventBridge ルールを設定すると、S3 マルウェアスキャンのステータスに関する通知が送信されます。

    EventBridge メンバーアカウントが自分のアカウントに属する Amazon S3 バケットに対してこの保護を有効にすると、委任 GuardDuty 管理者アカウントに通知が送信されます。

  • CloudWatch metrics – GuardDuty コンソールに埋め込まれたメトリクスを表示します。これらのメトリクスには、S3 オブジェクトに関する詳細が含まれます。

も有効にすると GuardDuty、S3 オブジェクトに悪意のある可能性のあるファイルが含まれていると識別されたときに、セキュリティ検出結果を受け取ります。生成された検出結果を修正するのに役立つ手順 GuardDuty を推奨します。