Monitoramento de verificações de objetos do S3 com o Amazon EventBridge

O Amazon EventBridge é uma tecnologia sem servidor de barramento de eventos que facilita a conexão de aplicações a dados de diversas origens. O EventBridge fornece um fluxo de dados em tempo real de suas próprias aplicações, de aplicações de software como serviço (SaaS) e de serviços da AWS, e roteia esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o Guia do Usuário do Amazon EventBridge.

Como conta do proprietário de um bucket do S3 protegido com o Proteção contra Malware para S3, o GuardDuty publica notificações do EventBridge no barramento de eventos padrão nos seguintes cenários:

Alterações no status dos recursos do plano de proteção contra malware para qualquer um dos seus buckets protegidos. Para obter mais informações sobre vários status, consulte Status do recurso do plano de proteção contra malware.

Para configurar a regra do Amazon EventBridge (EventBridge) para o status do recurso, consulte. Status do recurso do plano de proteção contra malware
O resultado da verificação de objetos do S3 é publicado no seu barramento de eventos padrão do EventBridge.

O campo s3Throttled indica se houve ou não um atraso no upload ou na recuperação do armazenamento dos Amazon S3. O valor true indica que houve um atraso e false indica que não houve atraso.

Se s3Throttled for true para o resultado da verificação, o Amazon S3 recomenda configurar prefixos de uma forma que ajude a reduzir as transações por segundo (TPS) para cada prefixo. Para obter mais informações, consulte Padrões de Design de Práticas Recomendadas: Otimizando a Performance do Amazon S3 no Guia de Usuário do Amazon S3.

Para configurar a regra do Amazon EventBridge (EventBridge) para os resultados da verificação do objeto S3, consulte Resultado da verificação de objetos do S3.
Há um evento de falha na etiqueta pós-verificação devido aos seguintes motivos:
- Seu perfil do IAM não tem permissões para marcar o objeto.
  
  O modelo Adicionar permissões de política do IAM inclui a permissão para o GuardDuty marcar um objeto.
- O recurso ou objeto do bucket especificado no perfil do IAM não existe mais.
- O objeto S3 associado já atingiu o limite máximo de marcações. Para obter informações, sobre o limite de marcações, consulte Categorizando o armazenamento usando marcações no Guia do usuário do Amazon S3.
Para configurar a regra do Amazon EventBridge (EventBridge) para os eventos de falha da marcação pós-verificação, consulte. Eventos de falha da marcação pós-verificação

Configurar regras do EventBridge

Você pode configurar as regras do EventBridge em sua conta para enviar o status do recurso, os eventos de falha da marcação pós-verificação ou o resultado da verificação de objetos do S3 para outra pessoa. AWS service (Serviço da AWS) Como conta delegada de administrador do GuardDuty, você receberá a notificação de status do recurso do plano de Proteção contra Malware quando houver uma alteração no status.

Os preços padrão do EventBridge serão aplicados. Para obter mais informações, consulte Preços do Amazon EventBridge.

Todos os valores que aparecem em vermelho são espaços reservados para o exemplo. Esses valores mudarão com base nos valores da sua conta e na detecção ou não de malware.

Tópicos

Status do recurso do plano de proteção contra malware
Resultado da verificação de objetos do S3
Eventos de falha da marcação pós-verificação

Status do recurso do plano de proteção contra malware

Você pode criar um padrão de evento do EventBridge com base nos seguintes cenários:

Valores `detail-type`potenciais

"GuardDuty Malware Protection Resource Status Active"
"GuardDuty Malware Protection Resource Status Warning"
"GuardDuty Malware Protection Resource Status Error"

Padrão de evento


{
      "detail-type": ["potential detail-type"],
      "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Active:


{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status Active",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ACTIVE"
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Warning:


{
    "version": "0",
    "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
    "detail-type": "GuardDuty Malware Protection Resource Status warning",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "WARNING",
        "statusReasons": [
         {
            "code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
         }
        ]
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para GuardDuty Malware Protection Resource Status Error:


{
    "version": "0",
    "id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
    "detail-type": "GuardDuty Malware Protection Resource Status Error",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2017-12-22T18:43:48Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-02-28T01:01:01Z",
        "s3BucketDetails": {
            "bucketName": "amzn-s3-demo-bucket"
        },
        "resourceStatus": "ERROR",
        "statusReasons": [
        {
            "code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
        }
       ]
    }
}

Mostrar mais

Mostrar menos

Com base no motivo por trás do resourceStatusERROR, o statusReasons valor será preenchido.

Para obter informações sobre as etapas de solução de problemas dos seguintes avisos e erros, consulteSolução de problemas do status do plano de proteção contra malware.

Resultado da verificação de objetos do S3


{
  "detail-type": ["GuardDuty Malware Protection Object Scan Result"],
  "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para NO_THREATS_FOUND:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para THREATS_FOUND:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0171419",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "threats": [
                {
                    "name": "EICAR-Test-File (not a virus)"
                }
            ]
        }
    }
}

nota

O campo scanResultDetails.Threats contém apenas uma ameaça. Por padrão, a verificação do Proteção contra Malware para S3 relata a primeira ameaça detectada. Depois disso, o scanStatus é definido comoCOMPLETED.

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação UNSUPPORTED (ignorado):


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "UNSUPPORTED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação ACCESS_DENIED (ignorado):


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "ACCESS_DENIED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o status do resultado da verificação FAILED:


{
    "version": "0",
    "id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
    "detail-type": "GuardDuty Malware Protection Object Scan Result",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-02-28T01:01:01Z",
    "region": "us-east-1",
    "resources": [arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "FAILED",
        "resourceType": "S3_OBJECT",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "APKAEIBAERJR2EXAMPLE",
            "eTag": "ASIAI44QH8DHBEXAMPLE",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "scanResultDetails": {
            "scanResultStatus": "FAILED",
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Eventos de falha da marcação pós-verificação

Padrão de evento:


{
      "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
      "source": "aws.guardduty"
 }

Exemplo de esquema de notificação para ACCESS_DENIED:


{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "ACCESS_DENIED"
        }]
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para MAX_TAG_LIMIT_EXCEEDED:


{
    "version": "0",
    "id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
    "detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
    "source": "aws.guardduty",
    "account": "111122223333",
    "time": "2024-06-10T16:16:08Z",
    "region": "us-east-1",
    "resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
    "detail": {
        "schemaVersion": "1.0",
        "eventTime": "2024-06-10T16:16:08Z",
        "s3ObjectDetails": {
            "bucketName": "amzn-s3-demo-bucket",
            "objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
            "eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
            "versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
            "s3Throttled": false
        },
        "postScanActions": [{
            "actionType": "TAGGING",
            "failureReason": "MAX_TAG_LIMIT_EXCEEDED"
        }]
    }
}