在 S3 的恶意软件防护中进行监控

使用带有 GuardDuty 检测器 ID 的 S3 恶意软件防护时，如果您的 Amazon S3 对象可能是恶意的，则 GuardDuty 会生成适用于 S3 查找类型的恶意软件防护。使用 GuardDuty 控制台和APIs，您可以查看生成的调查结果。有关了解此发现类型的信息，请参见调查发现详细信息。

在未启用 GuardDuty （无检测器 ID）的情况下对 S3 使用恶意软件防护时，即使扫描的 Amazon S3 对象可能是恶意的，也 GuardDuty 无法生成任何发现。

以下列表提供了可能的 S3 对象扫描结果状态值：

• NO_THREATS_FOUND— 未 GuardDuty 检测到与扫描对象相关的潜在威胁。

• THREATS_FOUND— GuardDuty 检测到与扫描对象相关的潜在威胁。

• UNSUPPORTED— S3 恶意软件防护会跳过扫描的原因有几个。潜在原因包括受密码保护的文件、S3 配额的恶意软件防护以及某些 Amazon S3 功能。有关更多信息，请参阅 S3 恶意软件防护功能。

• ACCESS_DENIED— GuardDuty 无法访问此对象进行扫描。检查与此存储桶关联的IAM角色权限。有关更多信息，请参阅 先决条件-创建或更新IAM角色策略。

• FAILED— 由于内部错误， GuardDuty 无法对此对象执行恶意软件扫描。

以下列表提供了潜在的 S3 对象扫描状态值及其与 S3 对象扫描结果的映射：

• 已完成-扫描成功完成并指示 S3 对象是否有恶意软件。在这种情况下，潜在的 S3 对象扫描结果值可以是THREATS_FOUND或NO_THREATS_FOUND。

• 已跳过 — GuardDuty 当 S3 对象的详细信息与选定存储桶中上传的 S3 对象不一致或 GuardDuty 无法访问已上传的 S3 对象时，会跳过恶意软件扫描。S3 恶意软件防护配额

  在这种情况下，潜在的 S3 对象扫描结果值可以是UNSUPPORTED或ACCESS_DENIED。

• 失败 — 与 S3 对象扫描结果值类似FAILED，此扫描状态表示 GuardDuty 由于内部错误而无法对 S3 对象执行恶意软件扫描。

主题

• 使用 Amazon 进行监控 EventBridge
• 使用 Amazon 监控扫描状态指标 CloudWatch
• 使用 S3 对象标签进行监控