S3 的惡意軟體防護如何運作？

本節說明適用於 S3 的惡意軟體防護元件、它在為 S3 儲存貯體啟用後的運作方式，以及如何檢閱惡意軟體掃描狀態和結果。

概觀

您可以為屬於您自己的 Amazon S3 儲存貯體啟用 S3 惡意程式碼保護 AWS 帳戶。 GuardDuty為您提供靈活性，可為整個值區啟用此功能，或將惡意軟體掃 GuardDuty 描的範圍限制為特定物件前置詞，以掃描以其中一個所選首碼開頭的每個上傳物件。您最多可以新增 5 個前置字元。當您為 S3 儲存貯體啟用此功能時，該儲存貯體稱為受保護的儲存貯體。

IAM角色權限

S3 的惡意軟體防護使IAM用允許您執 GuardDuty 行惡意程式碼掃描動作的角色。這些動作包括收到所選值區中新上載物件的通知、掃描這些物件，以及選擇性地將標籤新增至掃描物件。這是使用此功能設定 S3 儲存貯體的先決條件。

您可以選擇更新現有IAM角色，或為此目的建立新角色。當您針對多個儲存貯體啟用 S3 的惡意軟體防護時，您可以視需要更新現有IAM角色以包含其他儲存貯體名稱。如需詳細資訊，請參閱必要條件-建立或更新IAM角色原則。

根據掃描結果對物件進行選擇性標記

在為儲存貯體啟用 S3 惡意軟體防護時，有一個選擇性步驟可為掃描的 S3 物件啟用標記。該IAM角色已包含在掃描後向物件新增標籤的權限。但是， GuardDuty 只有在設定時啟用此選項時，才會新增標籤。

您必須先啟用此選項，才能上載物件。掃描結束後，使用下列索引鍵:value 配對 GuardDuty 將預先定義的標籤新增至掃描的 S3 物件：

GuardDutyMalwareScanStatus:Potential scan result

潛在的掃描結果標籤值包括NO_THREATS_FOUNDTHREATS_FOUNDUNSUPPORTED、ACCESS_DENIED、、和FAILED。如需這些值的詳細資訊，請參閱 S3 物件潛在掃描狀態和結果狀態。

啟用標記是瞭解 S3 物件掃描結果的其中一種方式。您可以進一步使用這些標籤來新增以標籤為基礎的存取控制 (TBAC) S3 資源政策，以便對潛在惡意物件採取動作。如需詳細資訊，請參閱TBAC在 S3 儲存貯體資源上新增。

我們建議您在為儲存貯體設定 S3 的惡意軟體防護時啟用標記。如果您在物件上傳後啟用標記，且可能會啟動掃描， GuardDuty 將無法將標籤新增至掃描的物件。如需相關聯 S3 物件標記成本的資訊，請參閱S3 惡意軟體防護的定價和使用成本。

為儲存貯體啟用 S3 的惡意軟體防護後的程序

啟用 S3 的惡意軟體防護後，會專門為所選 S3 儲存貯體建立惡意軟體保護計劃資源。此資源與惡意軟體防護計劃 ID 相關聯，這是受保護資源的唯一識別碼。使用其中一個IAM權限， GuardDuty 然後依名稱建立和管理 EventBridge 受管理規則DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*。

如何 GuardDuty 處理您的數據-數據保護的護欄

S3 的惡意軟體防護會監聽 Amazon EventBridge 通知。將物件上傳至選取的儲存貯體或其中一個首碼時， GuardDuty 請使用 AWS PrivateLink然後在相同區域的隔離環境中讀取、解密和掃描它。掃描環境會在已鎖定的虛擬私有雲端 (VPC) 中執行，且無法存取網際網路。VPC已附加至DNS防火牆規則群組，僅允許與允許列出的網域通訊 AWS 擁有。在掃描期間，將下載的 S3 物件 GuardDuty 暫時存放在使用以下方式加密的掃描環境中 AWS Key Management Service (AWS KMS) 按鍵。

如需有關 GuardDuty 惡意程式碼偵測方法及其使用之掃描引擎的資訊，請參閱GuardDuty 惡意程式偵測掃瞄引。

惡意程式碼掃描完成後，會 GuardDuty 處理具有掃描狀態的掃描中繼資料，然後刪除下載的物件副本。

GuardDuty 每次新掃描開始之前，都會清除掃瞄環境。 GuardDuty 使用臨時授權來存取掃描環境，並審核、核准和稽核每個存取要求。

檢閱 S3 物件掃描狀態和結果

GuardDuty 將 S3 物件掃描結果事件發佈到 Amazon EventBridge 預設事件匯流排。 GuardDuty 還將掃描指標（例如掃描的對象數和掃描的字節數）發送到 Amazon CloudWatch。如果您啟用標記，則 GuardDuty 會新增預先定義的標籤GuardDutyMalwareScanStatus和潛在的掃描結果作為標籤值。

如需詳細資訊，請參閱在 S3 的惡意軟體防護中監控 S3 物件掃描。

檢閱產生的發現

檢閱發現項目取決於您是否搭配使用 S3 的惡意程式碼防護 GuardDuty。請考量下列情況：

啟用 GuardDuty 服務時使用 S3 的惡意軟體防護 (偵測器 ID)

如果惡意程式碼掃描在 S3 物件中偵測到潛在惡意檔案， GuardDuty 將會產生關聯的發現項目。您可以檢視發現項目詳細資訊，並使用建議的步驟來可能修正發現項目。根據您的匯出發現頻率，產生的發現項目會匯出到 S3 儲存貯體和 EventBridge事件匯流排。

如需將產生之尋找項目類型的相關資訊，請參閱S3 查找類型的惡意軟件防護。

使用 S3 的惡意軟體防護作為獨立功能 (無偵測器 ID)

GuardDuty 將無法產生發現項目，因為沒有關聯的偵測器 ID。若要瞭解 S3 物件惡意程式碼掃描狀態，您可以檢視 GuardDuty自動發佈到預設事件匯流排的掃描結果。您也可以檢視 CloudWatch 測量結果，以評估 GuardDuty 嘗試掃描的物件和位元組數目。您可以設定 CloudWatch警示以接收有關掃描結果的通知。如果您已啟用 S3 物件標記，您也可以檢查 S3 物件的GuardDutyMalwareScanStatus標籤金鑰和掃描結果標籤值，以檢視惡意軟體掃描狀態。

如需 S3 物件掃描狀態和結果的相關資訊，請參閱在 S3 的惡意軟體防護中監控 S3 物件掃描。