Amazon S3 保護在 Amazon GuardDuty - Amazon GuardDuty
如何 GuardDuty 使用 S3 資料事件為獨立帳戶設定 S3 保護在多帳戶環境中設定 S3 保護

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 保護在 Amazon GuardDuty

S3 保護可協助 Amazon GuardDuty 監控 Amazon Simple Storage Service (Amazon S3) 的 AWS CloudTrail 資料事件,其中包括物件層級API操作,以識別 Amazon S3 儲存貯體中資料的潛在安全風險。

GuardDuty 同時監控 AWS CloudTrail 管理事件和 AWS CloudTrail S3 資料事件,以識別 Amazon S3 資源中的潛在威脅。這兩個資料來源會監控不同類型的活動。S3 的 CloudTrail 管理事件範例包括列出或設定 Amazon S3 儲存貯體的操作ListBuckets,例如DeleteBuckets、和PutBucketReplication。S3 的 CloudTrail 資料事件範例包括物件層級API操作,例如GetObjectListObjectsDeleteObject、和PutObject

當您啟用 Amazon GuardDuty 的時候 AWS 帳戶, GuardDuty 開始監視 CloudTrail 管理事件。您不需要手動啟用或設定 S3 資料事件登入 AWS CloudTrail。您可以隨時針對 Amazon GuardDuty 內部提供此功能的任何帳戶啟用 S3 保護功能 (用於監控 S3 的 CloudTrail 資料事件)。 AWS 區域 AWS 帳戶 已啟用的 GuardDuty,可以在 30 天免費試用期內首次啟用 S3 保護。對於首次啟 AWS 帳戶 GuardDuty 用的,S3 保護已啟用並包含在此 30 天免費試用中。如需詳細資訊,請參閱 估算成 GuardDuty 本

我們建議您在中啟用 S3 保護 GuardDuty。如果未啟用此功能, GuardDuty 將無法完全監控 Amazon S3 儲存貯體,或產生存放在 S3 儲存貯體中資料的可疑存取的發現結果。

如何 GuardDuty 使用 S3 資料事件

啟用 S3 資料事件 (S3 防護) 時,會 GuardDuty 開始分析所有 S3 儲存貯體中的 S3 資料事件,並監控它們是否有惡意和可疑活動。如需詳細資訊,請參閱 AWS CloudTrail S3 的資料事件

當未經驗證的使用者存取 S3 物件時,表示 S3 物件可公開存取。因此, GuardDuty不處理此類請求。 GuardDuty 使用有效 IAM (AWS Identity and Access Management) 或 AWS STS () 登入資料處理對 S3 物件發出的請求。AWS Security Token Service

當根據 S3 資料事件監控 GuardDuty 偵測到潛在威脅時,會產生安全性發現。如需 GuardDuty 可針對 Amazon S3 儲存貯體產生之發現項目類型的相關資訊,請參閱GuardDuty S3 尋找項目類型

如果停用 S3 保護,請 GuardDuty 停止對 S3 儲存貯體中存放的資料進行 S3 資料事件監控。

為獨立帳戶設定 S3 保護

對於與之關聯的帳戶 AWS Organizations,可透過主控台設定自動執行此程序。如需詳細資訊,請參閱 在多帳戶環境中設定 S3 保護

啟用或停用 S3 保護

選擇您偏好的存取方式,為獨立帳戶設定 S3 保護。

Console

  1. 登入 AWS Management Console 並開啟 GuardDuty 主控台,位於https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇 S3 保護

  3. S3 保護頁面為您的帳戶提供 S3 保護的目前狀態。選擇啟用停用可隨時啟用或停用 S3 保護。

  4. 選擇確認以確認您選取的項目。

API/CLI

  1. 使用目前區域的有效偵測器 ID,並將 features 物件 nameS3_DATA_EVENTS 設定為 ENABLEDDISABLED 來傳遞,進而執行 updateDetector,以分別啟用或停用 S3 保護。

    注意

    若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId

  2. 或者,您可以使用 AWS Command Line Interface. 若要啟用 S3 保護,請執行下列命令,並確保使用您自己的有效偵測器 ID。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

    若要停用 S3 保護,請使用 DISABLED 取代範例中的 ENABLED

在多帳戶環境中設定 S3 保護

在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以選擇為其 AWS 組織中的成員帳戶設定 (啟用或停用) S3 Protection。成 GuardDuty 員帳戶無法從其帳戶修改此設定。委派的管理 GuardDuty 員帳戶會使用來管理其成員帳戶 AWS Organizations。委派的 GuardDuty 管理員帳戶可以選擇在組織中的所有帳戶、只有新帳戶或不啟用 S3 Protection。如需詳細資訊,請參閱 透過 AWS Organizations管理帳戶

選擇您偏好的存取方法,為委派的 GuardDuty 管理員帳戶設定 S3 保護。

Console

  1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    確保使用管理帳戶憑證。

  2. 在導覽窗格中,選擇 S3 保護

  3. S3 保護頁面上,選擇編輯

  4. 執行以下任意一項:

    使用為所有帳戶啟用

    • 選擇為所有帳戶啟用。這將啟用 AWS 組織中所有作用中 GuardDuty 帳戶的保護計劃,包括加入組織的新帳戶。

    • 選擇儲存

    使用手動設定帳戶

    • 若要僅針對委派的 GuardDuty 系統管理員帳戶啟用保護方案,請選擇 [手動設定帳戶]。

    • [委派 GuardDuty 管理員帳戶 (此帳戶)] 區段下選擇 [啟用]。

    • 選擇儲存

API/CLI

updateDetector透過使用目前區域委派 GuardDuty 管理員帳戶的偵測器 ID 來執行,並以及傳遞features物件的方nameS3_DATA_EVENTS來執statusENABLED

或者,您可以使用 AWS Command Line Interface. 運行以下命令,並確保替換 12abc34d567e8fa901bc2d34e56789f0 與當前區域的委託 GuardDuty 管理員帳戶的檢測器 ID 和 555555555555 具有委派 GuardDuty 管理員帳戶的 AWS 帳戶 ID。

若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId 

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
Console

  1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    使用您的管理員帳戶登入。

  2. 執行以下任意一項:

    使用 S3 保護頁面

    1. 在導覽窗格中,選擇 S3 保護

    2. 選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 S3 保護。

    3. 選擇儲存

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

    使用帳戶頁面

    1. 在導覽窗格中,選擇帳戶

    2. 帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶

    3. 管理自動啟用偏好設定視窗中,選擇 S3 保護下的為所有帳戶啟用

    4. 選擇儲存

    如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地啟用或停用成員帳戶中的 S3 保護

API/CLI

  • 若要選擇性地為您的成員帳戶啟用或停用 S3 保護,請使用您自己的帳戶叫用updateMemberDetectorsAPI作業 detector ID.

  • 以下範例顯示如何為單一成員帳戶啟用 S3 保護。確保更換 12abc34d567e8fa901bc2d34e56789f0 使用委派detector-id的 GuardDuty 系統管理員帳戶,以及 111122223333。 若要停用 S3 保護,請取ENABLED代為DISABLED

    若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId 

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以傳遞由空格IDs分隔的帳戶列表。

  • 當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,為組織中的所有現有作用中成員帳戶啟用 S3 保護。

Console

  1. 登入 AWS Management Console 並開啟 GuardDuty 主控台,位於https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 系統管理員帳戶認證登入。

  2. 在導覽窗格中,選擇 S3 保護

  3. S3 保護頁面上,您可以檢視組態的目前狀態。在作用中成員帳戶區段下,選擇動作

  4. 動作下拉式選單中,選擇為所有作用中的成員帳戶啟用

  5. 選擇確認

API/CLI

  • 若要選擇性地為您的成員帳戶啟用或停用 S3 保護,請使用您自己的帳戶叫用updateMemberDetectorsAPI作業 detector ID.

  • 以下範例顯示如何為單一成員帳戶啟用 S3 保護。確保更換 12abc34d567e8fa901bc2d34e56789f0 使用委派detector-id的 GuardDuty 系統管理員帳戶,以及 111122223333。 若要停用 S3 保護,請取ENABLED代為DISABLED

    若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId 

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以傳遞由空格IDs分隔的帳戶列表。

  • 當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,為加入組織的新帳戶啟用 S3 保護。

Console

委派的 GuardDuty 管理員帳戶可以使用 S3 Protection 或帳戶頁面,透過主控台為組織中的新成員戶啟用。

為新成員帳戶自動啟用 S3 保護

  1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    請務必使用委派的 GuardDuty 系統管理員帳戶認證。

  2. 執行以下任意一項:

    • 使用 S3 保護頁面:

      1. 在導覽窗格中,選擇 S3 保護

      2. S3 保護頁面上,選擇編輯

      3. 選擇手動設定帳戶

      4. 選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,S3 保護都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

      5. 選擇儲存

    • 使用帳戶頁面:

      1. 在導覽窗格中,選擇帳戶

      2. 帳戶頁面上,選擇自動啟用偏好設定。

      3. 管理自動啟用偏好設定視窗中,選擇 S3 保護下的為新帳戶啟用

      4. 選擇儲存

API/CLI

  • 若要選擇性地為您的成員帳戶啟用或停用 S3 保護,請使用您自己的帳戶叫用UpdateOrganizationConfigurationAPI作業 detector ID.

  • 以下範例顯示如何為單一成員帳戶啟用 S3 保護。若要停用,請參閱選擇性地啟用或停用成員帳戶的RDS保護。設定偏好設定,以在該區域中為加入組織的新帳戶 (NEW)、所有帳戶 (ALL) 或非組織帳戶 (NONE) 自動啟用或停用保護計畫。如需詳細資訊,請參閱autoEnableOrganization成員。根據您的偏好設定,您可能需要使用 ALLNONE 取代 NEW

    若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId 

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
    注意

    您也可以傳遞由空格IDs分隔的帳戶列表。

  • 當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,選擇性地為成員帳戶啟用或停用 S3 保護。

Console

  1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    請務必使用委派的 GuardDuty 系統管理員帳戶認證。

  2. 在導覽窗格中,選擇帳戶

    帳戶頁面上,檢閱 S3 保護資料欄,了解您的成員帳戶的狀態。

  3. 選擇性地啟用或停用 S3 保護

    選取您要設定 S3 保護的帳戶。您可以一次選取多個帳戶。在編輯保護計畫下拉式選單中,選擇 S3Pro,然後選擇適當的選項。

API/CLI

若要選擇性地啟用或停用成員帳戶的 S3 保護,請使用您自己的偵測器 ID 執行updateMemberDetectorsAPI作業。以下範例顯示如何為單一成員帳戶啟用 S3 保護。若要停用,請使用 false 取代 true

若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId 

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
注意

您也可以傳遞由空格IDs分隔的帳戶列表。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

注意

如果您使用指令碼建立新帳戶,並且想要在新帳戶中停用 S3 保護,則可以使用選用dataSources物件修改createDetectorAPI操作,如本主題所述。

重要

根據預設,第一次會自動為 AWS 帳戶 該聯結 GuardDuty 啟用 S3 保護。

如果您是第一次在新帳戶上啟 GuardDuty 用的 GuardDuty 管理員帳戶,並且不希望預設啟用 S3 Protection,則可以透過使用選用features物件修改createDetectorAPI操作來停用它。下列範例使用啟 AWS CLI 用停用 S3 保護的新 GuardDuty 偵測器。

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'