介绍 Amazon GuardDuty 的 Amazon S3 恶意软件保护 新闻博客
Amazon GuardDuty 新增 S3 恶意软件防护功能
重点内容
今天推出的 Amazon GuardDuty 恶意软件防护功能能够检测上传至指定 S3 桶的恶意文件。此功能利用多个 AWS 开发的和业界领先的恶意软件扫描引擎,在不影响 S3 的性能的前提下进行恶意软件检测。用户可以通过 GuardDuty 控制台简单启用此功能,并持续评估上传到 S3 桶的新对象是否含有恶意软件。今天,我们宣布 Amazon GuardDuty 恶意软件防护功能正式适用于 Amazon Simple Storage Service (S3),这一扩展让 GuardDuty 能够检测上传至特定 S3 桶的恶意文件。之前,GuardDuty 恶意软件防护功能主要针对附加在 Amazon Elastic Compute Cloud (EC2) 和容器工作负载的 Amazon Elastic Block Store (EBS) 卷进行无代理扫描。
现在,您可以持续评估上传至 S3 桶的新对象,以检测任何恶意软件,并采取行动对发现的恶意软件进行隔离或消除。Amazon GuardDuty 恶意软件防护功能使用多种 Amazon Web Services (AWS) 开发和多个业界领先的第三方恶意软件扫描引擎,在不降低 Amazon S3 的规模、延迟和弹性特性的前提下提供恶意软件检测。
通过 GuardDuty S3 恶意软件防护,您可以在指定的 S3 桶上使用内置的恶意软件和防病毒保护,帮助您减少与大规模自动化恶意文件评估相关的操作复杂性和成本开销。与许多现有的恶意软件分析工具不同,GuardDuty 的这一托管解决方案无需您在每个 AWS 账户和 AWS 区域内管理自己的隔离数据管道或计算基础设施。
您的开发和安全团队可以共同配置和监管组织内特定桶的恶意软件保护,对需要扫描来自不受信任实体的新上传数据进行控制。您可以在 GuardDuty 中配置扫描后操作,如对象标签,以通知后续处理,或通过 Amazon EventBridge 消耗提供的扫描状态信息以实现对恶意上传对象的隔离。
开始使用 S3 桶的 GuardDuty 恶意软件防护
要开始使用,请在 GuardDuty 控制台 中选择 S3 恶意软件防护 并选择 启用。
输入 S3 桶名称或选择 浏览 S3 从当前所选区域的桶列表中选择 S3 桶名称。当您希望 GuardDuty 扫描所选桶中所有新上传对象时,可以选择 该 S3 桶中的所有对象。或者,您也可以选择 以特定前缀开头的对象,以扫描属于特定前缀的新上传对象。
在扫描新上传的 S3 对象后,GuardDuty 可以添加一个预定义的标签,键为 GuardDutyMalwareScanStatus,值为扫描状态:
扫描状态说明NOTHREATSFOUND扫描对象未发现威胁。THREATSFOUND在扫描过程中检测到潜在威胁。UNSUPPORTED因为文件大小,GuardDuty 无法扫描此对象。ACCESSDENIEDGuardDuty 无法访问对象。请检查权限。FAILEDGuardDuty 无法扫描对象。当您希望 GuardDuty 为扫描过的 S3 对象添加标签时,请选择 标记对象。如果使用标签,您可以创建策略以防止对象在恶意软件扫描完成之前被访问,并防止您的应用程序访问恶意对象。
首先,您必须创建并附加一个 AWS Identity and Access Management (IAM) 角色,其中必须包含所需权限:
EventBridge 操作,以创建和管理事件桥管理规则,以便恶意软件防护功能可以监听您的 S3 事件通知。Amazon S3 和 EventBridge 操作,以便将 S3 事件通知发送到 EventBridge。Amazon S3 操作,以访问上传的 S3 对象并为扫描过的 S3 对象添加预定义标签。AWS Key Management Service (KMS) 密钥操作,以在扫描之前访问对象,并在支持的 DSSEKMS 和 SSEKMS 桶上放置测试对象。
要添加这些权限,请选择 查看权限 并复制策略模板和信任关系模板。这些模板包含占位符值,您应将其替换为与您的桶和 AWS 账户相关的适当值。您还应替换 AWS KMS 密钥 ID 的占位符值。
接下来,选择 附加权限,这将新标签打开 IAM 控制台。您可以选择创建新的 IAM 角色或使用复制的模板更新现有 IAM 角色。如果您希望提前创建或更新 IAM 角色,请访问 先决条件 创建或更新 IAM PassRole 策略 在 AWS 文档中。
最后,回到打开 IAM 控制台的 GuardDuty 浏览器选项卡,选择您创建或更新的 IAM 角色,并选择 启用。
现在,在该受保护桶的保护 状态 列中您将看到 活动。
选择 查看所有 S3 恶意软件发现 以查看与您扫描的 S3 桶相关的生成的 GuardDuty 发现。如果您看到发现类型为 ObjectS3/MaliciousFile,GuardDuty 已将所列的 S3 对象检测为恶意。选择 发现 详细面板中的 检测到的威胁 部分并遵循推荐的修复步骤。要了解更多,访问 修复潜在恶意 S3 对象 在 AWS 文档。
需要注意的事项
您可以在未为 AWS 账户启用 GuardDuty 的情况下设置 S3 桶的 GuardDuty 恶意软件防护功能。 然而,如果您在账户中启用 GuardDuty,您可以使用完整的基础数据源监控,如 AWS CloudTrail 管理事件、 Amazon Virtual Private Cloud (Amazon VPC) 流日志,以及 DNS 查询日志,同时也能使用恶意软件防护功能。您还可以将安全发现发送到 AWS Security Hub 和 Amazon Detective 进行进一步调查。
GuardDuty 可以扫描属于以下同步 Amazon S3 存储类 的文件:S3 标准、S3 智能分层、S3 标准IA、S3 单区域IA 和 Amazon S3 Glacier 立即检索。它会扫描已知用于传播或包含恶意软件的文件格式。在发布时,该功能支持文件大小高达 5GB,包括解压后的最多五级和每级 1000 个文件的压缩文件。
如上所述,GuardDuty 将为每个受保护的 S3 桶将扫描指标发送到您的 EventBridge。您可以设置警报并定义扫描后操作,例如标记对象或将恶意对象移动到隔离桶。要了解其他监控选项,如 Amazon CloudWatch 指标和 S3 对象标记,请访问 监控 S3 对象扫描状态 在 AWS 文档。
现已可用
Amazon GuardDuty 恶意软件防护功能于今天在 GuardDuty 可用的所有 AWS 区域 正式上线中国区域和 GovCloud美国区域除外。
网络魔法梯子定价基于扫描的对象的 GB 容量和每月评估的对象数量。此功能还提供有限的 AWS 免费套餐,包括每月 1000 次请求和 1GB,适用于新 AWS 帐户的前 12 个月,或到 2025 年 6 月 11 日适用于现有 AWS 帐户。要了解更多,请访问 Amazon GuardDuty 定价 页面。
在 GuardDuty 控制台 中尝试 GuardDuty S3 恶意软件防护功能。有关更多信息,请访问 Amazon GuardDuty 用户指南 ,并通过 AWS rePost for Amazon GuardDuty 或通过您常用的 AWS 支持联系方式发送反馈。
Channy
更新于2024年6月11日 我们更新了屏幕截图以启用 S3 的恶意软件防护和 AWS 文档链接。
Channy Yun ()
Channy 是 AWS 云的首席开发者倡导者。作为开放网络的爱好者和博主,他热爱社区驱动的学习和技术分享。