Amazon GuardDuty 让恶意软件无所遁形,低成本简易设置,运行更安心

容器
Amazon Simple Storage Service (S3)
Amazon EC2
Amazon GuardDuty
Amazon Elastic Block Store (EBS)
0
0
6月,亚马逊云科技宣布**适用于 [Amazon Simple Storage Service(Amazon S3)](https://aws.amazon.com/cn/s3/?trk=cndc-detail)的 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护正式上线**,这是对 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护的扩展,用于检测上传到选定 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶的恶意文件。 以前,[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护提供无代理扫描功能,用于识别连接到 [Amazon Elastic Compute Cloud(Amazon EC2)](https://aws.amazon.com/cn/ec2/?trk=cndc-detail)和容器工作负载的 [Amazon Elastic Block Store(Amazon EBS)](https://aws.amazon.com/cn/ebs/?trk=cndc-detail)卷上的恶意文件。 **现在,您可以持续评估上传到 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶的新对象中是否存在恶意软件,并采取措施以隔离或清除所发现的任何恶意软件**。[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护使用多个由亚马逊云科技开发且在行业中处于领先地位的第三方恶意软件扫描引擎,在提供恶意软件检测的同时不会影响 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 的规模、延迟和灵活性。 借助适用于 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 的 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护,您可以在指定的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶上使用内置的恶意软件和防病毒保护,这有助于消除与大规模恶意文件自动化评估操作相关的操作复杂性和成本开销。 与许多用于恶意软件分析的现有工具不同,[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 提供的这种托管解决方案**不需要您在要执行恶意软件分析的每个亚马逊云科技账户和亚马逊科技区域中管理自己的隔离数据管道或计算基础设施。** 您的开发和安全团队可以一起协作,在整个组织中为特定存储桶配置和监督恶意软件防护,在这些存储桶中,需要扫描从不可信实体新上传的数据以查找是否存在恶意软件。您可以在 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 中配置扫描后操作(例如对象标记)以通知下游处理,或者使用通过 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail) 提供的扫描状态信息来实现对恶意上传对象的隔离。 ### **Amazon S3 存储桶的 Amazon GuardDuty 恶意软件防护入门** 首先,在 [Amazon GuardDuty 控制台](https://console.aws.amazon.com/guardduty/home?trk=cndc-detail)中,选择适用于 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 的恶意软件防护,然后选择启用。 ![image.png](https://dev-media.amazoncloud.cn/132cc534075546e0a361aabc08a3c9f9_image.png "image.png") 输入 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶名称,或选择浏览 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail),从属于当前所选区域的存储桶列表中选择 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶名称。当您希望 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 扫描所选存储桶中所有新上传的对象时,可以选择 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶中的所有对象。或者,当您要扫描新上传的属于特定前缀的对象时,也可以选择以特定前缀开头的对象。 ![image.png](https://dev-media.amazoncloud.cn/e81697aeddf14aea99e2a3a4b96a150e_image.png "image.png") 扫描新上传的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象后,[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 可以添加预定义标签,其键为 GuardDutyMalwareScanStatus,值为扫描状态: * NO_THREATS_FOUND – 在扫描的对象中未发现威胁。 * THREATS_FOUND – 扫描期间检测到潜在威胁。 * UNSUPPORTED – [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 由于大小问题无法扫描此对象。 * ACCESS_DENIED – [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 无法访问对象。检查权限。 * FAILED – [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 无法扫描对象。 当您希望 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 向已扫描的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象添加标签时,请选择**标记对象**。如果您使用标签,则可以创建策略来防止在恶意软件扫描完成之前访问对象,并防止您的应用程序访问恶意对象。 现在,您必须首先创建并附加一个包含所需权限的 [Amazon Identity and Access Management(IAM)](https://aws.amazon.com/cn/iam/?trk=cndc-detail)角色: * 用于创建和管理 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail) 托管规则的 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail) 操作,以便适用于 Amazon  S3 的恶意软件防护可以监听您的 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html?trk=cndc-detail)。 * 针对该存储桶中的所有事件向 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail) 发送 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 事件通知的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 和 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail) 操作。 * 访问上传的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象并为已扫描的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象添加预定义标签的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 操作。 * 使用支持的 DSSE-KMS 和 SSE-KMS 在扫描测试对象并将测试对象放入存储桶之前访问对象的 [Amazon Key Management Service(Amazon KMS)](https://aws.amazon.com/cn/kms/?trk=cndc-detail)关键操作。 要添加这些权限,请选择**查看权限**并复制策略模板和信任关系模板。这些模板包含占位符值,您应将其替换为与您的存储桶和亚马逊云科技账户关联的相应值。您还应替换 Amazon KMS 密钥 ID 的占位符值。 ![image.png](https://dev-media.amazoncloud.cn/53f95d6976784ef5aa3d94016fb1ab69_image.png "image.png") 现在,选择**附加权限**,这将在新选项卡中打开 IAM 控制台。您可以选择创建新的 IAM 角色,或使用所复制模板中的权限更新现有 IAM 角色。如果您想提前创建或更新您的 IAM 角色,请访问亚马逊云科技文档中的先决条件:添加 IAM PassRole 策略。 最后,返回到打开了 IAM 控制台的 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 浏览器选项卡,选择您已创建或更新的 IAM 角色,然后选择启用。 现在,您将在此受保护存储桶的防护状态列中看到处于活动状态。 ![image.png](https://dev-media.amazoncloud.cn/27c977eea29d4672a1c0e6c5b1bc6733_image.png "image.png") 选择**查看所有 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 恶意软件调查发现**以查看所生成的与已扫描的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶相关的 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 调查发现。如果您看到调查发现类型 S3Object:S3/MaliciousFile,则 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 已将列出的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象检测为恶意对象。 在调查发现详细信息面板中选择检测到的威胁部分,然后按照建议的补救步骤进行操作。要了解更多信息,请访问亚马逊云科技文档中的修复适用于 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 的恶意软件防护调查发现。 ![image.png](https://dev-media.amazoncloud.cn/1c540289299846c784222c75d4f6cf7b_image.png "image.png") ### **注意事项** ![image.png](https://dev-media.amazoncloud.cn/1fee14fd625e4c13a04840a879743d47_image.png "image.png") **即使您的亚马逊云科技账户未启用 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail),您也可以为 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶设置 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护**。但是,如果在账户中启用 Amazon  GuardDuty,则可以使用对[基础源](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html?trk=cndc-detail)的全面监控,例如 [Amazon CloudTrail](https://aws.amazon.com/cn/cloudtrail/?trk=cndc-detail) 管理事件、[Amazon Virtual Private Cloud(Amazon VPC)](https://aws.amazon.com/cn/vpc/?trk=cndc-detail)流日志和 DNS 查询日志,以及恶意软件防护功能。 您也可以将安全调查发现发送到 [Amazon Security Hub](https://aws.amazon.com/cn/security-hub/?trk=cndc-detail) 和 [Amazon Detective](https://aws.amazon.com/cn/detective/?trk=cndc-detail) 进行进一步调查。 **[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 可以扫描属于以下同步 [Amazon S3 存储类别](https://aws.amazon.com/cn/s3/storage-classes/?trk=cndc-detail)的文件**:[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) Standard、[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) Intelligent-Tiering、[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) Standard-IA、[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) One Zone-IA 和 [Amazon S3 Glacier](https://aws.amazon.com/cn/s3/storage-classes/glacier/?trk=cndc-detail) Instant Retrieval。 它将扫描已知用于传播或包含恶意软件的文件格式。发布时,该功能支持最大 5GB 的文件大小,包括最多 5 个级别的存档文件,解压缩后每级 1,000 个文件。 正如我所说,对于每个受保护的 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 存储桶,[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 会将扫描指标发送到您的 [Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail)。**您可以设置警报并定义扫描后操作,例如标记对象或将恶意对象移至隔离存储桶。** 要详细了解其他监控选项,例如 [Amazon CloudWatch](https://aws.amazon.com/cn/cloudwatch/?trk=cndc-detail) 指标和 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 对象标记,请访问亚马逊云科技文档中的监控恶意软件扫描状态。 ### **现已可用** 定价基于所扫描对象的 GB 量和每月评估的对象数量。此功能附带有限的 Amazon Free Tier,包括每月 1,000 个请求和 1 GB,对于新亚马逊云科技账户,可在账户创建后的前 12 个月内享受该福利,**对于现有亚马逊云科技账户,可在 2025 年 6 月 11 日之前享受该福利**。要了解更多信息,请访问 [Amazon GuardDuty 定价](https://aws.amazon.com/cn/guardduty/pricing/?trk=cndc-detail)页面。 在 [Amazon GuardDuty 控制台](https://console.aws.amazon.com/guardduty/home?trk=cndc-detail)中试一试适用于 [Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail) 的 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail) 恶意软件防护。有关更多信息,请访问 [Amazon GuardDuty 用户指南](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html?trk=cndc-detail),向 [Amazon re:Post for Amazon GuardDuty](https://repost.aws/tags/questions/TAkQ_AMw65SICuEGEmuUXv4g?view=all?trk=cndc-detail) 发送反馈,或通过您常用的 Amazon Support 联系人发送反馈。 ![image.png](https://dev-media.amazoncloud.cn/fc0e479d374347ce835245636e144aa6_image.png "image.png") ![开发者尾巴.gif](https://dev-media.amazoncloud.cn/2544cb7fd6b8439781c66dc0b84062d5_%E5%BC%80%E5%8F%91%E8%80%85%E5%B0%BE%E5%B7%B4.gif "开发者尾巴.gif")
目录
亚马逊云科技解决方案 基于行业客户应用场景及技术领域的解决方案
联系亚马逊云科技专家
亚马逊云科技解决方案
基于行业客户应用场景及技术领域的解决方案
联系专家
0
目录
关闭