New – Using Amazon GuardDuty to Protect Your S3 Buckets

正如我们在本博文中所预计的那样，作为 Amazon GuardDuty 的一部分，之前在 Amazon Macie 中可用的 Amazon Simple Storage Service (S3) 活动的异常和威胁检测现已得到增强，并降低了 80% 以上的成本。这将 GuardDuty 威胁检测范围扩展到工作负载和 AWS 账户之外，也有助您保护 S3 中存储的数据。

这项新功能使 GuardDuty 能够连续监控和分析 S3 数据访问事件（通常称为数据面操作）和 S3 配置（控制面 API），以检测可疑活动，例如来自异常地理位置的请求，禁用预防性控制措施（例如 S3 数据块公共访问），或 API 调用模式与发现错误配置的存储桶权限的尝试保持一致。为了检测可能的恶意行为，GuardDuty 组合使用了异常检测、机器学习和不断更新的威胁情报。您可以参考以下 GuardDuty S3 威胁检测的完整列表。

当检测到威胁时，GuardDuty 会向控制台和 Amazon EventBridge 生成详细的安全检测结果，从而使警报具有可操作性，并且易于集成到现有事件管理和工作流系统中，或使用 AWS Lambda 触发自动补救措施。您可以选择将结果发送到 S3 存储桶，以汇总来自多个区域的结果，并与第三方安全分析工具集成。

如果尚未使用 GuardDuty，则在启用服务时，将默认启用 S3 保护。如果您使用 GuardDuty，则只需在 GuardDuty 控制台中单击一次或通过 API 即可启用此新功能。为了简单起见，同时为了优化成本，GuardDuty 现已直接与 S3 集成。这样，您无需在 AWS CloudTrail 中手动启用或配置 S3 数据事件日志即可利用此新功能。同时，GuardDuty 仅智能处理可用于生成威胁检测的数据事件，从而大幅减少处理的事件数量，并降低了成本。

如果您是在整个组织中管理 GuardDuty 的集中式安全团队的成员，则可以使用与 AWS Organizations 的集成通过单个帐户管理所有帐户。

为 AWS 账户启用 S3 保护
我已在该区域为我的 AWS 账户启用 GuardDuty。现在，我想为 S3 存储桶添加威胁检测。在 GuardDuty 控制台中，我选择 S3 Protection（S3 保护），然后选择 Enable（启用）。一切搞定。为了得到更多保护，我对帐户中启用的所有区域重复此过程。

几分钟后，我开始看到与 S3 存储桶相关的新结果。我可以选择每个结果，以获取有关可能威胁的更多信息，包括有关源行为者和目标行为的详细信息。

几天后，我选择控制台的 Usage（使用情况）部分来监控帐户中 GuardDuty 的每月估计费用，包括新的 S3 保护。我还可以发现哪些 S3 存储桶所占的成本的更大。事实证明，我最近的存储桶流量不大。

为 AWS 组织启用 S3 保护
为了简化多个账户的管理，GuardDuty 使用其与 AWS Organizations 的集成来允许您指派一个账户作为整个组织的 GuardDuty 管理员。

现在，代理管理员可以一键为区域组织中的所有帐户启用 GuardDuty。您还可以将 Auto-enable（自动启用）设置为 ON（开），以自动在组织中包括新帐户。如果您喜欢的话，可以通过邀请添加帐户。然后，您可以转到 Settings（设置）下的 S3 Protection（S3 保护）页面，为整个组织启用 S3 保护。

选择 Auto-enable（自动启用）时，代理管理员还可以选择为新成员帐户自动启用 S3 保护。

现已推出
与往常一样，使用Amazon GuardDuty，您只需根据为检测威胁而处理的日志和事件数量付费。这包括在CloudTrail 中捕获的API 控制面事件，在 VPC 流日志中捕获的网络流，DNS 请求和响应日志，以及启用了 S3 保护的 S3 数据面事件。启用服务后，GuardDuty 会通过内部集成提取这些来源，因此您无需直接配置任何这些来源。该服务不断优化处理的日志和事件以降低成本，并在控制台中按来源显示您的使用情况。如果在多帐户中进行配置，则使用情况也会按帐户划分。

新的 S3 威胁检测功能有30 天的免费试用期。这也适用于已启用 GuardDuty 的帐户，并添加了新的 S3 保护功能。在试用期间，在 GuardDuty 控制台的 Usage（使用情况）选项卡中计算根据您的 S3 数据事件量估算的成本。这样，您在免费评估这些新功能的同时，可以了解每月的支出。

所有提供 GuardDuty 的区域都可以使用 GuardDuty 进行 S3 保护。有关区域可用性，请参阅 AWS 区域表。要了解更多信息，请参见相关文档。

– Danilo