Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# GuardDuty Malware-Schutz für S3
Malware Protection for S3 hilft Ihnen dabei, potenzielles Vorhandensein von Malware zu erkennen, indem neu hochgeladene Objekte in Ihren ausgewählten Amazon Simple Storage Service (Amazon S3) -Bucket gescannt werden. Wenn ein S3-Objekt oder eine neue Version eines vorhandenen S3-Objekts in den ausgewählten Bucket hochgeladen wird, wird GuardDuty automatisch ein Malware-Scan gestartet.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/uweeumMAif4)
**Zwei Ansätze zur Aktivierung von Malware Protection für S3**
Sie können Malware Protection for S3 aktivieren, wenn AWS-Konto Sie den GuardDuty Dienst aktivieren und Malware Protection for S3 als Teil der GuardDuty Gesamterfahrung verwenden, oder wenn Sie die Funktion Malware Protection for S3 eigenständig verwenden möchten, ohne den GuardDuty Dienst zu aktivieren. Wenn Sie Malware Protection for S3 eigenständig aktivieren, wird in der GuardDuty Dokumentation darauf hingewiesen, dass Malware Protection for S3 als eigenständige Funktion verwendet wird.
**Überlegungen zur eigenständigen Verwendung von Malware Protection for S3**
+ GuardDuty Sicherheitserkenntnisse — Die Detector-ID ist eine eindeutige Kennung, die Ihrem Konto in einer Region zugeordnet ist. Wenn Sie die Aktivierung GuardDuty in einer oder mehreren Regionen in einem Konto vornehmen, wird für dieses Konto in jeder Region, in der Sie die Aktivierung vornehmen, automatisch eine Melder-ID erstellt GuardDuty. Weitere Informationen finden Sie im [Konzepte und Schlüsselbegriffe bei Amazon GuardDuty](guardduty_concepts.md) Dokument unter *Detektor*.
Wenn Sie Malware Protection for S3 unabhängig in einem Konto aktivieren, ist diesem Konto **keine** Detektor-ID zugeordnet. Dies wirkt sich darauf aus, welche GuardDuty Funktionen Ihnen möglicherweise zur Verfügung stehen. Wenn beispielsweise ein S3-Malware-Scan das Vorhandensein von Malware erkennt, wird in Ihrem System kein GuardDuty Ergebnis generiert, AWS-Konto da alle GuardDuty Ergebnisse mit einer Detektor-ID verknüpft sind.
+ Überprüfung, ob das gescannte Objekt bösartig ist — Standardmäßig werden die Malware-Scan-Ergebnisse in Ihrem standardmäßigen EventBridge Amazon-Event-Bus und einem CloudWatch Amazon-Namespace GuardDuty veröffentlicht. Wenn Sie das Tagging bei der Aktivierung von Malware Protection for S3 für einen Bucket aktivieren, erhält das gescannte S3-Objekt ein Tag, das das Scanergebnis erwähnt. Weitere Informationen über das Markieren mit Tags finden Sie unter [Optionales Markieren von Objekten auf der Grundlage des Scanergebnisses](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3).
**Allgemeine Überlegungen zur Aktivierung von Malware Protection for S3**
Die folgenden allgemeinen Überlegungen gelten unabhängig davon, ob Sie Malware Protection for S3 unabhängig oder als Teil der GuardDuty Erfahrung verwenden:
+ Sie können Malware Protection for S3 für einen Amazon S3 S3-Bucket aktivieren, der zu Ihrem eigenen Konto gehört. Als delegiertes GuardDuty Administratorkonto können Sie diese Funktion nicht in einem Amazon S3 S3-Bucket aktivieren, der zu einem Mitgliedskonto gehört.
+ Sie können diese Funktion in den S3-Buckets aktivieren, die zu derselben Region gehören, die derzeit in der GuardDuty Konsole ausgewählt ist. GuardDuty unterstützt die Aktivierung dieser Funktion in regionsübergreifenden S3-Buckets nicht.
+ Als delegiertes GuardDuty Administratorkonto erhalten Sie jedes Mal eine EventBridge Amazon-Benachrichtigung, wenn ein S3-Bucket geändert wird, den [Status eines geschützten Buckets anzeigen und verstehen](malware-protection-s3-bucket-status-gdu.md) eines der Mitgliedskonten Ihrer Organisation für diese Funktion konfiguriert hat.
**Topics**
+ [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md)
+ [Wie funktioniert Malware Protection for S3?](how-malware-protection-for-s3-gdu-works.md)
+ [Funktionen des Malware-Schutzes für S3](s3-malware-protection-capability.md)
+ [(Optional) Starten Sie eigenständig mit GuardDuty Malware Protection for S3 (nur Konsole)](malware-protection-s3-get-started-independent.md)
+ [Konfiguration des Malware-Schutzes für S3 für Ihren Bucket](configuring-malware-protection-for-s3-guardduty.md)
+ [Schritte nach der Aktivierung von Malware Protection for S3](malware-protection-s3-steps-after-enabling.md)
+ [S3-Malware-Scan auf Anfrage GuardDuty](malware-protection-s3-on-demand.md)
+ [Verwenden von tagbasierter Zugriffskontrolle (TBAC) mit Malware Protection for S3](tag-based-access-s3-malware-protection.md)
+ [Status eines geschützten Buckets anzeigen und verstehen](malware-protection-s3-bucket-status-gdu.md)
+ [Überwachung von S3-Objektscans in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
+ [Fehlerbehebung](troubleshoot-s3-malware-protection.md)
+ [Malware-Schutzplan für einen geschützten Bucket bearbeiten](edit-malware-protection-protected-s3-bucket.md)
+ [Malware-Schutz für S3 für einen geschützten Bucket deaktivieren](disable-malware-s3-protected-bucket.md)
+ [Unterstützbarkeit der Amazon S3 S3-Funktionen](supported-s3-features-malware-protection-s3.md)
+ [Kontingente im Malware-Schutz für S3](malware-protection-s3-quotas-guardduty.md)
# Preise und Nutzungskosten für Malware Protection for S3
Die Preisgestaltung von Malware Protection for S3 unterscheidet sich von denen anderer Schutzpläne in GuardDuty. Während die meisten GuardDuty Schutzpläne einer 30-tägigen, kostenlosen Testversion folgen, folgt Malware Protection for S3 einem 12-monatigen kostenlosen Kontingent. AWS Informationen zu den GuardDuty Preisen finden Sie unter[Preisgestaltung in GuardDuty](guardduty-pricing.md).
In der folgenden Liste sind die Kosten aufgeführt, die mit der Nutzung von Malware Protection for S3 verbunden sind.
**Kostenloses Kontingent (Kosten für das Scannen)**
Jeder AWS-Konto erhält ein kostenloses Kontingent für 12 Monate, das die Nutzung bis zu einem bestimmten Limit pro Monat für jede Region beinhaltet. Jede Person AWS-Konto erhält ein kostenloses monatliches Nutzungskontingent für bis zu 1.000 Anfragen und 1 GB gescannte Daten. Wenn Ihre Nutzung das angegebene Limit überschreitet, fallen für Sie die Nutzungskosten für das überschrittene Limit an. Vollständige Preisinformationen finden Sie unter Preise für [GuardDuty Schutzpläne](https://aws.amazon.com/guardduty/pricing/#GuardDuty_protection_plans).
Das Scannen auf Abruf ist nicht im kostenlosen Kontingent enthalten.
Informationen zu den Nutzungskosten nach der Aktivierung von Malware Protection for S3 finden Sie unter[Überprüfung der Nutzungskosten für Malware Protection for S3Überprüfung der Nutzungskosten](usage-cost-malware-protection-s3-gdu.md).
**Kosten für die Nutzung von S3 Object Tagging**
Wenn Sie den Malware-Schutz für S3 aktivieren, ist es optional, das Tagging für Ihre gescannten S3-Objekte zu aktivieren. Wenn Sie sich dafür entscheiden, S3 Object Tagging zu aktivieren, fallen damit Nutzungskosten an. Weitere Informationen zu den Kosten finden Sie auf der *Amazon S3 S3-Preisseite* unter dem [Tab Management & Insights](https://aws.amazon.com/s3/pricing/).
Die Nutzungskosten für S3 Object Tagging sind **nicht im Tarif „Kostenloses Kontingent“ enthalten**.
**Amazon S3 APIs — GET und PUT Nutzungskosten**
Es fallen Nutzungskosten an, wenn Amazon S3 APIs basierend auf der IAM-Rolle GuardDuty ausgeführt wird. Wenn Sie beispielsweise die IAM-Rolle übernommen haben, GuardDuty wird die `PutObject` API ausgeführt, um das Testobjekt zu Ihrem ausgewählten Bucket hinzuzufügen. Dies hilft bei der GuardDuty Beurteilung des aktivierten Status der Funktion.
Informationen zu den Preisen für S3-API-Aufrufe in Ihrem AWS-Region finden Sie unter [Anfragen und Datenabrufe unter dem Tab Speicher und Anfragen](https://aws.amazon.com/s3/pricing/#aws-element-86cbc19a-da4c-4c04-bb4f-5c4d1a2de09e) auf der *Amazon S3 S3-Preisseite*.
# Überprüfung der Nutzungskosten für Malware Protection for S3
Für Ihr Konto fallen Nutzungskosten an, wenn Sie Malware Protection for S3 über das spezifische Limit im Rahmen des kostenlosen Kontingents hinaus nutzen oder wenn das 12-monatige kostenlose Kontingent für Ihr Konto endet. Informationen zum kostenlosen Kontingent finden Sie unter. [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md) Beachten Sie, dass das kostenlose Kontingent nicht für das On-Demand-Objektscanning von Malware Protection for S3 gilt.
Die GuardDuty Konsole unterstützt nicht die Überprüfung der Nutzungskosten für Malware Protection for S3. Um die Nutzungskosten anzuzeigen, navigieren Sie in der [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)Konsole zu **Cost Explorer**. Informationen zur AWS-Konto Abrechnung finden Sie im [AWS Billing Benutzerhandbuch](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Informationen zu den geschätzten Nutzungskosten in GuardDuty finden Sie unter[Überwachung der Nutzung und Schätzung der Kosten](monitoring_costs.md).
# Wie funktioniert Malware Protection for S3?
In diesem Abschnitt werden die Komponenten von Malware Protection for S3 beschrieben, wie es funktioniert, nachdem Sie es für einen S3-Bucket aktiviert haben, und wie Sie den Status und das Ergebnis des Malware-Scans überprüfen können.
## -Übersicht
Sie können Malware Protection for S3 für einen Amazon S3 S3-Bucket aktivieren, der Ihnen gehört AWS-Konto. GuardDutybietet Ihnen die Flexibilität, diese Funktion für Ihren gesamten Bucket zu aktivieren oder den Umfang des Malware-Scans auf bestimmte [Objektpräfixe](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) zu beschränken. Dabei wird jedes hochgeladene Objekt GuardDuty gescannt, das mit einem der ausgewählten Präfixe beginnt. Sie können bis zu 5 Präfixe hinzufügen. Wenn Sie die Funktion für einen S3-Bucket aktivieren, wird dieser Bucket als **geschützter Bucket** bezeichnet.
## IAM-Rollenberechtigungen
Malware Protection for S3 verwendet eine IAM-Rolle, die es GuardDuty ermöglicht, die Malware-Scanaktionen in Ihrem Namen durchzuführen. Zu diesen Aktionen gehören die Benachrichtigung über die neu hochgeladenen Objekte in Ihrem ausgewählten Bucket, das Scannen dieser Objekte und optional das Hinzufügen von Tags zu Ihren gescannten Objekten. Dies ist eine Voraussetzung für die Konfiguration Ihres S3-Buckets mit dieser Funktion.
Sie haben die Möglichkeit, entweder eine bestehende IAM-Rolle zu aktualisieren oder zu diesem Zweck eine neue Rolle zu erstellen. Wenn Sie Malware Protection for S3 für mehr als einen Bucket aktivieren, können Sie die bestehende IAM-Rolle nach Bedarf so aktualisieren, dass sie den anderen Bucket-Namen enthält. Weitere Informationen finden Sie unter [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
## Optionales Markieren von Objekten auf der Grundlage des Scanergebnisses
Wenn Sie Malware Protection for S3 für Ihren Bucket aktivieren, gibt es einen optionalen Schritt, um das Tagging für gescannte S3-Objekte zu aktivieren. Die IAM-Rolle beinhaltet bereits die Erlaubnis, Ihrem Objekt nach dem Scan Tags hinzuzufügen. Es GuardDuty werden jedoch nur Tags hinzugefügt, wenn Sie diese Option bei der Einrichtung aktivieren.
Sie müssen diese Option aktivieren, bevor ein Objekt hochgeladen wird. GuardDuty Fügt nach Abschluss des Scans dem gescannten S3-Objekt ein vordefiniertes Tag mit dem folgenden Schlüssel/Wert-Paar hinzu:
`GuardDutyMalwareScanStatus`:`Potential scan result`
Zu den möglichen Tagwerten für das Scanergebnis gehören`NO_THREATS_FOUND`,`THREATS_FOUND`, `UNSUPPORTED``ACCESS_DENIED`, und. `FAILED` Weitere Informationen zu diesen Werten finden Sie unter[Status des potenziellen Scans und Status der Ergebnisse des S3-Objekts](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
Die Aktivierung von Tagging ist eine der Möglichkeiten, mehr über das Ergebnis des S3-Objektscans zu erfahren. Sie können diese Tags außerdem verwenden, um eine S3-Ressourcenrichtlinie für die tagbasierte Zugriffskontrolle (TBAC) hinzuzufügen, sodass Sie Maßnahmen gegen die potenziell schädlichen Objekte ergreifen können. Weitere Informationen finden Sie unter [TBAC zur S3-Bucket-Ressource hinzufügen](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
Wir empfehlen Ihnen, das Tagging bei der Konfiguration von Malware Protection for S3 für Ihren Bucket zu aktivieren. Wenn Sie das Tagging aktivieren, nachdem ein Objekt hochgeladen wurde und möglicherweise der Scan gestartet wurde, GuardDuty können dem gescannten Objekt keine Tags hinzugefügt werden. Informationen zu den damit verbundenen Kosten für das S3-Objekt-Tagging finden Sie unter. [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md)
## Vorgang, nachdem Sie Malware Protection for S3 für einen Bucket aktiviert haben
Nachdem Sie Malware Protection for S3 aktiviert haben, wird eine **Ressource für den Malware-Schutzplan** exklusiv für den ausgewählten S3-Bucket erstellt. Diese Ressource ist mit einer Paket-ID für den Malware-Schutz verknüpft, einer eindeutigen Kennung für Ihre geschützte Ressource. Mithilfe einer der IAM-Berechtigungen wird GuardDuty anschließend eine EventBridge verwaltete Regel mit dem Namen erstellt und verwaltet. `DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`
### Wie GuardDuty geht man mit Ihren Daten um — Leitplanken für den Datenschutz
Malware Protection for S3 hört sich die EventBridge Amazon-Benachrichtigungen an. Wenn ein Objekt in den ausgewählten Bucket oder eines der Präfixe hochgeladen wird, wird dieses Objekt mithilfe von aus dem S3-Bucket GuardDuty heruntergeladen [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)und anschließend in einer isolierten Umgebung in derselben Region gelesen, entschlüsselt und gescannt. Die Scanumgebung läuft in einer gesperrten Virtual Private Cloud (VPC) ohne Internetzugang. Die VPC ist an eine DNS-Firewall-Regelgruppe angehängt, die nur die Kommunikation mit den Domänen auf der Zulassungsliste zulässt, die Eigentümer ist. AWS Speichert das heruntergeladene S3-Objekt für die Dauer des Scans GuardDuty vorübergehend in der mit [AWS Key Management Service ()AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) -Schlüsseln verschlüsselten Scanumgebung.
**Anmerkung**
Standardmäßig initiieren alle Amazon S3 S3-Dateien, die im *Amazon S3 S3-Benutzerhandbuch* unter dem [Typ Object Created Event APIs ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html) aufgeführt sind, den Malware Protection for S3-Scan.
Zu diesen *Ereignistypen* gehören [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)[POST-Objekt](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) und [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html). [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Informationen zur Methode zur GuardDuty Malware-Erkennung und zu den verwendeten Scan-Engines finden Sie unter[GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md).
Nach Abschluss des Malware-Scans GuardDuty werden die Scan-Metadaten mit dem Scanstatus verarbeitet und anschließend die heruntergeladene Kopie des Objekts gelöscht.
GuardDuty reinigt die Scanumgebung jedes Mal, bevor ein neuer Scan beginnt. GuardDuty verwendet eine bedingte Autorisierung für den Benutzerzugriff auf die Scanumgebung, und jede Zugriffsanfrage wird geprüft, genehmigt und geprüft.
### Status und Ergebnis des S3-Objektscans werden überprüft
GuardDuty veröffentlicht das Ergebnisereignis des S3-Objektscans im EventBridge Amazon-Standardereignisbus. GuardDuty sendet auch die Scan-Metriken wie die Anzahl der gescannten Objekte und die Anzahl der gescannten Byte an Amazon CloudWatch. Wenn Sie Tagging aktiviert haben, GuardDuty werden das vordefinierte Tag `GuardDutyMalwareScanStatus` und ein potenzielles Scanergebnis als Tag-Wert hinzugefügt.
**Wichtig**
GuardDuty verwendet die at-least-once Zustellung, was bedeutet, dass Sie möglicherweise mehrere Scanergebnisse für dasselbe Objekt erhalten. Wir empfehlen, Ihre Anwendungen so zu gestalten, dass doppelte Ergebnisse verarbeitet werden. Für jedes gescannte Objekt wird Ihnen nur einmal eine Rechnung gestellt.
Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
### Überprüfung der generierten Ergebnisse
Die Überprüfung der Ergebnisse hängt davon ab, ob Sie Malware Protection for S3 mit verwenden oder nicht GuardDuty. Betrachten Sie folgende Szenarien:
**Verwenden Sie den Malware-Schutz für S3, wenn Sie den GuardDuty Dienst aktiviert haben (Detektor-ID)**
Wenn der Malware-Scan eine potenziell schädliche Datei in einem S3-Objekt erkennt, GuardDuty wird ein entsprechender Befund generiert. Sie können sich die Details des Befundes ansehen und die empfohlenen Schritte anwenden, um das Ergebnis möglicherweise zu beheben. Je nach [Häufigkeit Ihrer Exportergebnisse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency) wird das generierte Ergebnis in einen S3-Bucket und einen EventBridge Event-Bus exportiert.
Hinweise zu dem Befundtyp, der generiert werden würde, finden Sie unter[Suchtyp „Malware-Schutz für S3“](gdu-malware-protection-s3-finding-types.md).
**Verwendung von Malware Protection for S3 als eigenständige Funktion (keine Detektor-ID)**
GuardDuty kann keine Ergebnisse generieren, da keine zugehörige Detektor-ID vorhanden ist. Um den Status des S3-Objekt-Malware-Scans zu erfahren, können Sie sich das Scanergebnis ansehen, das GuardDuty automatisch in Ihrem Standard-Event-Bus veröffentlicht wird. Sie können sich auch die CloudWatch Metriken ansehen, um die Anzahl der Objekte und Byte einzuschätzen, die GuardDuty versucht haben, zu scannen. Sie können CloudWatch Alarme einrichten, um über die Scanergebnisse informiert zu werden. Wenn Sie S3 Object Tagging aktiviert haben, können Sie auch den Status des Malware-Scans einsehen, indem Sie das S3-Objekt auf den `GuardDutyMalwareScanStatus` Tag-Schlüssel und den Tag-Wert für das Scanergebnis überprüfen.
Informationen zum Status und zum Ergebnis des S3-Objektscans finden Sie unter[Überwachung von S3-Objektscans in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
# Funktionen des Malware-Schutzes für S3
Die folgende Liste bietet einen Überblick darüber, was Sie erwarten oder tun können, nachdem Sie Malware Protection for S3 für Ihren Bucket aktiviert haben:
+ **Wählen Sie aus, was gescannt** werden soll — Dateien werden beim Hochladen auf alle oder bestimmte Präfixe (bis zu 5) gescannt, die Ihrem ausgewählten S3-Bucket zugeordnet sind.
+ **Automatische Scans hochgeladener Objekte** — Sobald Sie Malware Protection for S3 für einen Bucket aktiviert haben, GuardDuty wird automatisch ein Scan gestartet, um potenzielle Malware in einem neu hochgeladenen Objekt zu erkennen.
+ **Scans auf Anforderung** — Sie können Scans für vorhandene Objekte starten oder zuvor gescannte Objekte erneut scannen. Weitere Informationen finden Sie unter [S3-Malware-Scan auf Anfrage GuardDuty](malware-protection-s3-on-demand.md).
+ **Aktivierung über die Konsole, mithilfe von API/AWS CLI, oder CloudFormation** — Wählen Sie eine bevorzugte Methode, um Malware Protection for S3 zu aktivieren.
*Sie können den Malware-Schutz für S3 aktivieren, indem Sie Infrastructure-as-Code-Plattformen (IaC) wie Terraform verwenden.* [Weitere Informationen finden Sie unter Ressource:. `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan)
+ **Unterstützte Dateiformate, Malware Protection for S3-Kontingente und Amazon S3 S3-Funktionen** — Malware Protection for S3 unterstützt alle Dateiformate, die Sie in einen S3-Bucket hochladen können. Wenn die hochgeladene Datei kennwortgeschützt GuardDuty ist und das Vorhandensein eines Kennwortschutzes für den Typ der hochgeladenen Datei erkennen kann, GuardDuty wird versucht, den Originalinhalt mit gängigen Passwörtern zu scannen. Wenn das Passwort fehlschlägt, wird der Scan übersprungen. GuardDuty kann nicht feststellen, dass in allen Dateiformaten ein Passwortschutz vorhanden ist. Wenn das Vorhandensein eines Kennwortschutzes nicht erkannt werden GuardDuty kann, GuardDuty wird der verschlüsselte Inhalt trotzdem gescannt.
Informationen zu den Kontingenten in Bezug auf Objektgröße, maximale Archivtiefe und weitere Informationen finden Sie unter[Kontingente im Malware-Schutz für S3](malware-protection-s3-quotas-guardduty.md).
Informationen darüber, ob eine Amazon S3 S3-Funktion unterstützt wird oder nicht, finden Sie unter[Unterstützbarkeit der Amazon S3 S3-Funktionen](supported-s3-features-malware-protection-s3.md).
+ **Unterstützt das Markieren gescannter S3-Objekte** — Wenn Sie diese Option aktivieren[Optionales Markieren von Objekten auf der Grundlage des Scanergebnisses](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3), GuardDuty wird nach jedem Malware-Scan ein Tag hinzugefügt, das den Scanstatus angibt. Sie können dieses Tag verwenden, um die tagbasierte Zugriffskontrolle (TBAC) für die S3-Objekte einzurichten. Sie können beispielsweise den Zugriff auf die S3-Objekte einschränken, die als bösartig gekennzeichnet sind und den Tag-Wert als haben. `THREATS_FOUND`
+ ** EventBridge Amazon-Benachrichtigungen** — GuardDuty sendet Ereignisse an Amazon EventBridge , wenn sich der Ressourcenstatus des Malware-Schutzplans ändert oder ein Malware-Scan des S3-Objekts abgeschlossen ist. Diese Ereignisse werden an den Standard-Event-Bus gesendet. Sie können diese Ereignisse verwenden EventBridge , um Regeln zu schreiben, die Aktionen ergreifen, z. B. die Überwachung, wann diese Ereignisse eintreten. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ **CloudWatch Metriken** — Zeigen Sie CloudWatch Metriken an, um Alarme bei einem bestimmten Malware-Scanstatus zu aktivieren. Weitere Informationen finden Sie unter [Statusmetriken für den S3-Objektscan in CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md).
# (Optional) Starten Sie eigenständig mit GuardDuty Malware Protection for S3 (nur Konsole)
Verwenden Sie diesen optionalen Schritt, wenn Sie unabhängig von Ihrem GuardDuty Status mit der Bedrohungserkennungsoption Malware Protection for S3 beginnen möchten AWS-Konto.
Wenn Sie auch andere spezielle Schutzpläne verwenden möchten GuardDuty, müssen Sie mit dem GuardDuty Amazon-Service beginnen. Informationen zu GuardDuty Schutzplänen finden Sie unter[Eigenschaften von GuardDuty](what-is-guardduty.md#features-of-guardduty). Wenn Sie die Aktivierung GuardDuty in Ihrem Konto bereits aktiviert haben, können Sie diesen Schritt überspringen und fortfahren[Konfiguration des Malware-Schutzes für S3 für Ihren Bucket](configuring-malware-protection-for-s3-guardduty.md).
**Schritte für den Einstieg in die Bedrohungserkennung nur für Malware Protection for S3**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie **GuardDuty Malware-Schutz nur für S3** aus. Auf diese Weise können Sie erkennen, ob eine neu hochgeladene Datei in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket möglicherweise Malware enthält.
![\[Wählen Sie die Option „GuardDuty Malware-Schutz nur für S3“ und anschließend „Erste Schritte“.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/select-malware-protection-for-s3-console.png)
1. Wählen Sie **Erste Schritte**. Sie können nun mit den Schritten unter fortfahren[Konfiguration des Malware-Schutzes für S3 für Ihren Bucket](configuring-malware-protection-for-s3-guardduty.md).
# Konfiguration des Malware-Schutzes für S3 für Ihren Bucket
Damit Malware Protection for S3 Ihre S3-Objekte scannt und (optional) mit Tags versehen kann, können Sie Service-Rollen verwenden, die über die erforderlichen Berechtigungen verfügen, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Weitere Informationen zur Verwendung von Servicerollen zur Aktivierung des Malware-Schutzes für S3 finden Sie unter [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Diese Rolle unterscheidet sich von der [Rolle, die mit dem Dienst GuardDuty Malware Protection verknüpft](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html) ist.
Wenn Sie lieber IAM-Rollen verwenden möchten, können Sie eine IAM-Rolle anhängen, die die erforderlichen Berechtigungen zum Scannen und (optional) Hinzufügen von Tags zu Ihren S3-Objekten enthält. GuardDuty übernimmt dann diese IAM-Rolle, um diese Aktionen in Ihrem Namen durchzuführen. Sie benötigen diesen IAM-Rollennamen, wenn Sie diesen Schutzplan für Ihren Amazon S3 S3-Bucket aktivieren.
Wenn Sie IAM-Rollen verwenden, müssen Sie jedes Mal, wenn Sie einen Amazon S3 S3-Bucket schützen möchten, beide in diesem Abschnitt aufgeführten Schritte ausführen.
Um Malware Protection for S3 zu aktivieren, benötigen Sie Details wie den S3-Bucket-Namen, Objektpräfixe, wenn Sie den Schutz auf bestimmte Präfixe konzentrieren möchten, und den IAM-Rollennamen mit den erforderlichen Berechtigungen.
Die Schritte bleiben dieselben, unabhängig davon, ob Sie mit Malware Protection for S3 beginnen oder es als Teil des Dienstes aktivieren. GuardDuty
**Topics**
1. [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md)
1. [Malware-Schutz für S3 für Ihren Bucket aktivieren](enable-malware-protection-s3-bucket.md)
1. [Behebung eines Fehlers mit IAM-Rollenberechtigungen](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Malware-Schutz für S3 für Ihren Bucket aktivieren
Dieser Abschnitt enthält detaillierte Schritte zur Aktivierung von Malware Protection for S3 für einen Bucket in Ihrem eigenen Konto. Bevor Sie fortfahren, sollten Sie sich die folgenden Überlegungen ansehen:
+ Wenn Sie diesen Schutzplan über die GuardDuty Konsole aktivieren, umfasst er im Abschnitt **Dienstzugriff** den Schritt zum Erstellen einer neuen Rolle oder zum Verwenden einer vorhandenen Rolle.
+ Wenn Sie diesen Schutzplan über die GuardDuty API oder CLI aktivieren, müssen Sie dies tun, [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md) bevor Sie fortfahren.
+ Unabhängig davon, wie Sie diesen Schutzplan aktivieren, müssen Sie über die erforderlichen Voraussetzungen verfügen[Berechtigungen zum Erstellen einer Ressource für den Malware-Schutzplan](#malware-protection-s3-permissions-prerequisite).
**Erwägen Sie die Drosselung des Amazon S3 S3-Buckets**
S3-Drosselung kann die Geschwindigkeit einschränken, mit der Daten zu oder von Ihren Amazon S3 S3-Buckets übertragen werden können. Dies kann möglicherweise Malware-Scans Ihrer neu hochgeladenen Objekte verzögern.
Wenn Sie ein hohes Volumen an `GET` und `PUT` Anfragen an Ihre S3-Buckets erwarten, sollten Sie Maßnahmen ergreifen, um Drosselung zu verhindern. Informationen dazu, wie Sie dies tun können, finden Sie unter [Amazon S3 S3-Drosselung verhindern](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) im *Amazon Athena Athena-Benutzerhandbuch*.
**Topics**
## Berechtigungen zum Erstellen einer Ressource für den Malware-Schutzplan
Wenn Sie Malware Protection for S3 für einen Amazon S3 S3-Bucket aktivieren, GuardDuty wird eine Ressource für den Malware-Schutzplan erstellt, die als Kennung für den Schutzplan des Buckets dient. Wenn Sie die noch nicht verwenden[AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess\$1v2 (empfohlen)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), müssen Sie die folgenden Berechtigungen hinzufügen, um diese Ressource zu erstellen:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Sie können das folgende Beispiel für eine benutzerdefinierte Richtlinie verwenden und die *placeholder values* durch die für Ihr Konto geeigneten Werte ersetzen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Malware-Schutz für S3 mithilfe der GuardDuty Konsole aktivieren
In den folgenden Abschnitten finden Sie eine step-by-step exemplarische Vorgehensweise, wie Sie sie in der GuardDuty Konsole erleben werden.
**So aktivieren Sie den Malware-Schutz für S3 mithilfe der Konsole GuardDuty **
### Geben Sie die S3-Bucket-Details ein
Gehen Sie wie folgt vor, um die Amazon S3 S3-Bucket-Details bereitzustellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Malware Protection for S3 aktivieren möchten.
1. Wählen Sie im Navigationsbereich die Option **Malware Protection** for S3 aus.
1. Wählen Sie im Abschnitt **Geschützte Buckets** die Option **Aktivieren** aus, um Malware Protection for S3 für einen S3-Bucket zu aktivieren, der Ihrem eigenen AWS-Konto gehört.
1. **Geben Sie unter S3-Bucket-Details** eingeben den Namen des **Amazon S3 S3-Buckets** ein. Wählen Sie alternativ **Browse S3**, um einen S3-Bucket auszuwählen.
Der AWS-Region Name des S3-Buckets und der Bereich AWS-Konto , in dem Sie den Malware-Schutz für S3 aktivieren, müssen identisch sein. Wenn Ihr Konto beispielsweise zur `us-east-1` Region gehört, muss dies auch Ihre Amazon S3 S3-Bucket-Region sein`us-east-1`.
1. Unter **Präfix** können Sie entweder **Alle Objekte im S3-Bucket oder Objekte, die** **mit einem bestimmten Präfix beginnen**, auswählen.
+ Wählen Sie **Alle Objekte im S3-Bucket** aus, wenn Sie alle neu hochgeladenen Objekte im ausgewählten Bucket scannen möchten GuardDuty .
+ Wählen Sie **Objekte, die mit einem bestimmten Präfix beginnen**, wenn Sie die neu hochgeladenen Objekte scannen möchten, die zu einem bestimmten Präfix gehören. Mit dieser Option können Sie den Umfang des Malware-Scans nur auf die ausgewählten Objektpräfixe konzentrieren. Weitere Informationen zur Verwendung von Präfixen finden Sie unter [Objekte in der Amazon S3 S3-Konsole mithilfe von Ordnern organisieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wählen Sie **Präfix hinzufügen** und geben Sie Präfix ein. Sie können bis zu fünf Präfixe hinzufügen.
### Aktivieren Sie das Tagging für gescannte Objekte
Dies ist ein **optionaler** Schritt. Wenn Sie die Tagging-Option aktivieren, bevor ein Objekt in Ihren Bucket hochgeladen wird, GuardDuty wird nach Abschluss des Scans ein vordefiniertes Tag mit dem Schlüssel as `GuardDutyMalwareScanStatus` und dem Wert als Scanergebnis hinzugefügt. Um den Malware-Schutz für S3 optimal nutzen zu können, empfehlen wir, die Option zum Hinzufügen von Tags zu den S3-Objekten nach Abschluss des Scans zu aktivieren. Es fallen die Standardkosten für das S3-Objekt-Tagging an. Weitere Informationen finden Sie unter [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
**Warum sollten Sie Tagging aktivieren?**
+ Das Aktivieren von Tagging ist eine der Möglichkeiten, sich über das Ergebnis des Malware-Scans zu informieren. Hinweise zu den Ergebnissen eines S3-Malware-Scans finden Sie unter[Überwachung von S3-Objektscans in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Richten Sie eine Tag-Based Access Control (TBAC) -Richtlinie für Ihren S3-Bucket ein, der das potenziell schädliche Objekt enthält. Informationen zu Überlegungen und zur Implementierung der tagbasierten Zugriffskontrolle (TBAC) finden Sie unter. [Verwenden von tagbasierter Zugriffskontrolle (TBAC) mit Malware Protection for S3](tag-based-access-s3-malware-protection.md)
**Überlegungen zum Hinzufügen eines Tags GuardDuty zu Ihrem S3-Objekt:**
+ Standardmäßig können Sie einem Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter [Kategorisieren Ihres Speichers mithilfe von Tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wenn alle 10 Tags bereits verwendet werden, GuardDuty kann das vordefinierte Tag dem gescannten Objekt nicht hinzugefügt werden. GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Wenn die gewählte IAM-Rolle nicht über die Berechtigung GuardDuty zum Taggen des S3-Objekts verfügt, können Sie diesem gescannten S3-Objekt auch dann kein Tag hinzufügen, GuardDuty wenn das Tagging für Ihren geschützten Bucket aktiviert ist. Weitere Informationen zu den erforderlichen IAM-Rollenberechtigungen für das Tagging finden Sie unter. [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Um eine Option unter **Gescannte Objekte taggen** auszuwählen**
+ Wenn Sie Ihren gescannten S3-Objekten Tags hinzufügen **möchten** GuardDuty , wählen Sie **Objekte kennzeichnen**.
+ Wenn Sie Ihren gescannten S3-Objekten **keine Tags hinzufügen möchten** GuardDuty , wählen Sie **Objekte nicht taggen**.
### Zugriff auf Services
Gehen Sie wie folgt vor, um eine bestehende Servicerolle auszuwählen oder eine neue Servicerolle zu erstellen, die über die erforderlichen Berechtigungen verfügt, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Zu diesen Aktionen können das Scannen der neu hochgeladenen S3-Objekte und (optional) das Hinzufügen von Tags zu diesen Objekten gehören. Informationen zu den Berechtigungen, die diese Rolle haben wird, finden Sie unter[IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
Im Abschnitt **Dienstzugriff** können Sie eine der folgenden Aktionen ausführen:
1. **Eine neue Servicerolle erstellen und verwenden** — Sie können eine neue Servicerolle erstellen, die über die erforderlichen Berechtigungen verfügt, um einen Malware-Scan durchzuführen.
Unter dem **Rollennamen können Sie den Namen verwenden, mit dem die Rolle** bereits ausgefüllt ist, GuardDuty oder Sie können einen aussagekräftigen Namen Ihrer Wahl eingeben, um die Rolle zu identifizieren. Zum Beispiel `GuardDutyS3MalwareScanRole`. Der Rollenname muss aus 1—64 Zeichen bestehen. Gültige Zeichen sind die Zeichen a-z, A-Z, 0-9 und '\$1=, .@-\$1'.
1. **Eine bestehende Servicerolle verwenden — Sie können eine vorhandene Servicerolle** **aus der Liste der Servicerollennamen auswählen.**
1. Unter **Richtlinienvorlage** können Sie die Richtlinie für Ihren S3-Bucket einsehen. Stellen Sie sicher, dass Sie im Abschnitt S3-Bucket-Details **eingeben einen S3-Bucket** eingegeben oder ausgewählt haben.
1. Wählen Sie unter **Name der Servicerolle** eine Servicerolle aus der Liste der Servicerollen aus.
Sie können je nach Ihren Anforderungen Änderungen an der Richtlinie vornehmen. Weitere Informationen dazu, wie Sie eine IAM-Rolle erstellen oder aktualisieren können, finden Sie unter IAM-Rollenrichtlinie [erstellen oder aktualisieren](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Informationen zu Problemen mit IAM-Rollenberechtigungen finden Sie unter. [Behebung eines Fehlers mit IAM-Rollenberechtigungen](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
### (Optional) Taggen Sie die Paket-ID für den Malware-Schutz
Dies ist ein optionaler Schritt, mit dem Sie der Ressource des Malware-Schutzplans, die für Ihre S3-Bucket-Ressource erstellt werden würde, Tags hinzufügen können.
Jedes Tag besteht aus zwei Teilen: einem Tag-Schlüssel und einem optionalen Tag-Wert. Weitere Informationen zu Tagging und seinen Vorteilen finden Sie unter Ressourcen [zum Taggen AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**So fügen Sie Tags zur Ressource Ihres Malware-Schutzplans hinzu**
1. Geben Sie einen **Schlüssel** und einen optionalen **Wert** für das Tag ein. Sowohl beim Tag-Schlüssel als auch beim Tag-Wert wird zwischen Groß- und Kleinschreibung unterschieden. Informationen zu den Namen von Tag-Schlüsseln und Tag-Werten finden Sie unter [Einschränkungen und Anforderungen für die Benennung von Tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Um weitere Tags zur Ressource Ihres Malware-Schutzplans hinzuzufügen, wählen Sie **Neues Tag hinzufügen** und wiederholen Sie den vorherigen Schritt. Sie können bis zu 50 Tags für jede -Ressource hinzufügen.
1. Wählen Sie **Enable (Aktivieren)** aus.
## Malware-Schutz für S3 mithilfe von API/CLI aktivieren
Dieser Abschnitt enthält die Schritte für den Fall, dass Sie Malware Protection for S3 programmgesteuert in Ihrer Umgebung aktivieren möchten. AWS Dies erfordert die IAM-Rolle Amazon Resource Name (ARN), die Sie in diesem Schritt erstellt haben -[IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
**So aktivieren Sie Malware Protection for S3 programmgesteuert mithilfe von API/CLI**
+ **Durch die Verwendung der API**
Führen Sie den aus [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html), um den Malware-Schutz für S3 für einen Bucket zu aktivieren, der zu Ihrem eigenen Konto gehört.
+ **Durch die Verwendung von AWS CLI**
Je nachdem, wie Sie den Malware-Schutz für S3 aktivieren möchten, enthält die folgende Liste AWS CLI Beispielbefehle für einen bestimmten Anwendungsfall. Wenn Sie diese Befehle ausführen, ersetzen Sie die*placeholder examples shown in red*, durch die Werte, die für Ihr Konto geeignet sind.
**AWS CLI Beispielbefehle**
+ Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket ohne Tagging für gescannte S3-Objekte zu aktivieren:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket mit bestimmten Objektpräfixen und ohne Tagging für gescannte S3-Objekte zu aktivieren:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket zu aktivieren, für den das Tagging von gescannten S3-Objekten aktiviert ist:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Nachdem Sie diese Befehle erfolgreich ausgeführt haben, wird eine eindeutige ID für den Malware-Schutzplan generiert. Um Aktionen wie das Aktualisieren oder Deaktivieren des Schutzplans für Ihren Bucket durchzuführen, benötigen Sie diese ID des Malware-Schutzplans.
Informationen zu Problemen mit IAM-Rollenberechtigungen finden Sie unter. [Behebung eines Fehlers mit IAM-Rollenberechtigungen](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# IAM-Rollenrichtlinie erstellen oder aktualisieren
Damit Malware Protection for S3 Ihre S3-Objekte scannt und (optional) Tags zu ihnen hinzufügt, können Sie Dienstrollen verwenden, die über die erforderlichen Berechtigungen verfügen, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Weitere Informationen zur Verwendung von Servicerollen zur Aktivierung des Malware-Schutzes für S3 finden Sie unter [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Diese Rolle unterscheidet sich von der [Rolle, die mit dem Dienst GuardDuty Malware Protection verknüpft](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html) ist.
Wenn Sie lieber IAM-Rollen verwenden möchten, können Sie eine IAM-Rolle anhängen, die die erforderlichen Berechtigungen zum Scannen und (optional) Hinzufügen von Tags zu Ihren S3-Objekten enthält. Sie müssen eine IAM-Rolle erstellen oder eine bestehende Rolle aktualisieren, um diese Berechtigungen einzubeziehen. Da diese Berechtigungen für jeden Amazon S3 S3-Bucket erforderlich sind, für den Sie Malware Protection for S3 aktivieren, müssen Sie diesen Schritt für jeden Amazon S3 S3-Bucket ausführen, den Sie schützen möchten.
In der folgenden Liste wird erklärt, wie bestimmte Berechtigungen dabei helfen, den Malware-Scan in Ihrem Namen GuardDuty durchzuführen:
+ Erlauben Sie Amazon EventBridge Actions, die EventBridge verwaltete Regel zu erstellen und zu verwalten, sodass Malware Protection for S3 Ihre S3-Objektbenachrichtigungen abhören kann.
Weitere Informationen finden Sie unter [Von Amazon EventBridge verwaltete Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) im * EventBridge Amazon-Benutzerhandbuch*.
+ Erlauben Sie Amazon S3 und EventBridge Aktionen, Benachrichtigungen EventBridge für alle Ereignisse in diesem Bucket zu senden
Weitere Informationen finden Sie unter [Enabling Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) im *Amazon S3 S3-Benutzerhandbuch*.
+ Erlauben Sie Amazon S3 S3-Aktionen den Zugriff auf das hochgeladene S3-Objekt und fügen Sie dem gescannten S3-Objekt ein vordefiniertes Tag hinzu. `GuardDutyMalwareScanStatus` Wenn Sie ein Objektpräfix verwenden, fügen Sie eine `s3:prefix` Bedingung nur für die Zielpräfixe hinzu. Dadurch wird GuardDuty verhindert, dass Sie auf alle S3-Objekte in Ihrem Bucket zugreifen können.
+ Erlauben Sie KMS-Schlüsselaktionen den Zugriff auf das Objekt, bevor Sie mit der unterstützten DSSE-KMS- und SSE-KMS-Verschlüsselung ein Testobjekt scannen und in Buckets platzieren.
**Anmerkung**
Dieser Schritt ist jedes Mal erforderlich, wenn Sie Malware Protection for S3 für einen Bucket in Ihrem Konto aktivieren. Wenn Sie bereits über eine bestehende IAM-Rolle verfügen, können Sie deren Richtlinie so aktualisieren, dass sie die Details einer anderen Amazon S3 S3-Bucket-Ressource enthält. Das [Hinzufügen von IAM-Richtlinienberechtigungen](#attach-iam-policy-s3-malware-protection) Thema enthält ein Beispiel dafür, wie Sie dies tun können.
Verwenden Sie die folgenden Richtlinien, um eine IAM-Rolle zu erstellen oder zu aktualisieren.
**Topics**
+ [Hinzufügen von IAM-Richtlinienberechtigungen](#attach-iam-policy-s3-malware-protection)
+ [Eine Richtlinie für Vertrauensbeziehungen wird hinzugefügt](#add-iam-trust-policy-s3-malware-protection)
## Hinzufügen von IAM-Richtlinienberechtigungen
Sie können wählen, ob Sie die Inline-Richtlinie einer vorhandenen IAM-Rolle aktualisieren oder eine neue IAM-Rolle erstellen möchten. Informationen zu diesen Schritten finden Sie unter [Erstellen einer IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) oder [Ändern einer Rollenberechtigungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) im *IAM-Benutzerhandbuch*.
Fügen Sie Ihrer bevorzugten IAM-Rolle die folgende Berechtigungsvorlage hinzu. Ersetzen Sie die folgenden Platzhalterwerte durch entsprechende Werte, die Ihrem Konto zugeordnet sind:
+ Ersetzen Sie für *amzn-s3-demo-bucket* durch Ihren Amazon S3 S3-Bucket-Namen.
Um dieselbe IAM-Rolle für mehr als eine S3-Bucket-Ressource zu verwenden, aktualisieren Sie eine bestehende Richtlinie, wie im folgenden Beispiel dargestellt:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Stellen Sie sicher, dass Sie ein Komma (,) hinzufügen, bevor Sie einen neuen ARN hinzufügen, der dem S3-Bucket zugeordnet ist. Tun Sie dies überall dort, wo Sie `Resource` in der Richtlinienvorlage auf einen S3-Bucket verweisen.
+ Für*111122223333*, ersetzen Sie es durch Ihre AWS-Konto ID.
+ Für*us-east-1*, ersetzen Sie durch Ihre AWS-Region.
+ Ersetzen Sie für *APKAEIBAERJR2EXAMPLE* durch Ihre vom Kunden verwaltete Schlüssel-ID. Wenn Ihr S3-Bucket mithilfe eines AWS KMS Schlüssels verschlüsselt ist, fügen wir die entsprechenden Berechtigungen hinzu, wenn Sie bei der Konfiguration des Malware-Schutzes für Ihren Bucket die Option [Neue Rolle erstellen](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) wählen.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Vorlage für eine IAM-Rollenrichtlinie**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Eine Richtlinie für Vertrauensbeziehungen wird hinzugefügt
Fügen Sie Ihrer IAM-Rolle die folgende Vertrauensrichtlinie hinzu. Informationen zu den einzelnen Schritten finden Sie unter [Vertrauensrichtlinie für Rollen ändern](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Behebung eines Fehlers mit IAM-Rollenberechtigungen
GuardDuty Prüft bei der Aktivierung von Malware Protection for S3, ob Ihre IAM-Servicerolle über die erforderlichen Berechtigungen verfügt, um den Besitz eines Amazon S3 S3-Buckets zu überprüfen. Wenn diese Berechtigungen fehlen oder falsch konfiguriert sind, wird möglicherweise die folgende Meldung angezeigt:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Die folgenden Szenarien können Ihnen bei der Behebung dieses Fehlers helfen:
**Fehlende IAM-Rollenberechtigungen**
+ Die IAM-Rolle muss über die erforderlichen Berechtigungen verfügen, damit Malware Protection for S3 diese Rolle übernehmen kann.
+ GuardDuty bestätigt den Besitz des Buckets mit der `"s3:ListBucket"` entsprechenden Genehmigung. Dies muss in der IAM-Rolle, die Sie verwenden, vorhanden sein.
Informationen zu den Berechtigungen finden Sie unter[IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
**Verfügbarkeit von IAM-Rollen**
+ Wenn Sie eine neue IAM-Rolle erstellen, warten Sie einige Minuten, bis die Änderungen endgültig konsistent sind, bevor Sie Malware Protection for S3 aktivieren. Wenn Sie versuchen, den Schutzplan unmittelbar nach der Erstellung der Rolle zu aktivieren, schlägt die Überprüfung möglicherweise fehl.
+ Für Infrastructure as Code (IaC) -Bereitstellungen GuardDuty empfiehlt es sich, eine Ressourcenabhängigkeit zu deklarieren, um sicherzustellen, dass die IAM-Rolle letztendlich konsistent ist.
[Beispielvorlagen dazu finden Sie im Repository. GuardDuty GitHub](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Regionsübergreifende Aktivierung**
Stellen Sie sicher, dass sich Ihr Amazon S3 S3-Bucket in derselben Region befindet, in der Sie Malware Protection for S3 aktivieren GuardDuty.
# Schritte nach der Aktivierung von Malware Protection for S3
In diesem Abschnitt werden die Schritte aufgeführt, die Sie ergreifen können, nachdem Sie Malware Protection for S3 für einen Bucket aktiviert haben. Die folgenden Schritte sind in einer Reihenfolge aufgeführt, die Ihnen die Navigation durch die nächsten Schritte erleichtert:
**Gehen Sie wie folgt vor, nachdem Sie Malware Protection for S3 für Ihren Bucket aktiviert haben**
1. **Ressourcenrichtlinie für tagbasierte Zugriffskontrolle (TBAC) hinzufügen** — Wenn Sie Tagging aktivieren und ein Objekt in den ausgewählten Bucket hochgeladen wird, stellen Sie sicher, dass Sie die TBAC-Richtlinie zu Ihrer S3-Bucket-Ressource hinzufügen. Weitere Informationen finden Sie unter [TBAC zur S3-Bucket-Ressource hinzufügen](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
1. Status **des Malware-Schutzplans überwachen — Überwachen Sie die Statusspalte** für jeden geschützten **Bucket**. Informationen zu möglichen Status und deren Bedeutung finden Sie unter[Status eines geschützten Buckets anzeigen und verstehen](malware-protection-s3-bucket-status-gdu.md).
1. **Starten Sie einen Scan**, indem Sie eine der folgenden Optionen wählen:
+ **Laden Sie ein Objekt** hoch:
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Laden Sie eine Datei in den S3-Bucket oder das Objektpräfix hoch, für das Sie diese Funktion aktiviert haben. Die Schritte zum Hochladen einer Datei finden Sie unter [Hochladen eines Objekts in Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html) im *Amazon S3 S3-Benutzerhandbuch*.
+ **Initiieren Sie einen On-Demand-Scan**: [S3-Malware-Scan auf Anfrage GuardDuty](malware-protection-s3-on-demand.md)
1. **S3-Objektscanstatus und Scanergebnis überwachen** — Dieser Schritt beinhaltet Informationen darüber, wie Sie den Malware-Scanstatus des S3-Objekts überprüfen können.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/malware-protection-s3-steps-after-enabling.html)
# S3-Malware-Scan auf Anfrage GuardDuty
GuardDuty Malware Protection for S3 überwacht kontinuierlich neue S3-Uploads. Für Objekte, die vor der Aktivierung des Schutzes vorhanden waren, oder um zuvor gescannte Objekte erneut zu scannen, können Sie einen S3-Malware-Scan auf Anfrage starten, sobald Sie den GuardDuty Malware-Schutzplan für Ihren Bucket aktiviert haben.
Beim On-Demand-Malware-Scan wird die IAM-Rolle des Malware Protection Plans für den Objektzugriff und die Konfiguration verwendet. Der Scan überschreibt jedes Präfix, das im Malware-Schutzplan für den Bucket konfiguriert wurde.
**Anmerkung**
Das Malware Protection for S3-Kontingent gilt für Malware-Scans auf Abruf. Weitere Informationen finden Sie unter[Kontingente im Malware-Schutz für S3](malware-protection-s3-quotas-guardduty.md).
Weitere Informationen zu Preisen erhalten Sie unter [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
## Voraussetzungen
Bevor Sie einen Malware-Scan auf Abruf starten können, muss Ihr Konto die folgenden Voraussetzungen erfüllen:
+ Der Malware-Schutz für S3 ist im Ziel-Bucket aktiviert. Weitere Informationen finden Sie unter [Konfiguration des Malware-Schutzes für S3 für Ihren Bucket](configuring-malware-protection-for-s3-guardduty.md).
+ Die [AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess\$1v2 (empfohlen)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) Richtlinie ist dem IAM-Benutzer oder der IAM-Rolle zugeordnet, die die API aufruft.
## Starten Sie den Malware-Scan auf Abruf
Verwenden Sie den [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)API-Vorgang, für den der S3-Objektpfad als Eingabe erforderlich ist.
------
#### [ API/CLI ]
Sie können entweder die neueste Version des Objekts scannen oder eine bestimmte Version für den Scan angeben.
Um eine bestimmte Version eines Objekts zu scannen:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```
Um die neueste Version eines Objekts zu scannen:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```
------
**Wichtig**
Ein erfolgreicher API-Aufruf bestätigt, dass die Scananforderung akzeptiert wurde. Es ist jedoch wichtig, die Scanergebnisse zu überwachen, um einen erfolgreichen Abschluss sicherzustellen und Probleme zu identifizieren, z. B. Fehler beim Zugriff auf das Objekt. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
# Verwenden von tagbasierter Zugriffskontrolle (TBAC) mit Malware Protection for S3
Wenn Sie Malware Protection for S3 für Ihren Bucket aktivieren, können Sie optional das Tagging aktivieren. Nach dem Versuch, ein neu hochgeladenes S3-Objekt im ausgewählten Bucket zu scannen, wird dem gescannten Objekt ein Tag GuardDuty hinzugefügt, um den Status des Malware-Scans anzugeben. Wenn Sie das Tagging aktivieren, fallen direkte Nutzungskosten an. Weitere Informationen finden Sie unter [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
GuardDuty verwendet ein vordefiniertes Tag mit dem Schlüssel als `GuardDutyMalwareScanStatus` und dem Wert als einem der Malware-Scan-Status. Hinweise zu diesen Werten finden Sie unter[Status des potenziellen Scans und Status der Ergebnisse des S3-Objekts](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
**Überlegungen GuardDuty zum Hinzufügen eines Tags zu Ihrem S3-Objekt:**
+ Standardmäßig können Sie einem Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter [Kategorisieren Ihres Speichers mithilfe von Tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wenn alle 10 Tags bereits verwendet werden, GuardDuty kann das vordefinierte Tag dem gescannten Objekt nicht hinzugefügt werden. GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Wenn die gewählte IAM-Rolle nicht über die Berechtigung GuardDuty zum Taggen des S3-Objekts verfügt, können Sie diesem gescannten S3-Objekt auch dann kein Tag hinzufügen, GuardDuty wenn das Tagging für Ihren geschützten Bucket aktiviert ist. Weitere Informationen zu den erforderlichen IAM-Rollenberechtigungen für das Tagging finden Sie unter. [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
## TBAC zur S3-Bucket-Ressource hinzufügen
Sie können die S3-Bucket-Ressourcenrichtlinien verwenden, um die tagbasierte Zugriffskontrolle (TBAC) für Ihre S3-Objekte zu verwalten. Sie können bestimmten Benutzern Zugriff gewähren, damit sie auf das S3-Objekt zugreifen und es lesen können. Wenn Sie über eine Organisation verfügen, die mithilfe von erstellt wurde AWS Organizations, müssen Sie sicherstellen, dass niemand die von hinzugefügten Tags ändern kann GuardDuty. Weitere Informationen finden Sie im *Benutzerhandbuch unter Verhindern, dass Tags nur von autorisierten AWS Organizations Benutzern* [geändert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) werden. Das Beispiel, das im verlinkten Thema verwendet wird, erwähnt`ec2`. Wenn Sie dieses Beispiel verwenden, ersetzen Sie es *ec2* durch`s3`.
In der folgenden Liste wird erklärt, was Sie mit TBAC tun können:
+ Verhindern Sie, dass alle Benutzer außer dem Service Principal von Malware Protection for S3 die S3-Objekte lesen, die noch nicht mit dem folgenden Tag-Schlüssel-Wert-Paar gekennzeichnet sind:
`GuardDutyMalwareScanStatus`:`Potential key value`
+ Erlaubt nur GuardDuty das Hinzufügen des Tag-Schlüssels `GuardDutyMalwareScanStatus` mit Wert als Scanergebnis zu einem gescannten S3-Objekt. Mit der folgenden Richtlinienvorlage können bestimmte Benutzer, die Zugriff haben, das Schlüssel-Wert-Paar des Tags möglicherweise außer Kraft setzen.
**Beispiel für eine S3-Bucket-Ressourcenrichtlinie:**
Ersetzen Sie die folgenden Platzhalterwerte in der Beispielrichtlinie:
+ *IAM-role-name*- Geben Sie die IAM-Rolle, die Sie für die Konfiguration von Malware Protection for S3 verwendet haben, in Ihrem Bucket an.
+ *555555555555*— Geben Sie den Bucket an, der dem geschützten Bucket AWS-Konto zugeordnet ist.
+ *amzn-s3-demo-bucket*- Geben Sie den Namen des geschützten Buckets an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
Weitere Informationen zum Taggen Ihrer S3-Ressource finden Sie unter [Tagging- und Zugriffskontrollrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html).
# Status eines geschützten Buckets anzeigen und verstehen
Nach der Aktivierung von Malware Protection for S3 für einen Bucket gibt der Status an, ob die Funktion wie erwartet konfiguriert ist und funktioniert. Dieser Status ist mit einer eindeutigen ID (Malware Protection Plan Identifier) verknüpft. GuardDuty erstellt diese ID zum Zeitpunkt der Aktivierung der Funktion.
Gehen Sie wie folgt vor, um den Status Ihres geschützten Buckets einzusehen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich die Option **Malware Protection for S3** aus.
1. Sehen Sie sich in der Tabelle **Geschützte Buckets** die entsprechende **Statusspalte** für Ihren **S3-Bucket** an.
In der folgenden Tabelle werden die Statuswerte aufgeführt und beschrieben, die mit der Ressource Ihres Malware-Schutzplans verknüpft sind. Wenn Sie wissen, was diese Status für Ihren geschützten Bucket bedeuten, können Sie besser sicherstellen, dass dieser einen automatischen Malware-Scan GuardDuty einleitet, wenn ein Objekt hochgeladen wird.
| Status | Description |
| --- | --- |
| Aktiv | Ihr S3-Bucket wurde erfolgreich mit Malware Protection for S3 konfiguriert. Wenn der Status *Aktiv* lautet, wird der Status durch Änderungen an der IAM-Rolle (Löschen oder Ändern von Berechtigungen) nicht auf *Warnung* oder *Fehler* aktualisiert. Wir empfehlen, den Scanstatus kontinuierlich mit einer der unter beschriebenen Methoden zu überwachen. [Überwachung von S3-Objektscans](monitoring-malware-protection-s3-scans-gdu.md) |
| Warnung **[*](#fix-protection-status-s3-malware)** | Der Malware-Schutz für S3 ist so konzipiert, dass er nicht beeinträchtigt wird, wenn eine Warnung angezeigt wird. Wenn GuardDuty ein neues S3-Objekt entdeckt wird, wird ein Malware-Scan eingeleitet. Nach erfolgreicher Initiierung des Scans kann es einige Minuten dauern, bis der Wert in der Spalte **Status** auf **Aktiv** geändert wird. Sie erhalten eine EventBridge Benachrichtigung, nachdem der Wert der **Statusspalte** aktualisiert wurde. |
| Fehler **[*](#fix-protection-status-s3-malware)** | Ihr Bucket ist nicht geschützt. Keiner der mit diesem S3-Bucket verknüpften Malware-Scans wird abgeschlossen. Es könnte eine oder mehrere mögliche Hauptursachen geben. |
**\$1** Informationen zu potenziellen Problemen und den entsprechenden Schritten zu ihrer Behebung finden Sie unter[Fehlerbehebung beim Status des Malware-Schutzplans](troubleshoot-s3-malware-protection-status-errors.md).
# Überwachung von S3-Objektscans in Malware Protection for S3
Wenn Sie Malware Protection for S3 mit einer GuardDuty Detektor-ID verwenden und Ihr Amazon S3 S3-Objekt potenziell bösartig ist, GuardDuty wird Folgendes generiert[Suchtyp „Malware-Schutz für S3“](gdu-malware-protection-s3-finding-types.md). Mithilfe der GuardDuty Konsole und APIs können Sie sich die generierten Ergebnisse ansehen. Informationen zum Verständnis dieses Ergebnistyps finden Sie unter[Erkenntnisdetails](guardduty_findings-summary.md).
Wenn Sie Malware Protection for S3 ohne Aktivierung verwenden GuardDuty (keine Detektor-ID), GuardDuty können auch dann keine Ergebnisse generiert werden, wenn Ihr gescanntes Amazon S3 S3-Objekt potenziell bösartig ist.
**Topics**
+ [Status des potenziellen Scans und Status der Ergebnisse des S3-Objekts](#s3-object-scan-result-value-malware-protection)
+ [Überwachung von S3-Objektscans mit Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md)
+ [Überwachung von S3-Objektscans mit GuardDuty verwalteten Tags](monitor-enable-s3-object-tagging-malware-protection.md)
+ [Statusmetriken für den S3-Objektscan in CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)
## Status des potenziellen Scans und Status der Ergebnisse des S3-Objekts
In diesem Abschnitt werden die möglichen Statuswerte für den S3-Objektscan und die Werte der Scanergebnisse erläutert.
Ein S3-Objektscan-Status gibt den Status des Malware-Scans an, z. B. abgeschlossen, übersprungen oder fehlgeschlagen.
Der Ergebnisstatus eines S3-Objektscans auf Schadsoftware gibt das Ergebnis des Scans auf der Grundlage des Scanstatuswerts an. Jeder Statuswert für das Ergebnis eines Malware-Scans wird einem Scanstatus zugeordnet.
Die folgende Liste enthält die potenziellen Ergebniswerte für den S3-Objektscan. Wenn Sie das Tagging aktiviert haben, können Sie das Scanergebnis anhand von [Verwendung von S3-Objekt-Tags](monitor-enable-s3-object-tagging-malware-protection.md) überwachen. Nach dem Scan hat der Tag-Wert einen der folgenden Scan-Ergebniswerte.
**Statuswerte für die Ergebnisse der S3-Objektsuche nach potenzieller Schadsoftware**
+ `NO_THREATS_FOUND`— es GuardDuty wurde keine potenzielle Bedrohung im Zusammenhang mit dem gescannten Objekt festgestellt.
+ `THREATS_FOUND`— hat eine potenzielle Bedrohung im Zusammenhang mit dem gescannten Objekt GuardDuty erkannt.
+ `UNSUPPORTED`— Es gibt mehrere Gründe, warum Malware Protection for S3 einen Scan überspringt. Mögliche Gründe sind kennwortgeschützte Dateien, Archive mit extrem hohen Komprimierungsraten und die möglicherweise nicht [Malware-Schutz für S3-Kontingente](malware-protection-s3-quotas-guardduty.md) verfügbare Unterstützung für bestimmte Amazon S3 S3-Funktionen. Weitere Informationen finden Sie unter [Funktionen des Malware-Schutzes für S3](s3-malware-protection-capability.md).
+ `ACCESS_DENIED`— GuardDuty kann zum Scannen nicht auf dieses Objekt zugreifen. Überprüfen Sie die mit diesem Bucket verknüpften IAM-Rollenberechtigungen. Weitere Informationen finden Sie unter [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
Wenn Sie das S3-Objekt-Tagging nach dem Scan aktiviert haben, finden Sie weitere Informationen unter. [Behebung von Fehlern bei S3-Objekt-Tags nach dem Scannen](troubleshoot-s3-post-scan-tag-failures.md)
+ `FAILED`— Dieses Objekt GuardDuty kann aufgrund eines internen Fehlers nicht nach Schadsoftware gescannt werden.
Die folgende Liste enthält mögliche Statuswerte für S3-Objektscans und deren Zuordnung zum Ergebnis des S3-Objektscans.
**Werte für den Status potenzieller S3-Objektscans**
+ **Abgeschlossen** — Der Scan wurde erfolgreich abgeschlossen und gibt an, ob das S3-Objekt Schadsoftware enthält. In diesem Fall könnte der potenzielle Ergebniswert des S3-Objektscans entweder `THREATS_FOUND` oder sein`NO_THREATS_FOUND`.
+ **Übersprungen** — GuardDuty überspringt einen Malware-Scan, wenn das Scannen dieses S3-Objekts nicht von Malware Protection for S3 unterstützt wird oder wenn GuardDuty kein Zugriff auf das hochgeladene S3-Objekt im ausgewählten Bucket besteht.
In diesem Fall könnte der potenzielle Ergebniswert für den S3-Objektscan entweder oder `UNSUPPORTED` lauten. `ACCESS_DENIED`
GuardDuty überspringt den Scan auch, wenn die erforderliche IAM-Rolle gelöscht wird.
+ **Fehlgeschlagen** — Ähnlich dem Ergebniswert `FAILED` des S3-Objektscans bedeutet dieser Scanstatus, GuardDuty dass aufgrund eines internen Fehlers kein Malware-Scan für das S3-Objekt durchgeführt werden konnte.
# Überwachung von S3-Objektscans mit Amazon EventBridge
*Amazon EventBridge* ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS-) Anwendungen und AWS Diensten und leitet diese Daten an Ziele wie Lambda weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
Als Besitzerkonto eines S3-Buckets, der mit Malware Protection for S3 geschützt ist, GuardDuty veröffentlicht er in den folgenden Szenarien EventBridge Benachrichtigungen an den Standard-Event-Bus:
+ Der **Ressourcenstatus des Malware-Schutzplans** ändert sich für jeden Ihrer geschützten Buckets. Informationen zu den verschiedenen Status finden Sie unter. [Status eines geschützten Buckets anzeigen und verstehen](malware-protection-s3-bucket-status-gdu.md)
Informationen zum Einrichten der Amazon EventBridge (EventBridge) -Regel für den Ressourcenstatus finden Sie unter[Ressourcenstatus des Malware-Schutzplans](#resource-status-malware-protection-s3-ev).
+ Das **Ergebnis des S3-Objektscans** wird in Ihrem EventBridge Standard-Event-Bus veröffentlicht.
Das `s3Throttled` Feld gibt an, ob es beim Hochladen oder Abrufen von Speicherplatz aus Amazon S3 zu Verzögerungen gekommen ist. Der Wert `true` gibt an, dass eine Verzögerung aufgetreten ist, und `false` gibt an, dass es keine Verzögerung gab.
Wenn `s3Throttled` es sich `true` um Ihr Scanergebnis handelt, empfiehlt Amazon S3, Präfixe so einzurichten, dass Sie die Transaktionen pro Sekunde (TPS) für jedes Präfix reduzieren können. Weitere Informationen finden Sie unter [Bewährte Entwurfsmuster: Optimierung der Amazon S3 S3-Leistung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) im *Amazon S3 S3-Benutzerhandbuch*.
Informationen zum Einrichten der Amazon EventBridge (EventBridge) -Regel für die Ergebnisse des S3-Objektscans finden Sie unter[Ergebnis des S3-Objektscans](#s3-object-scan-status-malware-protection-s3-ev).
+ **Nach dem Scannen des Tags tritt aus den folgenden Gründen ein Fehler** auf:
+ In Ihrer IAM-Rolle fehlen die Berechtigungen zum Markieren des Objekts.
Die [Hinzufügen von IAM-Richtlinienberechtigungen](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection) Vorlage enthält die Berechtigung, ein Objekt GuardDuty zu taggen.
+ Die in der IAM-Rolle angegebene Bucket-Ressource oder das in der IAM-Rolle angegebene Bucket-Objekt ist nicht mehr vorhanden.
+ Das zugehörige S3-Objekt hat bereits das maximale Tag-Limit erreicht. Weitere Informationen zum Tag-Limit finden Sie unter [Kategorisieren Ihres Speichers mithilfe von Tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) im *Amazon S3 S3-Benutzerhandbuch*.
Informationen zur Einrichtung der Amazon EventBridge (EventBridge) -Regel für Tag-Fehlschläge nach dem Scannen finden Sie unter[Ereignisse, bei denen das Tag nach dem Scannen ausfällt](#post-tag-failure-malware-protection-s3-ev).
## Regeln einrichten EventBridge
Sie können in Ihrem Konto EventBridge Regeln einrichten, um entweder den Ressourcenstatus, Ereignisse nach dem Scan-Tag oder das Ergebnis des S3-Objektscans an ein anderes AWS-Service zu senden. Als delegiertes GuardDuty Administratorkonto erhalten Sie eine Benachrichtigung über den Ressourcenstatus des Malware-Schutzplans, wenn sich der Status ändert.
Es gelten die EventBridge Standardpreise. Weitere Informationen finden Sie unter [ EventBridge Amazon-Preise](https://aws.amazon.com/eventbridge/pricing/).
Alle Werte, die in angezeigt werden, *red* sind Platzhalter für das Beispiel. Diese Werte ändern sich je nach den Werten in Ihrem Konto und je nachdem, ob Malware erkannt wurde oder nicht.
**Topics**
+ [Ressourcenstatus des Malware-Schutzplans](#resource-status-malware-protection-s3-ev)
+ [Ergebnis des S3-Objektscans](#s3-object-scan-status-malware-protection-s3-ev)
+ [Ereignisse, bei denen das Tag nach dem Scannen ausfällt](#post-tag-failure-malware-protection-s3-ev)
### Ressourcenstatus des Malware-Schutzplans
Sie können ein EventBridge Ereignismuster erstellen, das auf den folgenden Szenarien basiert:
**Mögliche `detail-type` Werte**
+ `"GuardDuty Malware Protection Resource Status Active"`
+ `"GuardDuty Malware Protection Resource Status Warning"`
+ `"GuardDuty Malware Protection Resource Status Error"`
**Muster des Ereignisses**
```
{
"detail-type": ["potential detail-type"],
"source": ["aws.guardduty"]
}
```
**Beispiel für ein Benachrichtigungsschema für `GuardDuty Malware Protection Resource Status Active`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status Active",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ACTIVE"
}
}
```
**Beispiel für ein Benachrichtigungsschema für `GuardDuty Malware Protection Resource Status Warning`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status warning",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "WARNING",
"statusReasons": [
{
"code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
}
]
}
}
```
**Beispiel für ein Benachrichtigungsschema für `GuardDuty Malware Protection Resource Status Error`**:
```
{
"version": "0",
"id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
"detail-type": "GuardDuty Malware Protection Resource Status Error",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ERROR",
"statusReasons": [
{
"code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
}
]
}
}
```
Basierend auf dem Grund dafür `resourceStatus` `ERROR` wird der `statusReasons` Wert aufgefüllt.
Informationen zu den Schritten zur Problembehandlung bei den folgenden Warnungen und Fehlern finden Sie unter[Fehlerbehebung beim Status des Malware-Schutzplans](troubleshoot-s3-malware-protection-status-errors.md).
### Ergebnis des S3-Objektscans
```
{
"detail-type": ["GuardDuty Malware Protection Object Scan Result"],
"source": ["aws.guardduty"]
}
```
**Beispiel für ein Benachrichtigungsschema für `NO_THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"threats": null
}
}
}
```
**Beispiel für ein Benachrichtigungsschema für `THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"threats": [
{
"name": "EICAR-Test-File (not a virus)"
}
]
}
}
}
```
**Anmerkung**
Das `scanResultDetails.Threats` Feld enthält nur eine Bedrohung. Standardmäßig meldet der Scan von Malware Protection for S3 die erste erkannte Bedrohung. Danach `scanStatus` ist der auf eingestellt`COMPLETED`.
**Beispiel für ein Benachrichtigungsschema für den Status der Scanergebnisse `UNSUPPORTED` (Übersprungen)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "UNSUPPORTED",
"threats": null
}
}
}
```
**Beispiel für ein Benachrichtigungsschema für den Status der Scanergebnisse `ACCESS_DENIED` (Übersprungen)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "ACCESS_DENIED",
"threats": null
}
}
}
```
**Beispiel für ein Benachrichtigungsschema für den Status `FAILED` der Scanergebnisse**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "FAILED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "FAILED",
"threats": null
}
}
}
```
### Ereignisse, bei denen das Tag nach dem Scannen ausfällt
**Muster des Ereignisses**:
```
{
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty"
}
```
**Beispiel für ein Benachrichtigungsschema für `ACCESS_DENIED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "ACCESS_DENIED"
}]
}
}
```
**Beispiel für ein Benachrichtigungsschema für `MAX_TAG_LIMIT_EXCEEDED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "MAX_TAG_LIMIT_EXCEEDED"
}]
}
}
```
Informationen zur Behebung dieser Fehlerursachen finden Sie unter[Behebung von Fehlern bei S3-Objekt-Tags nach dem Scannen](troubleshoot-s3-post-scan-tag-failures.md).
# Überwachung von S3-Objektscans mit GuardDuty verwalteten Tags
Verwenden Sie die Option „Tagging aktivieren“, GuardDuty damit Sie Ihrem Amazon S3 S3-Objekt nach Abschluss des Malware-Scans Tags hinzufügen können.
**Überlegungen zur Aktivierung von Tagging**
+ Wenn Sie Ihre S3-Objekte taggen, GuardDuty fallen Nutzungskosten an. Weitere Informationen finden Sie unter [Preise und Nutzungskosten für Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
+ Sie müssen die erforderlichen Tagging-Berechtigungen für Ihre bevorzugte IAM-Rolle behalten, die mit diesem Bucket verknüpft ist. Andernfalls GuardDuty können Sie Ihren gescannten Objekten keine Tags hinzufügen. Die IAM-Rolle umfasst bereits die Berechtigungen zum Hinzufügen von Tags zu den gescannten S3-Objekten. Weitere Informationen finden Sie unter [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
+ Standardmäßig können Sie einem S3-Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter [Verwenden der tagbasierten Zugriffskontrolle (TBAC)](tag-based-access-s3-malware-protection.md).
Nachdem Sie das Tagging für einen S3-Bucket oder bestimmte Präfixe aktiviert haben, wird jedem neu hochgeladenen Objekt, das gescannt wird, ein zugeordnetes Tag im folgenden Schlüssel-Wert-Paarformat zugewiesen:
`GuardDutyMalwareScanStatus`:`Scan-Result-Status`
Hinweise zu möglichen Tag-Werten finden Sie unter. [Status des potenziellen Scans und Status der Ergebnisse des S3-Objekts](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)
# Behebung von Fehlern bei S3-Objekten nach dem Scannen von Tags in Malware Protection for S3
Dieser Abschnitt gilt nur für Sie, wenn Sie sich [Aktivieren Sie das Tagging für gescannte Objekte](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) in Ihrem geschützten Bucket befinden.
Wenn GuardDuty versucht wird, Ihrem gescannten S3-Objekt ein Tag hinzuzufügen, kann das Taggen zu einem Fehler führen. Die möglichen Gründe, warum dies Ihrem Bucket passieren kann, sind `ACCESS_DENIED` und`MAX_TAG_LIMIT_EXCEEDED`. In den folgenden Themen erfahren Sie mehr über die möglichen Gründe für diese Fehlerursachen nach dem Scannen von Tags und deren Behebung.
**ACCESS\$1DENIED**
Die folgende Liste enthält mögliche Gründe, die zu diesem Problem führen können:
+ Der für diesen geschützten S3-Bucket verwendeten IAM-Rolle fehlt die **AllowPostScanTag**Berechtigung. Stellen Sie sicher, dass die zugehörige IAM-Rolle diese Bucket-Richtlinie verwendet. Weitere Informationen finden Sie unter [IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
+ Die geschützte S3-Bucket-Richtlinie erlaubt es nicht GuardDuty , diesem Objekt Tags hinzuzufügen.
+ Das gescannte S3-Objekt ist nicht mehr vorhanden.
**MAX\$1TAG\$1LIMIT\$1EXCEEDED**
Standardmäßig können Sie einem S3-Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter Überlegungen GuardDuty zum Hinzufügen eines Tags zu Ihrem S3-Objekt unter[Aktivieren Sie das Tagging für gescannte Objekte](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection).
# Statusmetriken für den S3-Objektscan in CloudWatch
Sie können die GuardDuty Nutzung CloudWatch überwachen. Dabei werden Rohdaten gesammelt und zu lesbaren Metriken verarbeitet, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden 15 Monate lang aufbewahrt, sodass Sie auf historische Informationen zugreifen und sich einen besseren Überblick über die Leistung von Malware Protection for S3 verschaffen können. Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Die CloudWatch Metriken für Malware Protection for S3 sind auf Ressourcenebene verfügbar. Sie können diese Metriken für jede geschützte Ressource separat abfragen. Die Metriken werden im `AWS/GuardDuty/MalwareProtection` Namespace gemeldet. Sie können Alarme für bestimmte Ressourcen einrichten, um den Sicherheitsstatus zu überwachen.
|
|
| **Statistiken zum Status von Malware-Scans** |
| --- |
| **Metrik** | **Beschreibung** |
| `CompletedScanCount` | Die Anzahl der S3-Objekt-Malware-Scans, die in einem bestimmten Zeitraum abgeschlossen wurden. Gültige Abmessungen: `Malware Protection Plan Id` `Resource Name` Einheiten: Anzahl |
| `FailedScanCount` | Die Anzahl der S3-Objekt-Malware-Scans, die in einem bestimmten Zeitraum fehlgeschlagen sind. **Gültige Abmessungen**: `Malware Protection Plan Id` `Resource Name` Einheiten: Anzahl |
| `SkippedScanCount` | Die Anzahl der S3-Objekt-Malware-Scans, die in einem bestimmten Zeitraum übersprungen wurden. **Gültige Abmessungen:** `Malware Protection Plan Id` `Resource Name` `Skipped Reason` Mögliche Werte `Unsupported` `MissingPermissions` Einheiten: Anzahl |
| **Kennzahlen zu den Ergebnissen von Malware-Scans** |
| --- |
| `InfectedScanCount` | Die Anzahl der S3-Objekt-Malware-Scans, bei denen innerhalb eines bestimmten Zeitraums potenziell schädliche Objekte erkannt wurden. Gültige Abmessungen: `Malware Protection Plan Id` `Resource Name` Einheiten: Anzahl |
| `CompletedScanBytes` | Die Anzahl der in einem bestimmten Zeitraum gescannten S3-Objektbytes. Gültige Abmessungen: `Malware Protection Plan Id` `Resource Name` Einheiten: Anzahl |
**Anmerkung**
Standardmäßig handelt es sich bei den Statistiken in den CloudWatch Metriken um AVG.
Die folgenden Dimensionen werden für die Kennzahlen Malware Protection for S3 unterstützt.
|
|
| **Dimension** | **Beschreibung** |
| --- |--- |
| Malware Protection Plan Id | Die eindeutige Kennung, die der Ressource des Malware-Schutzplans zugeordnet ist, die für Ihre geschützte Ressource GuardDuty erstellt wird. |
| Resource Name | Der Name der geschützten Ressource. |
| Skipped Reason | Der Grund, warum ein S3-Objekt-Malware-Scan übersprungen wurde. Mögliche Werte `Unsupported` `MissingPermissions` |
Informationen zum Zugriff auf und zur Abfrage dieser Messwerte finden Sie unter [Verwenden von CloudWatch Amazon-Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) im * CloudWatch Amazon-Benutzerhandbuch*.
Informationen zum Einrichten von Alarmen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.
# Fehlerbehebung
**Topics**
+ [Fehlerbehebung beim Status des Malware-Schutzplans](troubleshoot-s3-malware-protection-status-errors.md)
+ [Problembehebung bei Malware-Scan auf Abruf](troubleshoot-s3-malware-protection-on-demand.md)
# Fehlerbehebung beim Status des Malware-Schutzplans
GuardDuty Zeigt für jeden geschützten Bucket den **Status** auf der Grundlage der Rangfolge an. Wenn ein geschützter Bucket beispielsweise Probleme sowohl in der Kategorie **Fehler** als auch in der Kategorie **Warnung** aufweist, GuardDuty wird zuerst das Problem angezeigt, das dem **Fehlerstatus** zugeordnet ist.
Die folgende Liste enthält die Fehler und die Warnung für den Status des Malware-Schutzplans.
**Fehler**
+ [EventBridge Die Benachrichtigung ist für diesen S3-Bucket deaktiviert](#eventbridge-notification-disabled-malware-protection-s3-error)
+ [EventBridge Eine verwaltete Regel zum Empfangen von S3-Bucket-Ereignissen fehlt](#eventbridge-managed-rule-missing-malware-protection-s3-error)
+ [Der S3-Bucket ist nicht mehr vorhanden](#bucket-no-longer-exists-malware-protection-s3-error)
**Warnung**
[Das Testobjekt konnte nicht platziert werden](#unable-put-test-object-malware-protection-s3-warning)
## EventBridge Die Benachrichtigung ist für diesen S3-Bucket deaktiviert
Der zugehörige Status-Ursachencode lautet`EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED`.
**Detail zum Status**
GuardDuty verwendet EventBridge , um eine Benachrichtigung zu erhalten, wenn ein neues Objekt in diesen S3-Bucket hochgeladen wird. Diese Berechtigung fehlt in Ihrer IAM-Rolle.
**Schritte zur Fehlerbehebung**
**Option 1: Fügen Sie Ihrer IAM-Rolle die folgende Berechtigungserklärung hinzu:**
```
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
```
*amzn-s3-demo-bucket*Ersetzen Sie es durch Ihren Amazon S3 S3-Bucket-Namen.
**Option 2: EventBridge Benachrichtigung mithilfe der Amazon S3 S3-Konsole aktivieren**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie auf der Seite **Buckets** auf der Registerkarte **Allgemeine Buckets** den Bucket-Namen aus, der mit diesem Fehler verknüpft ist.
1. Wählen Sie auf dieser Bucket-Seite die Registerkarte **Eigenschaften** aus.
1. Wählen Sie im EventBridge Bereich **Amazon** die Option **Bearbeiten** aus.
1. Wählen Sie auf der EventBridge Seite **Amazon bearbeiten** für **Benachrichtigung an Amazon senden EventBridge für alle Ereignisse in diesem Bucket** die Option **An**.
1. Wählen Sie **Änderungen speichern ** aus.
Es kann einige Minuten dauern, bis der Wert in der Spalte **Status** auf **Aktiv** geändert wird.
## EventBridge Eine verwaltete Regel zum Empfangen von S3-Bucket-Ereignissen fehlt
Der zugehörige Status-Ursachencode lautet`EVENTBRIDGE_MANAGED_RULE_DISABLED`.
**Detail zum Status**
Die EventBridge verwalteten Regelberechtigungen zur Verwaltung der EventBridge Regeleinrichtung fehlen.
**Schritte zur Fehlerbehebung**
Fügen Sie Ihrer IAM-Rolle die folgende Berechtigungserklärung hinzu:
```
{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
```
Es kann einige Minuten dauern, bis der Wert in der Spalte **Status** auf **Aktiv** geändert wird.
## Der S3-Bucket ist nicht mehr vorhanden
Der zugehörige Status-Ursachencode lautet`PROTECTED_RESOURCE_DELETED`.
**Detail zum Status**
Dieser S3-Bucket wurde aus Ihrem Konto gelöscht und ist nicht mehr vorhanden.
**Schritt zur Fehlerbehebung**
Wenn das Löschen des S3-Buckets nicht beabsichtigt war, können Sie mithilfe der Amazon S3 S3-Konsole einen neuen Bucket erstellen.
Nachdem Sie den Bucket erfolgreich erstellt haben, aktivieren Sie den Malware-Schutz für S3, indem Sie die Schritte [Konfiguration des Malware-Schutzes für S3 für Ihren Bucket](configuring-malware-protection-for-s3-guardduty.md) auf der Seite befolgen.
## Das Testobjekt konnte nicht platziert werden
Der zugehörige Status-Ursachencode lautet`INSUFFICIENT_TEST_OBJECT_PERMISSIONS`.
**Anmerkung**
Die Erlaubnis, ein Testobjekt hinzuzufügen, ist optional. Das Fehlen dieser Berechtigung in Ihrer IAM-Rolle verhindert nicht, dass Malware Protection for S3 einen Malware-Scan für ein neu hochgeladenes Objekt initiiert. **Nach dem erfolgreichen Start eines Scans kann es einige Minuten dauern, bis der **Status** des Malware-Schutzplans von **Warnung** auf Aktiv geändert wird.**
Wenn die IAM-Rolle diese Berechtigung bereits beinhaltet, weist diese Warnung auf eine restriktive Amazon S3 S3-Bucket-Richtlinie hin, die es dem IAM-Zugriff nicht erlaubt, das Testobjekt in diesen S3-Bucket zu legen.
**Einzelheiten zum Status**
GuardDuty Fügt ein Testobjekt in Ihren Bucket ein, um die Einrichtung des ausgewählten Buckets zu überprüfen.
**Schritte zur Fehlerbehebung**
Sie können sich dafür entscheiden, die IAM-Rolle so zu aktualisieren, dass sie die fehlenden Berechtigungen einbezieht. Fügen Sie der ausgewählten IAM-Rolle die folgenden Berechtigungen hinzu, damit das Testobjekt der ausgewählten Ressource zugewiesen werden GuardDuty kann:
```
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
}
```
*amzn-s3-demo-bucket*Ersetzen Sie es durch Ihren Amazon S3 S3-Bucket-Namen. Informationen zu IAM-Rollenberechtigungen finden Sie unter[IAM-Rollenrichtlinie erstellen oder aktualisieren](malware-protection-s3-iam-policy-prerequisite.md).
Es kann einige Minuten dauern, bis der Wert in der Spalte **Status** auf **Aktiv** geändert wird.
# Problembehebung bei Malware-Scan auf Abruf
## Ein Scan konnte nicht gestartet werden.
Bitte stellen Sie sicher, dass die Scananforderung gültige Eingaben enthält und der Malware-Schutzplan für den Bucket aktiviert ist.
# Malware-Schutzplan für einen geschützten Bucket bearbeiten
Möglicherweise müssen Sie die bevorzugte IAM-Berechtigungsrichtlinie bearbeiten, das Tagging des gescannten S3-Objekts aktivieren oder deaktivieren oder S3-Objektpräfixe hinzufügen oder entfernen. Als Sie beispielsweise den Malware-Schutz für S3 für Ihren Bucket aktiviert haben, haben Sie entschieden, das Taggen des gescannten S3-Objekts mit dem Scanergebnis nicht zu aktivieren. Jetzt möchten GuardDuty Sie jedoch das vordefinierte Tag und das Scanergebnis als Tag-Wert hinzufügen.
Wählen Sie eine bevorzugte Zugriffsmethode, um den Malware-Schutzplan für Ihren geschützten S3-Bucket zu aktualisieren.
------
#### [ Console ]
**Um einen Malware-Schutzplan zu bearbeiten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich die Option **Malware Protection for S3** aus.
1. Wählen Sie unter **Geschützte Buckets** den Bucket aus, für den Sie die bestehende Konfiguration bearbeiten möchten.
1. Wählen Sie **Bearbeiten** aus.
1. Aktualisieren Sie die bestehende Konfiguration und die Einstellungen für Ihren Bucket und bestätigen Sie die Änderungen. Informationen zur Beschreibung und zu den einzelnen Schritten für die einzelnen Abschnitte finden Sie unter[Malware-Schutz für S3 für Ihren Bucket aktivieren](enable-malware-protection-s3-bucket.md).
Überwachen Sie die **Statusspalte** für diesen geschützten Bucket. Wenn es entweder als **Warnung** oder als **Fehler** angezeigt wird, finden Sie weitere Informationen unter[Fehlerbehebung beim Status des Malware-Schutzplans](troubleshoot-s3-malware-protection-status-errors.md).
------
#### [ API/CLI ]
**Um den Malware-Schutzplan mithilfe der API zu bearbeiten oder AWS CLI**
+ **Mithilfe der API**
Führen Sie die [UpdateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareProtectionPlan.html)API mithilfe der mit dieser Planressource verknüpften Paket-ID für den Malware-Schutz aus.
Um die ID des Malware-Schutzplans in einer bestimmten Region abzurufen, können Sie die [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API in dieser Region ausführen.
+ **Durch die Verwendung von AWS CLI**
Die folgende Liste enthält AWS CLI Beispielbefehle zur Aktualisierung der Ressource des Malware-Schutzplans. Sie benötigen die Ihrem S3-Bucket zugeordnete ID des Malware-Schutzplans.
**AWS CLI Beispielbefehle**
+ Verwenden Sie den folgenden AWS CLI Befehl, um das Tagging für die Ressource des Malware-Schutzplans zu **aktivieren oder zu deaktivieren**, die Ihrem S3-Bucket zugeordnet ist:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --actions "Tagging"={"Status"="ENABLED|DISABLED"}
```
+ Verwenden Sie den folgenden AWS CLI Befehl, um der Ressource des Malware-Schutzplans, die Ihrem S3-Bucket zugeordnet ist, **ein Objektpräfix hinzuzufügen**:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=["amzn-s3-demo-1", "amzn-s3-demo-2"]}
```
Stellen Sie sicher, dass Sie die vorhandenen Objektpräfixe in diesem Befehl angeben. Andernfalls GuardDuty werden diese Präfixe entfernt, wenn Sie die Ressource des Malware-Schutzplans bearbeiten.
+ Verwenden Sie den folgenden AWS CLI Befehl, um **ein Objektpräfix aus der Ressource des Malware-Schutzplans zu entfernen**, die Ihrem S3-Bucket zugeordnet ist:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=[""]}
```
Wenn Sie noch nicht über die ID des Malware-Schutzplans für diese Ressource verfügen, können Sie den folgenden AWS CLI Befehl ausführen und ihn durch die Region *us-east-1* ersetzen, für die Sie den Malware-Schutzplan auflisten möchten IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Malware-Schutz für S3 für einen geschützten Bucket deaktivieren
Wenn Sie Malware Protection for S3 für einen geschützten Bucket deaktivieren, wird die diesem Bucket zugeordnete Plan-ID für den Schadsoftware-Schutz GuardDuty gelöscht. GuardDuty startet keinen Malware-Scan mehr, wenn ein neues Objekt in diesen Bucket oder eines der ausgewählten Objektpräfixe hochgeladen wird.
Wenn Sie die Option aktiviert haben GuardDuty und nun den Vorgang unterbrechen oder deaktivieren möchten GuardDuty, finden Sie weitere Informationen unter[Aussetzen oder Deaktivieren GuardDuty](guardduty_suspend-disable.md). Da es in Malware Protection for S3 kein Konzept für die Detektor-ID gibt, wirkt sich die Deaktivierung oder Sperrung GuardDuty **nicht** auf den Status eines geschützten Buckets in Ihrem Konto aus. Sie können die Funktion Malware Protection for S3 unabhängig weiter nutzen, wobei der entsprechende Standardpreis anfällt. Weitere Informationen finden Sie unter [Überprüfung der Nutzungskosten für Malware Protection for S3Überprüfung der Nutzungskosten](usage-cost-malware-protection-s3-gdu.md). Um die Nutzung von Malware Protection for S3 zu beenden, müssen Sie ihn für alle geschützten Buckets in Ihrem Konto deaktivieren. Wenn Sie weiterhin nur Malware Protection for S3 für einen Bucket verwenden GuardDuty und deaktivieren möchten, wirken sich die folgenden Schritte nicht auf die Konfiguration des GuardDuty Dienstes und andere Schutzpläne aus, die Sie möglicherweise aktiviert haben.
Wählen Sie eine bevorzugte Zugriffsmethode, um Malware Protection for S3 in Ihrem geschützten S3-Bucket zu deaktivieren.
------
#### [ Console ]
**So deaktivieren Sie den Malware-Schutz für S3 mithilfe der GuardDuty Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich die Option **Malware Protection for S3** aus.
1. Wählen Sie unter **Geschützte Buckets** den Bucket aus, für den Sie Malware Protection for S3 deaktivieren möchten.
Sie können jeweils nur einen geschützten Bucket auswählen. Um den Malware-Schutz für S3 für mehr als einen Bucket zu deaktivieren, führen Sie diese Schritte erneut für einen anderen S3-Bucket aus.
1. Wählen Sie **Deaktivieren**, um die Auswahl zu bestätigen.
------
#### [ API/CLI ]
**Um den Malware-Schutz für S3 mithilfe der API zu deaktivieren oder AWS CLI**
+ **Durch die Verwendung von API**
Führen Sie die [DeleteMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMalwareProtectionPlan.html)API mithilfe der mit dieser Planressource verknüpften Paket-ID für den Malware-Schutz aus.
Um die ID des Malware-Schutzplans abzurufen, können Sie die [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API ausführen.
+ **Durch die Verwendung von AWS CLI**
Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um den Malware-Schutz für S3 zu deaktivieren, indem Sie ihn *4cc8bf26c4d75EXAMPLE* durch die diesem S3-Bucket zugeordnete Plan-ID für den Schadsoftware-Schutz ersetzen:
```
aws guardduty delete-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE
```
Wenn Sie noch nicht über die ID des Malware-Schutzplans für diesen S3-Bucket verfügen, können Sie den folgenden AWS CLI Befehl ausführen und ihn durch die Region *us-east-1* ersetzen, für die Sie den Malware-Schutzplan auflisten möchten IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Unterstützbarkeit der Amazon S3 S3-Funktionen
In der folgenden Tabelle wird angegeben, ob Malware Protection for S3 die aufgelisteten Amazon S3 S3-Funktionen unterstützt.
| Name der S3-Funktion | Ist der Support verfügbar? | Description |
| --- | --- | --- |
| S3-Speicherklasse — S3-Standard S3-Speicherklasse — S3-Standard — Seltener Zugriff S3-Speicherklasse — S3 One Zone — Seltener Zugriff S3-Speicherklasse — S3 Glacier Instant Retrieval | Ja | S3-Objekte können abgerufen werden, ohne dass sie asynchron wiederhergestellt werden müssen. |
| S3-Speicherklasse — S3 Intelligent-Tiering | Bedingt | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) |
| S3-Speicherklasse — S3 Express One Zone (Verzeichnis-Bucket) | Nein | GuardDuty unterstützt nur Allzweck-Buckets für den Malware-Schutz für S3. |
| S3-Speicherklasse — Flexibler Abruf mit S3 Glacier S3-Speicherklasse — S3 Glacier Deep Archive | Nein | Die S3-Objekte müssen wiederhergestellt werden, bevor auf sie zugegriffen werden kann. |
| Amazon S3 on Outposts | Nein | Der Malware-Schutz für S3 wird auf Outposts nicht unterstützt. |
| S3-Versionierung | Ja | Alle hochgeladenen S3-Objekte werden auf Malware gescannt. Wenn Sie ein Objekt mit Dateiversion v1 hochgeladen haben und sofort eine weitere Versionsüberschreibung mit Version v2 hochgeladen haben, GuardDuty werden beide Objektdateiversionen v1 und v2 gescannt. Die Startzeit des Scans ist jedoch möglicherweise nicht in derselben Reihenfolge. |
| S3-Replikation — repliziertes Objekt scannen | Ja | Wenn es sich bei dem Ziel-Bucket um eine geschützte Ressource handelt, GuardDuty werden alle S3-Objekte auf die geschützten und überwachten Präfixe repliziert. |
| S3-Replikation: Auf dem Scan-Ergebnis-Tag replizieren | Nein | Sie können keine Replikationsregel auf der Grundlage des Scanergebnis-Tags definieren. Amazon S3 unterstützt keine Replikation für Tags, außer bei der Erstellung. |
| Datenverschlüsselung — S3-SSE Datenverschlüsselung - SSE-KMS Datenverschlüsselung - DSSE-KMS AWS KMS - Vom Kunden verwalteter Schlüssel | Ja | GuardDuty unterstützt Malware-Scans nach S3-Objekten, die mit verwalteten und vom Kunden verwalteten Schlüsseln verschlüsselt sind. Stellen Sie sicher, dass die IAM-Rolle die Berechtigung zur Verwendung des Schlüssels beinhaltet. Weitere Informationen finden Sie unter [Hinzufügen von IAM-Richtlinienberechtigungen](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection). |
| Datenverschlüsselung — SSE-C | Nein | Malware Protection for S3 unterstützt nicht das Scannen von S3-Objekten, die mit Schlüsseln verschlüsselt sind, auf die nicht zugegriffen werden kann. |
| Clientseitige Verschlüsselung | Nein | Wenn Ihre Amazon S3-Objekte mithilfe des Amazon S3 Encryption Client verschlüsselt werden, werden Ihre Objekte nicht an Dritte weitergegeben, auch nicht AWS. Informationen darüber, warum dies nicht unterstützt wird, finden Sie unter [Schutz von Daten durch clientseitige Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). Mit CSE-KMS verschlüsselte Objekte werden als verschlüsselter Blob empfangen, bei dem die Verschlüsselung nicht bestimmt werden kann. GuardDutyVerarbeitet sie daher so, wie sie empfangen werden, und scannt den verschlüsselten Blob als normale Datei. GuardDuty gibt keinen `UNSUPPORTED` Scanstatus für solche Objekte zurück, es sei denn, einer der Werte [Kontingente im Malware-Schutz für S3](malware-protection-s3-quotas-guardduty.md) überschreitet den Status. |
| S3-Objektsperre und Legal Hold | Ja | Gesperrte S3-Objekte werden auf der Grundlage von WORM — Write Once Read Many gesperrt. Malware Protection for S3 kann auf die Objekte zugreifen und sie scannen. |
| Der Antragsteller zahlt | Ja | Malware Protection for S3 kann die Buckets scannen, die mit *Requester* Pays eingerichtet wurden. Der Anforderer zahlt für die S3-Anrufe. Weitere Informationen finden Sie unter [Verwendung von Anforderer zahlt Buckets für Speicherübertragungen und -nutzung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) im *Amazon-S3-Benutzerhandbuch*. |
| S3: Speicherlebenszyklus | Ja | Sie können Lebenszyklusrichtlinien auf der Grundlage des Scanergebnis-Tags definieren. Löschen Sie beispielsweise bösartige Objekte automatisch. Weitere Informationen zur Lebenszykluskonfiguration finden Sie unter [Verwaltung Ihres Speicherlebenszyklus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) im *Amazon S3 S3-Benutzerhandbuch*. |
| S3: Tag-basierte Zugriffskontrolle (TBAC) | Ja | Sie können Bucket-Ressourcenrichtlinien auf der Grundlage Ihres Ergebnis-Tags für den S3-Objektscan definieren. Verhindern Sie beispielsweise den Zugriff auf S3-Objekte, die noch nicht gescannt wurden, oder auf GuardDuty erkannte Bedrohungen. Weitere Informationen finden Sie unter [Verwenden von tagbasierter Zugriffskontrolle (TBAC) mit Malware Protection for S3](tag-based-access-s3-malware-protection.md). |
# Kontingente im Malware-Schutz für S3
Dieser Abschnitt enthält Standardkontingente, die oft als Grenzwerte bezeichnet werden. Sofern nicht anders angegeben, ist jedes Kontingent regionsspezifisch. Standardkontingente für die Nutzung des GuardDuty Basisdienstes finden Sie unter. [GuardDuty Amazon-Kontingente](guardduty_limits.md)
In den folgenden Tabellen werden die verschiedenen Kontingente beschrieben, die für Sie AWS-Konto gelten.
| Kontingentname | AWS Standardkontingentwert | Ist er einstellbar? | Description |
| --- | --- | --- | --- |
| Maximale S3-Objektgröße | 100 GB | Nein | Die maximale S3-Objektgröße, mit der versucht GuardDuty wird, nach Malware zu suchen. Dieses Kontingent ist zwar nicht anpassbar, wenn Sie jedoch größere Objekte scannen müssen, wenden Sie sich an uns, AWS Support um zu erfahren, ob das Kontingent für Ihren Anwendungsfall erhöht werden GuardDuty kann. |
| Extrahierte Archivbytes | 100 GB | Nein | Die maximale Datenmenge, die aus einer Archivdatei extrahiert und analysiert werden GuardDuty kann. GuardDuty überspringt das Extrahieren von Archivdateien auf mehr als 100 GB. |
| Extrahierte Archivdateien | 10.000 | Nein | Die maximale Anzahl von Dateien, die in einer Archivdatei extrahiert und analysiert werden GuardDuty können. Wenn das Archiv mehr als 10.000 Dateien enthält, muss die archivierte Datei übersprungen GuardDuty werden. Zusammengesetzte Dateitypen unterliegen möglicherweise diesen Beschränkungen. Zu den Dateitypen gehören, ohne darauf beschränkt zu sein, MIME-kodierte E-Mail-Nachrichten (Multipurpose Internet Mail Extensions), kompilierte Python-Dateien (PYC), kompilierte HTML-Hilfedateien (CHM), alle Installationsprogramme und OpenDocument Format- (ODF) -Dokumente. |
| Maximale Archivtiefe | 5 | Nein | Die maximale Anzahl verschachtelter Archive, die extrahiert GuardDuty werden können. Wenn das Archiv Dateien enthält, deren Verschachtelung diesen Wert überschreitet, GuardDuty werden diese verschachtelten Dateien übersprungen. |
| Maximale Anzahl geschützter Buckets | 25 | Nein | Die maximale Anzahl von S3-Buckets, für die Sie Malware Protection for S3 aktivieren können. Diese Kontingentbegrenzung gilt pro Konto in jeder Region. |