翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# GuardDuty S3 Protection
<a name="s3-protection"></a>

**注記**  
GuardDuty コンソールの 1 つのページから、S3 Protection と他のすべての保護プランを設定できます。詳細については、「[保護プランの設定](protection-plans.md)」を参照してください。

S3 Protection を使用すると、Amazon Simple Storage Service (Amazon S3) バケットでデータの引き出しや破棄などデータに潜むセキュリティリスクを検出できます。GuardDuty は Amazon S3 AWS CloudTrail のデータイベントをモニタリングします。これには、アカウント内のすべての Amazon S3 バケットでこれらのリスクを特定するためのオブジェクトレベルの API オペレーションが含まれます。

GuardDuty が S3 データイベントモニタリングに基づいて潜在する脅威を検出すると、セキュリティの検出結果が生成されます。S3 Protection を有効にしているときに GuardDuty で生成されうる検出結果タイプについては、「[GuardDuty S3 Protection の検出結果タイプ](guardduty_finding-types-s3.md)」を参照してください。

基本的な脅威検出では、デフォルトで [AWS CloudTrail 管理イベント](guardduty_data-sources.md#guardduty_controlplane)をモニタリングして Amazon S3 リソースに潜む脅威を識別します。このデータソースは、環境でモニタリングするアクティビティの種類が違うため、S3 の AWS CloudTrail データイベントとは異なります。

GuardDuty が[この機能をサポートしている](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)リージョンのアカウントで S3 Protection を有効にできます。これにより、そのアカウントとリージョンで S3 の CloudTrail データイベントをモニタリングできるようになります。S3 Protection を有効にすると、GuardDuty は Amazon S3 バケットを完全にモニタリングしたり、S3 バケットに保存されているデータへの疑わしいアクセスに関する検出結果を生成したりできます。

S3 Protection を使用するために、 AWS CloudTrailで S3 データイベントのログ記録を明示的に有効にしたり設定したりする必要はありません。

**30 日間の無料トライアル**  
次に、アカウントに適用される 30 日間無料トライアルの仕組みについて説明します。  
+  AWS アカウント 新しいリージョンの で GuardDuty を初めて有効にすると、30 日間の無料トライアルが受けられます。この場合、S3 Protection も無料トライアルに含まれているため一緒に有効になります。
+ 既に GuardDuty を使用している場合に、初めて S3 Protection を有効にすると、このリージョンのアカウントに S3 Protection の 30 日間無料トライアルが適用されます。
+ S3 Protection はいつでもどのリージョンでも無効にできます。
+ 30 日間の無料トライアルでは、そのアカウントとリージョンの使用コストの見積もりを取得できます。30 日間無料トライアルが終了しても、S3 Protection が自動的に無効になることはありません。このリージョンのアカウントで使用コストが発生し始めます。詳細については、「[GuardDuty の使用状況のモニタリングとコストの見積もり](monitoring_costs.md)」を参照してください。

## AWS CloudTrail S3 のデータイベント
<a name="guardduty_s3dataplane"></a>

データプレーンオペレーションとして知られるデータイベントは、リソース上またはリソース内で実行したリソースオペレーションに関するインサイトを提供します。それらは、多くの場合、高ボリュームのアクティビティです。

次は、GuardDuty がモニタリングできる S3 の CloudTrail データイベントの例です。  
+ `GetObject` API オペレーション
+ `PutObject` API オペレーション
+ `ListObjects` API オペレーション
+ `DeleteObject` API オペレーション
こうした API の詳細については、「[Amazon Simple Storage Service API リファレンス](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)」を参照してください。

## GuardDuty が S3 の CloudTrail データイベントを使用する仕組み
<a name="s3-data-source"></a>

S3 Protection を有効にすると、GuardDuty はいずれかの S3 バケットからの S3 の CloudTrail データイベントの分析を開始し、悪意のあるアクティビティや疑わしいアクティビティがないかモニタリングします。詳細については、「[AWS CloudTrail 管理イベント](guardduty_data-sources.md#guardduty_controlplane)」を参照してください。

未認証のユーザーから S3 オブジェクトへのアクセスがあった場合、その S3 オブジェクトは一般公開されていることになります。このため、GuardDuty はそのようなリクエストを処理しません。GuardDuty は、有効な IAM (AWS Identity and Access Management) または AWS STS (AWS Security Token Service) 認証情報を使用して S3 オブジェクトに対して行われたリクエストを処理します。

**メモ**  
S3 Protection を有効にすると、GuardDuty は自身が有効にされたのと同じリージョンにある Amazon S3 バケットでデータイベントをモニタリングします。

特定のリージョンのアカウントで S3 Protection を無効にすると、GuardDuty は S3 バケットに保存されているデータに関して S3 データイベントをモニタリングしなくなります。GuardDuty は、そのリージョンのアカウントに対して S3 Protection 検出結果タイプを生成しなくなります。

### 攻撃シーケンスに S3 の CloudTrail データイベントを使用する GuardDuty
<a name="s3-protection-attack-sequence"></a>

[GuardDuty Extended Threat Detection](guardduty-extended-threat-detection.md) は、アカウントの基本的なデータソース、 AWS リソース、タイムラインにまたがるマルチステージ攻撃シーケンスを検出します。GuardDuty は、アカウント内で最近発生した、または進行中の疑わしいアクティビティを示す一連のイベントを観察すると、関連する攻撃シーケンスの検出結果を生成します。

デフォルトでは、GuardDuty を有効にすると、Extended Threat Detection もアカウントで有効になります。この機能は、追加料金なしで CloudTrail 管理イベントに関連する脅威シナリオをカバーします。ただし、Extended Threat Detection を最大限に活用するために、GuardDuty で S3 Protection を有効にして、S3 の CloudTrail データイベントに関連する脅威シナリオをカバーすることをお勧めします。

S3 Protection を有効にすると、GuardDuty は、Amazon S3 リソースが関与する可能性のあるデータ侵害や破壊などの攻撃シーケンスの脅威シナリオを自動的にカバーします。