As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# GuardDuty Proteção contra malware para S3
A Proteção contra malware para S3 ajuda você a detectar a presença potencial de malware ao escanear objetos recém-carregados para o bucket do Amazon Simple Storage Service (Amazon S3) que você selecionou. Quando um objeto do S3 ou uma nova versão de um objeto do S3 existente é carregado no bucket selecionado, inicia GuardDuty automaticamente uma verificação de malware.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/uweeumMAif4)
**Duas abordagens para habilitar a Proteção contra malware para o S3**
Você pode ativar a Proteção contra Malware para S3 ao ativar o GuardDuty serviço e usar a Proteção contra Malware para S3 como parte da GuardDuty experiência geral, ou quando quiser usar o recurso Proteção contra Malware para S3 sozinho, sem habilitar o serviço. Conta da AWS GuardDuty Quando você ativa a Proteção contra Malware para S3 sozinha, a GuardDuty documentação se refere ao uso da Proteção contra Malware para S3 como um recurso independente.
**Considerações sobre o uso independente da Proteção contra malware para S3.**
+ GuardDuty descobertas de segurança — O Detector ID é um identificador exclusivo associado à sua conta em uma região. Quando você ativa GuardDuty em uma ou mais regiões em uma conta, uma ID de detector é criada automaticamente para essa conta em cada região em que você ativa GuardDuty. Para obter mais informações, consulte *Detector* na documentação [Conceitos e termos-chave na Amazon GuardDuty](guardduty_concepts.md).
Quando a Proteção contra malware para o S3 é habilitada de forma independente em uma conta, essa conta **não** terá um ID de detector associado. Isso afeta quais GuardDuty recursos podem estar disponíveis para você. Por exemplo, quando uma verificação de malware do S3 detecta a presença de malware, nenhuma GuardDuty descoberta será gerada Conta da AWS porque todas as GuardDuty descobertas estão associadas a uma ID de detector.
+ Verificar se o objeto escaneado é malicioso — Por padrão, GuardDuty publica os resultados da verificação de malware em seu barramento de EventBridge eventos padrão da Amazon e em um namespace da Amazon CloudWatch . Quando você ativa a marcação no momento da ativação da Proteção contra malware para S3 para um bucket, o objeto S3 escaneado recebe uma tag que menciona o resultado da verificação. Para obter mais informações sobre marcação, consulte [Criação opcional de tags de objetos com base no resultado da verificação](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3).
**Considerações gerais para habilitar a Proteção contra malware para o S3**
As seguintes considerações gerais se aplicam se você usa o Malware Protection for S3 de forma independente ou como parte da GuardDuty experiência:
+ Você pode ativar a Proteção contra malware para S3 para um bucket Amazon S3 que pertença à sua própria conta. Como conta de GuardDuty administrador delegado, você não pode habilitar esse recurso em um bucket do Amazon S3 que pertença a uma conta membro.
+ Você pode ativar esse recurso nos buckets do S3 que pertencem à mesma região atualmente selecionada no GuardDuty console. GuardDuty não suporta a ativação desse recurso em buckets S3 entre regiões.
+ Como conta de GuardDuty administrador delegado, você receberá uma EventBridge notificação da Amazon sempre que houver uma alteração em um bucket [Visualizar e entender o status do bucket protegido](malware-protection-s3-bucket-status-gdu.md) do S3 que uma das contas membros da sua organização configurou para esse recurso.
**Topics**
+ [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md)
+ [Como funciona a Proteção contra malware para o S3?](how-malware-protection-for-s3-gdu-works.md)
+ [Capacidades da proteção contra malware para S3](s3-malware-protection-capability.md)
+ [(Opcional) Comece a usar o GuardDuty Malware Protection for S3 de forma independente (somente console)](malware-protection-s3-get-started-independent.md)
+ [Configurando a proteção contra malware para S3 para seu bucket](configuring-malware-protection-for-s3-guardduty.md)
+ [Etapas para habilitar a proteção contra malware para S3](malware-protection-s3-steps-after-enabling.md)
+ [Verificação de malware S3 sob demanda em GuardDuty](malware-protection-s3-on-demand.md)
+ [Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3](tag-based-access-s3-malware-protection.md)
+ [Visualizar e entender o status do bucket protegido](malware-protection-s3-bucket-status-gdu.md)
+ [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md)
+ [Solução de problemas](troubleshoot-s3-malware-protection.md)
+ [Editando o plano de proteção contra malware para um bucket protegido](edit-malware-protection-protected-s3-bucket.md)
+ [Desativando a proteção contra malware para S3 em um bucket protegido](disable-malware-s3-protected-bucket.md)
+ [Suportabilidade dos atributos do Amazon S3](supported-s3-features-malware-protection-s3.md)
+ [Quotas na Proteção contra malware para o S3](malware-protection-s3-quotas-guardduty.md)
# Preço e custo de uso da Proteção contra Malware para S3
Os preços do Malware Protection for S3 funcionam de forma diferente dos outros planos de proteção do. GuardDuty Enquanto a maioria dos planos de GuardDuty proteção segue um teste gratuito de curto prazo de 30 dias, o Malware Protection for S3 segue o plano de nível gratuito de 12 meses. AWS Para obter informações sobre GuardDuty preços, consulte[Preços em GuardDuty](guardduty-pricing.md).
A lista a seguir fornece os custos de preços associados ao uso da Proteção contra Malware para S3.
**Plano de nível gratuito (custo de verificação)**
Cada um Conta da AWS recebe um nível gratuito de 12 meses que inclui o uso de até um limite específico por mês para cada região. Cada um Conta da AWS recebe um nível gratuito mensal de uso de até 1.000 solicitações e 1 GB de dados digitalizados. Se seu uso ultrapassar o limite especificado, você começará a incorrer no custo de uso do limite excedido. Para obter detalhes completos sobre preços, consulte os [preços GuardDuty dos planos de proteção](https://aws.amazon.com/guardduty/pricing/#GuardDuty_protection_plans).
A varredura sob demanda não está incluída no nível gratuito.
Para obter informações sobre o custo de uso após a ativação da Proteção contra Malware para S3, consulte[Analisando o custo de uso da Proteção contra Malware para S3Analisando o custo de uso](usage-cost-malware-protection-s3-gdu.md).
**Custo de uso da marcação de objetos do S3**
Quando você ativa a Proteção contra Malware para S3, é opcional habilitar a marcação para seus objetos verificados do S3. Quando você opta por ativar a marcação de objetos do S3, há um custo de uso associado. Para obter mais informações sobre os custos, consulte [guia Gerenciamento e insights na página](https://aws.amazon.com/s3/pricing/) de *preços do Amazon S3*.
O custo de uso da marcação de objetos do S3 **não está incluído** no plano de nível gratuito.
**Amazon S3 APIs — GET e PUT custo de uso**
Você incorrerá em custos de uso ao GuardDuty executar o Amazon APIs S3 com base na função do IAM. Por exemplo, depois de assumir a função do IAM, GuardDuty executa a `PutObject` API para adicionar o objeto de teste ao bucket selecionado. Isso ajuda a GuardDuty avaliar o status ativado do recurso.
Para obter informações sobre preços de chamadas de API do S3 em seu Região da AWS, consulte [Solicitações e recuperação de dados na guia Armazenamento e solicitações na página de preços do](https://aws.amazon.com/s3/pricing/#aws-element-86cbc19a-da4c-4c04-bb4f-5c4d1a2de09e) *Amazon* S3.
# Analisando o custo de uso da Proteção contra Malware para S3
Sua conta começa a incorrer em custos de uso quando você usa a Proteção contra a Malware para S3 além do limite específico do plano de nível gratuito ou quando o plano de nível gratuito de 12 meses de sua conta termina. Para obter informações sobre os preços do nível gratuito, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md). Observe que o plano de nível gratuito não se aplica à Proteção contra Malware para escaneamento de objetos sob demanda do S3.
O GuardDuty console não suporta a revisão do custo de uso do Malware Protection for S3. Para ver o custo de uso, navegue até **Cost Explorer** no [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)console. Para obter informações sobre Conta da AWS faturamento, consulte o [Guia do AWS Billing usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Para obter informações sobre o custo estimado de uso em GuardDuty, consulte[Monitorando o uso e estimando os custos](monitoring_costs.md).
# Como funciona a Proteção contra malware para o S3?
Esta seção descreve os componentes da Proteção contra malware para o S3, como ela funciona depois de habilitada para um bucket do S3 e como é possível revisar o status e o resultado da verificação de malware.
## Visão geral do
Você pode ativar o Malware Protection for S3 para um bucket Amazon S3 que pertença ao seu. Conta da AWS GuardDutyoferece flexibilidade para ativar esse recurso para todo o bucket ou limitar o escopo da verificação de malware a [prefixos de objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) específicos, onde GuardDuty verifica cada objeto carregado que começa com um dos prefixos selecionados. É possível adicionar até 5 prefixos. Ao ativar o recurso para um bucket S3, esse bucket é chamado de **bucket protegido**.
## Permissões de perfil do IAM
O Malware Protection for S3 usa uma função do IAM que permite GuardDuty realizar as ações de verificação de malware em seu nome. Entre essas ações estão ser notificado sobre os objetos recém-carregados no bucket selecionado, ler esses objetos e, opcionalmente, adicionar tags aos objetos lidos. Trata-se de um pré-requisito para configurar seu bucket S3 com esse recurso.
Existe a opção de atualizar uma função do IAM existente ou criar uma nova função para essa finalidade. Ao habilitar a Proteção contra malware para o S3 para mais de um bucket, é possível atualizar a função do IAM existente para incluir o nome do outro bucket, caso necessário. Para obter mais informações, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
## Criação opcional de tags de objetos com base no resultado da verificação
Ao habilitar a Proteção contra malware para o S3 para o seu bucket, há uma etapa opcional para habilitar a criação de tags para objetos S3 lidos. A função do IAM já inclui a permissão para adicionar tags ao seu objeto após a verificação. No entanto, GuardDuty adicionará tags somente quando você ativar essa opção no momento da configuração.
Deve-se habilitar essa opção antes que um objeto seja carregado. Depois que a varredura terminar, GuardDuty adiciona uma tag predefinida ao objeto S3 digitalizado com o seguinte par chave/valor:
`GuardDutyMalwareScanStatus`:`Potential scan result`
Os possíveis valores da tag de resultado da verificação incluem `NO_THREATS_FOUND`, `THREATS_FOUND`, `UNSUPPORTED`, `ACCESS_DENIED` e `FAILED`. Para obter mais informações sobre esses valores, consulte [Status de verificação potencial do objeto S3 e status do resultado](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
A habilitação da criação de tags é uma das maneiras de saber sobre o resultado da verificação do objeto S3. Além disso, é possível usar essas tags para adicionar uma política de recursos do S3 de controle de acesso baseado em tags (TBAC), para que seja possível tomar medidas em relação aos objetos possivelmente maliciosos. Para obter mais informações, consulte [Adicionando TBAC ao recurso do bucket do S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
Recomendamos que a habilitação da colocação de tags seja feita no momento da configuração da Proteção contra malware para o S3 para o seu bucket. Se você ativar a marcação após o upload de um objeto e, potencialmente, o escaneamento iniciar, não GuardDuty será possível adicionar tags ao objeto digitalizado. Para obter informações sobre o custo associado com a colocação de tags em objetos S3, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
## Processe depois de habilitar a Proteção contra malware para o S3 para um bucket
Depois de habilitar a Proteção contra malware para o S3, um **recurso do plano de Proteção contra Malware** é criado exclusivamente para o bucket do S3 selecionado. Esse recurso está associado a um ID do plano de Proteção contra malware, um identificador exclusivo para seu recurso protegido. Ao usar uma das permissões do IAM GuardDuty , cria e gerencia uma regra EventBridge gerenciada com o nome de`DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`.
### Como GuardDuty lida com seus dados - proteções para proteção de dados
O Malware Protection for S3 escuta as notificações da Amazon EventBridge . Quando um objeto é carregado no bucket selecionado ou em um dos prefixos, GuardDuty baixa esse objeto do bucket do S3 usando um [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)e depois o lê, descriptografa e digitaliza em um ambiente isolado na mesma região. O ambiente de verificação é executado em uma nuvem privada virtual (VPC) bloqueada, sem acesso à Internet. A VPC está conectada a um grupo de regras do Firewall DNS que permite a comunicação somente com os domínios listados como permitidos que possuem. AWS Durante o escaneamento, armazena GuardDuty temporariamente o objeto S3 baixado no ambiente de escaneamento que é criptografado com as chaves [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**nota**
Por padrão, todos os Amazon S3 APIs listados sob o [tipo Object Created Event](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html) no Guia do *usuário do Amazon S3* iniciarão a verificação do Malware Protection for S3.
Esses *tipos de eventos* incluem [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)[POST Object [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)e. [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Para obter informações sobre a metodologia de detecção de GuardDuty malware e os mecanismos de verificação que ela usa, consulte[GuardDuty mecanismo de verificação de detecção de malware](guardduty-malware-detection-scan-engine.md).
Após a conclusão da verificação de malware, GuardDuty processa os metadados da verificação com o status da verificação e, em seguida, exclui a cópia baixada do objeto.
GuardDuty limpa o ambiente de escaneamento toda vez antes do início de um novo escaneamento. GuardDuty usa autorização contingente para o acesso do operador ao ambiente de digitalização, e cada solicitação de acesso é analisada, aprovada e auditada.
### Analisando o status e o resultado da verificação de objetos do S3
GuardDuty publica o evento de resultado da digitalização de objetos do S3 no barramento de eventos EventBridge padrão da Amazon. GuardDuty também envia as métricas de escaneamento, como número de objetos escaneados e bytes escaneados, para a Amazon. CloudWatch Se você ativou a marcação, GuardDuty adicionará a tag predefinida `GuardDutyMalwareScanStatus` e um possível resultado de escaneamento como o valor da tag.
**Importante**
GuardDuty usa at-least-once entrega, o que significa que você pode receber vários resultados de escaneamento para o mesmo objeto. Recomendamos projetar suas aplicações para lidar com resultados duplicados. Você é cobrado apenas uma vez por cada objeto verificado.
Para obter mais informações, consulte [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
### Revisar descobertas geradas
A análise das descobertas depende se você está ou não usando o Malware Protection for S3 com. GuardDuty Considere os seguintes cenários:
**Usando a Proteção contra Malware para S3 quando o GuardDuty serviço está ativado (ID do detector)**
Se a verificação de malware detectar um arquivo potencialmente malicioso em um objeto do S3, GuardDuty gerará uma descoberta associada. É possível visualizar os detalhes da descoberta e usar as etapas recomendadas para corrigir a descoberta. Com base na [frequência de suas descobertas de exportação](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), a descoberta gerada é exportada para um bucket do S3 e um barramento de EventBridge eventos.
Para obter informações sobre o tipo de descoberta que seria gerado, consulte[Tipo de descoberta da Proteção contra malware para S3](gdu-malware-protection-s3-finding-types.md).
**Como usar a Proteção contra malware para o S3 como um recurso independente (sem ID de detector)**
GuardDuty não será capaz de gerar descobertas porque não há uma ID de detector associada. Para saber o status da verificação de malware do objeto S3, você pode visualizar o resultado da verificação que é publicado GuardDuty automaticamente no seu barramento de eventos padrão. Você também pode visualizar as CloudWatch métricas para avaliar o número de objetos e bytes que GuardDuty tentaram escanear. Você pode configurar CloudWatch alarmes para ser notificado sobre os resultados da verificação. Caso tenha habilitado a colocação de tags em objetos S3, também é possível visualizar o status da verificação de malware verificando no objeto S3 a chave da tag e o `GuardDutyMalwareScanStatus` valor da tag do resultado da verificação.
Para obter informações sobre o status e o resultado da verificação de objetos S3, consulte [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
# Capacidades da proteção contra malware para S3
A lista a seguir fornece uma visão geral do que você pode esperar ou fazer depois de ativar a Proteção contra Malware para S3 em seu bucket:
+ **Escolha o que verificar — Examine os arquivos à** medida que eles são carregados em todos os prefixos ou em prefixos específicos (até 5) associados ao bucket do S3 selecionado.
+ **Escaneamentos automáticos em objetos enviados** — Depois de ativar o Malware Protection for S3 para um bucket, GuardDuty iniciará automaticamente um escaneamento para detectar possíveis malwares em um objeto recém-carregado.
+ **Escaneamentos sob demanda** — Você pode iniciar escaneamentos de objetos existentes ou digitalizar novamente objetos escaneados anteriormente. Para obter mais informações, consulte [Verificação de malware S3 sob demanda em GuardDuty](malware-protection-s3-on-demand.md).
+ **Ative por meio do console, usando API/AWS CLI, ou CloudFormation** — Escolha um método preferido para ativar a Proteção contra Malware para S3.
*Você pode ativar a Proteção contra Malware para S3 usando plataformas de infraestrutura como código (IaC), como o Terraform.* Para mais informações, consulte [Recurso: `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan).
+ **Formatos de arquivo compatíveis, cotas de Proteção contra Malware para S3 e atributos do Amazon S3** – a Proteção contra Malware para S3 oferece suporte a todos os formatos de arquivo que você pode carregar nos buckets do S3. Se o arquivo enviado estiver protegido por senha e GuardDuty for capaz de detectar a presença de proteção por senha para o tipo do arquivo enviado, GuardDuty tentará escanear o conteúdo original usando senhas comuns. Se a senha falhar, a verificação será ignorada. GuardDuty não consigo detectar a presença de proteção por senha em todos os formatos de arquivo. Se não GuardDuty conseguir detectar a presença de proteção por senha, ele ainda GuardDuty digitalizará o conteúdo criptografado.
Para obter informações sobre as cotas relacionadas ao tamanho do objeto, nível máximo de profundidade de arquivamento e outros detalhes, consulte[Quotas na Proteção contra malware para o S3](malware-protection-s3-quotas-guardduty.md).
Para obter informações sobre se um atributo do Amazon S3 é suportado ou não, consulte. [Suportabilidade dos atributos do Amazon S3](supported-s3-features-malware-protection-s3.md)
+ **Suporta a marcação de objetos S3 escaneados** — Quando você ativa[Criação opcional de tags de objetos com base no resultado da verificação](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3), depois de cada verificação de malware, GuardDuty adiciona uma tag que indica o status da verificação. É possível usar essa tag para configurar o controle de acesso baseado em tags (TBAC) para os objetos do S3. Por exemplo, você pode restringir o acesso aos objetos do S3 indicados como maliciosos e ter o valor da tag como`THREATS_FOUND`.
+ ** EventBridge Notificações da Amazon** — GuardDuty envia eventos para a Amazon EventBridge quando o status do recurso do plano de Proteção contra Malware muda ou quando uma verificação de malware do objeto S3 é concluída. Os eventos são enviados para o barramento de eventos padrão. Você pode usar EventBridge esses eventos para escrever regras que executam ações, como monitorar quando esses eventos acontecem. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ **CloudWatch métricas** — Visualize CloudWatch métricas para ativar alarmes sobre determinados status de escaneamento de malware. Para obter mais informações, consulte [Métricas de status de escaneamento de objetos do S3 em CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md).
# (Opcional) Comece a usar o GuardDuty Malware Protection for S3 de forma independente (somente console)
Use essa etapa opcional quando quiser começar a usar a opção de detecção de ameaças do Malware Protection for S3, independentemente do GuardDuty status em seu Conta da AWS.
Se você também quiser usar outros planos de proteção dedicados GuardDuty, você deve começar a usar o GuardDuty serviço da Amazon. Para obter informações sobre planos de GuardDuty proteção, consulte[Características do GuardDuty](what-is-guardduty.md#features-of-guardduty). Quando você já tiver ativado GuardDuty sua conta, poderá pular esta etapa e continuar. [Configurando a proteção contra malware para S3 para seu bucket](configuring-malware-protection-for-s3-guardduty.md)
**Etapas para começar a usar a Proteção contra Malware para S3 somente para detecção de ameaças**
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Selecione **Proteção contra GuardDuty malware somente para S3**. Isso ajuda você a detectar se um arquivo recém-carregado no bucket do Amazon Simple Storage Service (Amazon S3) potencialmente contém malware.
![\[Selecionar a opção Proteção contra GuardDuty malware somente para S3 e, em seguida, escolher Começar.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/select-malware-protection-for-s3-console.png)
1. Escolha **Começar**. Agora você pode continuar com as etapas abaixo [Configurando a proteção contra malware para S3 para seu bucket](configuring-malware-protection-for-s3-guardduty.md).
# Configurando a proteção contra malware para S3 para seu bucket
Para que a Proteção contra Malware para S3 verifique e (opcionalmente) adicione tags aos seus objetos do S3, você pode usar funções de serviço que tenham as permissões necessárias para realizar ações de verificação de malware em seu nome. Para obter mais informações sobre o uso de perfis de serviço para habilitar a proteção contra malware para o S3, consulte [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Essa função é diferente da função [vinculada ao serviço de Proteção contra GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se você preferir usar funções do IAM, você pode anexar uma função do IAM que inclua as permissões necessárias para digitalizar e (opcionalmente) adicionar tags aos seus objetos do S3. GuardDuty em seguida, assume essa função do IAM para realizar essas ações em seu nome. Você precisará desse nome de perfil do IAM no momento de habilitar esse plano de proteção para seu bucket do Amazon S3.
Se você estiver usando perfil do IAM, para toda vez que quiser proteger um bucket do Amazon S3, você deve executar as duas etapas listadas nesta seção.
Para ativar a proteção contra malware para o S3, você precisará de detalhes como o nome do bucket do S3, prefixos de objeto, se quiser focar a proteção em prefixos específicos, e o nome do perfil do IAM com as permissões necessárias.
As etapas permanecem as mesmas, independentemente de você começar a usar o Malware Protection for S3 de forma independente ou ativá-lo como parte do GuardDuty serviço.
**Tópicos**
1. [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Habilitando a proteção contra malware para S3 para seu bucket](enable-malware-protection-s3-bucket.md)
1. [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Habilitando a proteção contra malware para S3 para seu bucket
Esta seção fornece etapas detalhadas sobre como habilitar a Proteção contra Malware para S3 para um bucket em sua própria conta. Antes de continuar, analise as seguintes considerações:
+ Quando você ativa esse plano de proteção usando o GuardDuty console, ele inclui a etapa para criar uma nova função ou usar uma função existente na seção **Acesso ao serviço**.
+ Ao habilitar esse plano de proteção usando a GuardDuty API ou a CLI, é necessário [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md) antes de continuar.
+ Independentemente de como você habilitar esse plano de proteção, você deve ter as [Permissões para criar um recurso do plano de Proteção contra malware](#malware-protection-s3-permissions-prerequisite) necessárias.
**Considerando o controle de utilização do bucket do Amazon S3**
O controle de utilização do S3 pode limitar a taxa na qual os dados podem ser transferidos de ou para seus buckets do Amazon S3. Isso pode potencialmente atrasar as verificações de malware de seus objetos recém-carregados.
Se você espera grandes volumes de solicitações `GET` e `PUT` para seus buckets do S3, considere implementar medidas para evitar o controle de utilização. Para obter informações sobre como fazer isso, consulte [Prevenir o controle de utilização do Amazon S3](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) no *Guia do usuário do Amazon Athena*.
**Topics**
## Permissões para criar um recurso do plano de Proteção contra malware
Quando você ativa a Proteção contra Malware para o S3 em um bucket do Amazon S3 GuardDuty , cria um recurso do plano de Proteção contra Malware que atua como um identificador para o plano de proteção do bucket. Se você ainda não estiver usando a [AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), adicione as seguintes permissões para criar esse recurso:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Você pode usar o seguinte exemplo de política personalizada e *placeholder values* substituí-la pelos valores apropriados para sua conta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Ativando a proteção contra malware para S3 usando o console GuardDuty
As seções a seguir fornecem uma step-by-step explicação passo a passo, como você experimentará no GuardDuty console.
**Para habilitar a Proteção contra Malware para S3 usando o console GuardDuty **
### Entre nos detalhes do bucket do S3
Use as etapas a seguir para fornecer detalhes do bucket do Amazon S3:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja ativar a Proteção contra Malware para o S3.
1. No painel de navegação, escolha **Proteção contra Malware para S3**
1. Na seção **Buckets protegidos**, escolha **Habilitar para ativar** a Proteção contra Malware para S3 para um bucket S3 que pertence ao seu Conta da AWS.
1. Em **Inserir detalhes do bucket do S3**, insira o nome do **Bucket do Amazon S3**. Como alternativa, escolha **Browse S3** para selecionar um bucket S3.
O Região da AWS do bucket do S3 e o Conta da AWS local em que você ativa a Proteção contra Malware para o S3 devem ser os mesmos. Por exemplo, se sua conta pertence à região `us-east-1`, a região do bucket do Amazon S3 também deve ser `us-east-1`.
1. Em **Prefixo**, você pode selecionar **Todos os objetos no bucket do S3** ou **Objetos que começam com um prefixo específico**.
+ Selecione **Todos os objetos no bucket do S3** quando quiser GuardDuty escanear todos os objetos recém-carregados no bucket selecionado.
+ Selecione **Objetos que começam com um prefixo específico** quando quiser verificar os objetos recém-carregados que pertencem a um prefixo específico. Essa opção ajuda você a focar no escopo da verificação de malware somente nos prefixos de objeto selecionados. Para obter informações sobre como usar pastas no Amazon S3, consulte [Organizar objetos no console do Amazon S3 usando pastas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) no *Manual do usuário do Amazon S3*.
Escolha **Adicionar prefixo** e insira o prefixo. Você pode adicionar até cinco prefixos.
### Ativar marcação para objetos verificados
Esta é uma etapa **opcional**. Quando você ativa a opção de marcação antes de um objeto ser carregado no seu bucket, depois de concluir a verificação, GuardDuty adicionará uma tag predefinida com a chave como `GuardDutyMalwareScanStatus` e o valor como resultado da verificação. Para usar a Proteção contra Malware para S3 de forma otimizada, recomendamos ativar a opção de adicionar uma tag aos objetos do S3 após o término da verificação. O custo padrão da atribuição de tags de objetos do S3 é aplicável. Para obter mais informações, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
**Por que você deve ativar a marcação?**
+ Ativar a marcação é uma das maneiras de saber sobre o resultado da verificação de malware. Para obter informações sobre o resultado de uma verificação de malware do S3, consulte [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Configure uma política de controle de acesso baseado em tags (TBAC) em seu bucket do S3 que contém o objeto potencialmente malicioso. Para obter informações sobre como implementar um controle de acesso baseado em tags (TBAC), consulte. [Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3](tag-based-access-s3-malware-protection.md)
**Considerações GuardDuty para adicionar uma tag ao seu objeto do S3:**
+ Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte [Categorizando o armazenamento usando tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) no *Guia do usuário do Amazon S3*.
Se todas as 10 tags já estiverem em uso, não GuardDuty será possível adicionar a tag predefinida ao objeto digitalizado. GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Quando a função do IAM selecionada não inclui a permissão GuardDuty para marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, não GuardDuty será possível adicionar uma tag a esse objeto escaneado do S3. Para obter mais informações sobre como criar uma permissão do perfil do IAM para marcação de tag, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Para selecionar uma opção em **Marcar objetos verificados****
+ Quando **quiser** adicionar tags GuardDuty aos objetos digitalizados do S3, selecione **Marcar** objetos.
+ Quando você **não quiser** adicionar tags GuardDuty aos objetos digitalizados do S3, selecione **Não marcar** objetos.
### Acesso ao serviço
Use as etapas a seguir para escolher um perfil de serviço existente ou criar um novo perfil de serviço que tenha as permissões necessárias para executar ações de verificação de malware em seu nome. Essas ações podem incluir a verificação dos objetos S3 recém-carregados e (opcionalmente) a adição de tags a esses objetos. Para mais informações sobre as permissões que esse perfil terá, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
Na seção **Acesso ao serviço** selecione uma das seguintes opções:
1. **Criar e usar um novo perfil de serviço** — Você pode criar e usar um novo perfil de serviço que tenha as permissões necessárias para realizar a verificação de malware.
Em **Nome da função**, você pode escolher usar o nome pré-preenchido por GuardDuty ou inserir um nome significativo de sua escolha para identificar a função. Por exemplo, `GuardDutyS3MalwareScanRole`. O nome do perfil deve ter de 1 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9 e caracteres “\$1=,.@-\$1”.
1. **Usar um perfil de serviço existente** — Você pode escolher um perfil de serviço existente na lista de **Nome do perfil de serviço**.
1. Em **Modelo de política**, você pode visualizar a política do seu bucket do S3. Verifique se você inseriu ou selecionou um bucket do S3 na seção de detalhes **Inserir bucket do S3**.
1. Em **Nome do perfil de serviço**, escolha um perfil de serviço na lista de perfis de serviço.
Você pode fazer alterações na política com base em seus requisitos. Para obter mais detalhes sobre como criar ou atualizar um perfil do IAM, consulte [Criar ou atualizar a política de perfil do IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Para problemas com as permissões de perfil do IAM, consulte [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Opcional) Etiquetar ID do plano de proteção contra malware
Essa é uma etapa opcional que ajuda você a adicionar tags ao recurso do plano de proteção contra malware que seriam criadas para seu recurso de bucket do S3.
Cada tag tem duas partes: uma chave de tag e um valor de tag opcional. Para obter mais informações sobre marcação e seus benefícios, consulte Recursos de [marcação AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Para adicionar tags ao seu recurso de plano de proteção contra malware**
1. Digite uma **chave** e, opcionalmente, um **valor** para a tag. A chave e o valor da tag diferenciam maiúsculas de minúsculas. Para obter informações sobre os nomes da chave e do valor da tag, consulte [Limites e requisitos de nomenclatura da tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Para adicionar mais tags ao seu recurso do plano de Proteção contra Malware, escolha **Adicionar nova tag** e repita a etapa anterior. Você pode adicionar até 50 tags a cada recurso.
1. Escolha **Habilitar**.
## Habilitando a proteção contra malware para S3 usando API/CLI
Esta seção inclui as etapas para quando você deseja habilitar o Malware Protection for S3 programaticamente em seu ambiente. AWS Isso requer o nome do recurso da Amazon (ARN) do perfil do IAM que você criou nesta etapa - [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Para habilitar a proteção contra malware para S3 de forma programática usando API/CLI**
+ **Usando a API**
Execute o [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)para ativar o Malware Protection for S3 em um bucket que pertence à sua própria conta.
+ **Usando AWS CLI**
Dependendo de como você deseja habilitar a Proteção contra Malware para S3, a lista a seguir fornece AWS CLI exemplos de comandos para casos de uso específicos. Ao executar esses comandos, substitua o*placeholder examples shown in red*, pelos valores apropriados para sua conta.
**AWS CLI exemplos de comandos**
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 em um bucket sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com prefixos de objeto específicos e sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com a marcação de objetos escaneados do S3 ativada:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Depois de executar esses comandos com êxito, um ID exclusivo do plano de Proteção contra Malware será gerado. Para realizar ações como atualizar ou desativar o plano de proteção do seu bucket, você precisará desse ID do plano de proteção contra malware.
Para problemas com as permissões de perfil do IAM, consulte [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
# Criar ou atualizar a política do perfil do IAM
Para que a Proteção contra Malware Protection para S3 verifique e (opcionalmente) adicione tags aos seus objetos do S3, você pode usar perfis de serviço que tenham as permissões necessárias para realizar ações de verificação de malware em seu nome. Para obter mais informações sobre o uso de perfis de serviço para habilitar a proteção contra malware para o S3, consulte [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Essa função é diferente da função [vinculada ao serviço de Proteção contra GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se você preferir usar perfis do IAM, pode anexar um perfil do IAM que inclua as permissões necessárias para verificar e (opcionalmente) adicionar tags aos seus objetos do S3. Você deve criar um perfil do IAM ou atualizar o perfil existente para incluir essas permissões. Como essas permissões são necessárias para cada bucket do Amazon S3 para o qual você habilita a proteção contra malware para o S3, você precisa executar essa etapa para cada bucket do Amazon S3 que você deve proteger.
A lista a seguir explica como determinadas permissões ajudam a GuardDuty realizar a verificação de malware em seu nome:
+ Permita que EventBridge as ações da Amazon criem e gerenciem a regra EventBridge gerenciada para que o Malware Protection for S3 possa ouvir suas notificações de objetos do S3.
Para obter mais informações, consulte [as regras EventBridge gerenciadas](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) da *Amazon no Guia EventBridge do usuário da Amazon*.
+ Permita que o Amazon S3 e EventBridge as ações enviem notificações EventBridge para todos os eventos neste bucket
Para obter mais informações, consulte [Habilitando a Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) no Guia do *usuário do Amazon S3*.
+ Permita que as ações do Amazon S3 acessem o objeto S3 carregado e adicionem uma tag predefinida,`GuardDutyMalwareScanStatus`, ao objeto S3 verificado. Ao usar um prefixo de objeto, adicione uma condição `s3:prefix` somente nos prefixos de destino. Isso GuardDuty impede o acesso a todos os objetos do S3 em seu bucket.
+ Permita que as ações-chave do KMS acessem o objeto antes de verificar e colocar um objeto de teste em buckets com a criptografia DSSE-KMS e SSE-KMS compatível.
**nota**
Essa etapa é necessária sempre que você ativa a Proteção de Malware para S3 em um bucket na sua conta. Se você já tem um perfil do IAM, pode atualizar sua política para incluir os detalhes de outro recurso do bucket do Amazon S3. O tópico [Adicionar permissões de política do IAM](#attach-iam-policy-s3-malware-protection) fornece um exemplo de como fazer isso.
Use as etapas a seguir para criar ou atualizar uma política e um perfil do IAM.
**Topics**
+ [Adicionar permissões de política do IAM](#attach-iam-policy-s3-malware-protection)
+ [Adicionar Política de relação de confiança](#add-iam-trust-policy-s3-malware-protection)
## Adicionar permissões de política do IAM
Você pode optar por atualizar a política em linha de um perfil do IAM existente ou criar um novo perfil do IAM. Para obter mais informações sobre as etapas, consulte [Criar perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html), ou [Modificar uma política de permissões de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) no *Guia do usuário do IAM*.
Adicione o seguinte modelo de permissões ao seu perfil do IAM preferido. Substitua os seguintes valores de espaço reservado por valores apropriados associados à sua conta:
+ Para*amzn-s3-demo-bucket*, substitua pelo nome do seu bucket do Amazon S3.
Para usar o mesmo perfil do IAM para mais de um recurso de bucket do S3, atualize uma política existente conforme exibido no exemplo a seguir:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Certifique-se de adicionar uma vírgula (,) antes de adicionar um novo ARN associado ao bucket do S3. Faça isso sempre que você se referir a um bucket do S3 `Resource` no modelo de política.
+ Para*111122223333*, substitua pelo seu Conta da AWS ID.
+ Para*us-east-1*, substitua pelo seu Região da AWS.
+ Para *APKAEIBAERJR2EXAMPLE*, substitua pelo ID da chave gerenciada pelo cliente. Se seu bucket do S3 for criptografado usando uma AWS KMS chave, adicionaremos as permissões relevantes se você escolher a opção [Criar uma nova função](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) ao configurar a proteção contra malware para seu bucket.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Modelo de política de perfil do IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Adicionar Política de relação de confiança
Anexe a política a seguir ao seu perfil do IAM: Para obter mais informações, consulte [Modificar uma política de confiança de perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Solução de problemas de erro de permissões de perfil do IAM
Ao ativar a Proteção contra malware para o S3, GuardDuty verifique se sua função de serviço do IAM tem as permissões necessárias para validar a propriedade do bucket do Amazon S3. Se essas permissões estiverem ausentes ou configuradas incorretamente, você poderá receber a seguinte mensagem:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Os cenários a seguir podem ajudar a solucionar esse erro:
**Permissões de função do IAM ausentes**
+ O perfil do IAM deve ter as permissões necessárias para permitir que a Proteção contra Malware para S3 assuma esse perfil.
+ GuardDuty valida a propriedade do bucket com a `"s3:ListBucket"` permissão. Isso deve estar presente no perfil do IAM que você usa.
Para obter mais informações sobre as permissões, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilidade do perfil do IAM**
+ Ao criar um novo perfil do IAM, aguarde alguns minutos para que as alterações atinjam a consistência final antes de habilitar a Proteção contra Malware para S3. Se você tentar ativar o plano de proteção imediatamente após criar o perfil, a validação poderá falhar.
+ Para implantações de infraestrutura como código (IaC), GuardDuty recomenda declarar uma dependência de recursos para garantir que a função do IAM alcance uma eventual consistência.
Para exemplos de modelos sobre como fazer isso, consulte [GuardDuty GitHubrepositório.](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Habilitação entre regiões**
Certifique-se de que seu bucket do Amazon S3 esteja na mesma região em que você está habilitando a proteção contra malware para o S3. GuardDuty
# Etapas para habilitar a proteção contra malware para S3
Esta seção lista as etapas que você pode seguir após ativar a Proteção contra Malware para S3 em um bucket. As etapas a seguir estão listadas em uma ordem que ajudará você a navegar pelas próximas etapas:
**A seguir, depois de ativar o Proteção contra Malware para S3 em seu bucket**
1. **Adicione política de recursos de controle de acesso baseado em tags (TBAC)** — Ao ativar a marcação, antes que um objeto seja carregado no bucket selecionado, certifique-se de adicionar a política TBAC ao recurso do bucket do S3. Para obter mais informações, consulte [Adicionando TBAC ao recurso do bucket do S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
1. **Monitore o status do plano de proteção contra malware** — monitore a coluna **Status** de cada bucket protegido. Para obter informações sobre possíveis status e o que eles significam, consulte[Visualizar e entender o status do bucket protegido](malware-protection-s3-bucket-status-gdu.md).
1. **Inicie um escaneamento** escolhendo uma das seguintes opções:
+ **Faça upload de um objeto**:
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Faça upload de um arquivo para seu bucket do S3 ou para o prefixo de objeto para o qual você habilitou este atributo. Para etapas para fazer o upload de um arquivo, consulte [Fazer upload de um objeto para o seu bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html) no *Guia do usuário do Amazon S3*.
+ **Inicie uma varredura sob demanda**: [Verificação de malware S3 sob demanda em GuardDuty](malware-protection-s3-on-demand.md)
1. **Monitore o status e o resultado da verificação de objetos do S3** — Essa etapa inclui informações sobre como verificar o status da verificação de malware do objeto do S3.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/malware-protection-s3-steps-after-enabling.html)
# Verificação de malware S3 sob demanda em GuardDuty
GuardDuty O Malware Protection for S3 monitora continuamente novos uploads do S3. Para objetos que existiam antes de ativar a proteção, ou para verificar novamente objetos escaneados anteriormente, você pode iniciar a verificação de malware sob demanda do S3 depois de habilitar o plano de proteção contra GuardDuty malware para seu bucket.
A verificação de malware sob demanda usa a função IAM do Plano de Proteção contra Malware para acessar objetos e aplicar a configuração. A verificação substituirá qualquer prefixo configurado no Plano de Proteção contra Malware do bucket.
**nota**
A cota do Malware Protection for S3 se aplica à verificação de malware sob demanda. Para obter mais informações, consulte[Quotas na Proteção contra malware para o S3](malware-protection-s3-quotas-guardduty.md).
Para obter mais informações sobre a definição de preços, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
## Pré-requisitos
Antes de iniciar uma verificação de malware sob demanda, sua conta deve atender aos seguintes pré-requisitos:
+ A proteção contra malware para S3 está ativada no bucket de destino. Consulte [Configurando a proteção contra malware para S3 para seu bucket](configuring-malware-protection-for-s3-guardduty.md) para obter mais informações.
+ A [AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) política é anexada ao usuário do IAM ou à função do IAM que invoca a API.
## Inicie a verificação de malware sob demanda
Use a operação [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)da API, que exige o caminho do objeto S3 como entrada.
------
#### [ API/CLI ]
Você pode digitalizar a versão mais recente do objeto ou especificar uma versão específica para digitalizar.
Para digitalizar uma versão específica de um objeto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```
Para escanear a versão mais recente de um objeto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```
------
**Importante**
Uma chamada de API bem-sucedida confirma que a solicitação de verificação foi aceita. No entanto, é importante monitorar os resultados da verificação para garantir a conclusão bem-sucedida e identificar quaisquer problemas, como erros ao acessar o objeto. Para obter mais informações, consulte [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
# Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3
Ao habilitar a Proteção contra Malware para S3 para o seu bucket, você pode optar por habilitar a marcação. Depois de tentar escanear um objeto S3 recém-carregado no bucket selecionado, GuardDuty adiciona uma tag ao objeto escaneado para fornecer o status da verificação de malware. Há um custo de uso direto associado quando você ativa a marcação. Para obter mais informações, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
GuardDuty usa uma tag predefinida com a chave como `GuardDutyMalwareScanStatus` e o valor como um dos status de verificação de malware. Para obter informações sobre esses valores, consulte [Status de verificação potencial do objeto S3 e status do resultado](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
**Considerações GuardDuty para adicionar uma tag ao seu objeto do S3:**
+ Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte [Categorizando o armazenamento usando tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) no *Guia do usuário do Amazon S3*.
Se todas as 10 tags já estiverem em uso, não GuardDuty será possível adicionar a tag predefinida ao objeto digitalizado. GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Quando a função do IAM selecionada não inclui a permissão GuardDuty para marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, não GuardDuty será possível adicionar uma tag a esse objeto escaneado do S3. Para obter mais informações sobre como criar uma permissão do perfil do IAM para marcação de tag, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
## Adicionando TBAC ao recurso do bucket do S3
Você pode usar as políticas de recursos do bucket do S3 para gerenciar o controle de acesso baseado em tags (TBAC) para seus objetos do S3. Você pode fornecer acesso a usuários específicos para acessar e ler o objeto S3. Se você tiver uma organização que foi criada usando AWS Organizations, você deve garantir que ninguém possa modificar as tags adicionadas por GuardDuty. Para obter mais informações, consulte Como [evitar que as tags sejam modificadas, exceto por responsáveis autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin), no *Guia do AWS Organizations usuário*. O exemplo usado no tópico vinculado menciona `ec2`. Ao usar esse exemplo, substitua *ec2* por`s3`.
A lista a seguir explica o que você pode fazer usando o TBAC:
+ Impeça que todos os usuários, exceto a entidade principal do serviço de Proteção de Malware para S3, leiam os objetos do S3 que ainda não estão marcados com o seguinte par de valor chave de tag:
`GuardDutyMalwareScanStatus`:`Potential key value`
+ Permita apenas GuardDuty adicionar a chave de tag `GuardDutyMalwareScanStatus` com valor como resultado da digitalização a um objeto S3 digitalizado. O modelo de política a seguir pode permitir que usuários específicos que tenham acesso possam potencialmente substituir o par chave-valor da tag.
**Política de recursos do bucket do S3 do exemplo**
Substitua os seguintes valores de espaços reservados na política de exemplo:
+ *IAM-role-name*- Forneça a função do IAM que você usou para configurar a proteção contra malware para S3 em seu bucket.
+ *555555555555*- Forneça o Conta da AWS associado ao bucket protegido.
+ *amzn-s3-demo-bucket*- Forneça o nome do bucket protegido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
Para obter mais informações sobre como marcar seu recurso do S3, consulte Políticas de [marcação e controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html).
# Visualizar e entender o status do bucket protegido
Depois de habilitar a Proteção contra Malware para S3 para um bucket, o status indica se o recurso está configurado e funcionando conforme esperado. Esse status está associado a um identificador (ID) exclusivo do plano de Proteção contra Malware. GuardDuty cria esse ID no momento da ativação do recurso.
Use o procedimento a seguir para visualizar o status do bucket protegido:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Proteção contra Malware para S3**.
1. Na tabela **Buckets protegidos**, visualize a coluna **Status** correspondente para seu **bucket do S3**.
A tabela a seguir lista e descreve os valores de status associados ao recurso do plano de Proteção contra Malware. Ao entender o que esses status significam para seu bucket protegido, você pode garantir melhor que ele GuardDuty inicie uma verificação automática de malware quando um objeto é carregado.
| Status | Description |
| --- | --- |
| Ativo | Seu bucket do S3 foi configurado com a Proteção contra Malware para S3 com sucesso. Quando o status é *Ativo*, as alterações no perfil do IAM (exclusão ou modificação de permissões) não vão atualizar o status para *Aviso* ou *Erro*. Recomendamos monitorar o status da verificação continuamente usando qualquer um dos métodos descritos em [Monitoramento de verificações de objetos de S3](monitoring-malware-protection-s3-scans-gdu.md). |
| Aviso**[*](#fix-protection-status-s3-malware)** | A Proteção contra Malware para S3 foi projetada para não ser afetada quando um aviso aparecer. Quando GuardDuty percebe um novo objeto do S3, ele inicia uma verificação de malware. Depois de iniciar a verificação com sucesso, o valor da coluna **Status** pode levar alguns minutos para ser alterado para **Ativo**. Você receberá uma EventBridge notificação após a atualização do valor da coluna **Status**. |
| Erro**[*](#fix-protection-status-s3-malware)** | Seu bucket não está protegido. Nenhuma das verificações de malware associadas a esse bucket do S3 será concluída. Pode haver uma ou mais causas possíveis. |
**\$1** Para obter informações sobre possíveis problemas e as etapas correspondentes para resolvê-los, consulte[Solução de problemas do status do plano de proteção contra malware](troubleshoot-s3-malware-protection-status-errors.md).
# Monitorando verificações de objetos do S3 na Proteção contra Malware para S3
Ao usar o Malware Protection for S3 com um ID de GuardDuty detector, se seu objeto do Amazon S3 for potencialmente malicioso GuardDuty , ele será gerado. [Tipo de descoberta da Proteção contra malware para S3](gdu-malware-protection-s3-finding-types.md) Usando o GuardDuty console e APIs, você pode visualizar as descobertas geradas. Para obter informações sobre como entender esse tipo de descoberta, consulte[Detalhes da descoberta](guardduty_findings-summary.md).
Ao usar o Malware Protection for S3 sem habilitar GuardDuty (sem ID de detector), mesmo quando seu objeto escaneado do Amazon S3 é potencialmente malicioso GuardDuty , não é possível gerar nenhuma descoberta.
**Topics**
+ [Status de verificação potencial do objeto S3 e status do resultado](#s3-object-scan-result-value-malware-protection)
+ [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md)
+ [Monitoramento de escaneamentos de objetos do S3 com tags gerenciadas GuardDuty](monitor-enable-s3-object-tagging-malware-protection.md)
+ [Métricas de status de escaneamento de objetos do S3 em CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)
## Status de verificação potencial do objeto S3 e status do resultado
Esta seção explica os possíveis valores de status de verificação de objetos do S3 e os valores do resultado da verificação.
O status de verificação de objetos do S3 indica o status de verificação de malware, como concluído, ignorado ou falhado.
O status do resultado de verificação de malware do objeto S3 indica o resultado de verificação com base no valor do status de verificação. O valor de status de cada resultado de verificação de malware é mapeado para um status de de verificação.
A lista a seguir fornece os valores potenciais do resultado da varredura de objetos do S3. Se você ativou a marcação, você pode monitorar o resultado da verificação por[Uso de marcações de objeto S3](monitor-enable-s3-object-tagging-malware-protection.md). Após a verificação, o valor da marcação terá um dos seguintes valores de resultado da verificação.
**Valores de status do resultado da verificação de malware em potencial do objeto S3**
+ `NO_THREATS_FOUND`— não GuardDuty detectou nenhuma ameaça potencial associada ao objeto escaneado.
+ `THREATS_FOUND`— GuardDuty detectou uma ameaça potencial associada ao objeto escaneado.
+ `UNSUPPORTED`— Existem alguns motivos pelos quais a Proteção de Malware para S3 pulará uma verificação. Os possíveis motivos incluem arquivo protegido por senha, arquivamentos com taxas de compactação extremamente altas, [Cotas de Proteção contra malware para o S3](malware-protection-s3-quotas-guardduty.md) e suporte para determinados atributos do Amazon S3 que podem estar indisponíveis. Para obter mais informações, consulte [Capacidades da proteção contra malware para S3](s3-malware-protection-capability.md).
+ `ACCESS_DENIED`— não GuardDuty consigo acessar esse objeto para digitalização. Verifique as permissões do perfil do IAM associadas a esse bucket. Para obter mais informações, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
Se você ativou a marcação de objetos do S3 após a verificação, consulte. [Solução de problemas de falhas na marcação pós-verificação do objeto S3](troubleshoot-s3-post-scan-tag-failures.md)
+ `FAILED`— não é GuardDuty possível realizar a verificação de malware neste objeto devido a um erro interno.
A lista a seguir fornece possíveis valores de status de verificação de objetos do S3 e seu mapeamento para o resultado da verificação de objetos do S3.
**Valores de status de verificação potencial do objeto S3**
+ **Concluído** — O verificação foi concluído com êxito e indica se o objeto S3 tem malware. Nesse caso, o valor potencial do resultado da verificação de objetos do S3 pode ser `THREATS_FOUND` ou`NO_THREATS_FOUND`.
+ **Ignorado** — GuardDuty ignora uma verificação de malware ao escanear esse objeto do S3, não é compatível com o Malware Protection for S3 ou GuardDuty não tem acesso ao objeto do S3 carregado no bucket selecionado.
Nesse caso, o valor potencial do resultado da verificação de objetos do S3 pode ser `UNSUPPORTED` ou`ACCESS_DENIED`.
GuardDuty também pulará a verificação se a função do IAM necessária for excluída.
+ **Falha** — Semelhante ao valor do resultado da verificação de objetos do S3`FAILED`, esse status de verificação significa que não GuardDuty foi possível realizar a verificação de malware no objeto do S3 devido a um erro interno.
# Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge
EventBridgeA *Amazon* é um serviço de ônibus de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos Software-as-a-Service (SaaS) e AWS serviços e encaminha esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
Como conta do proprietário de um bucket do S3 protegido com o Malware Protection for S3, GuardDuty publica EventBridge notificações no barramento de eventos padrão nos seguintes cenários:
+ Alterações no **status dos recursos do plano de proteção contra malware** para qualquer um dos seus buckets protegidos. Para obter mais informações sobre vários status, consulte [Visualizar e entender o status do bucket protegido](malware-protection-s3-bucket-status-gdu.md).
Para configurar a regra Amazon EventBridge (EventBridge) para o status do recurso, consulte[Status do recurso do plano de proteção contra malware](#resource-status-malware-protection-s3-ev).
+ O **resultado da verificação de objetos do S3** é publicado no seu barramento de EventBridge eventos padrão.
O campo `s3Throttled` indica se houve ou não um atraso no upload ou na recuperação do armazenamento dos Amazon S3. O valor `true` indica que houve um atraso e `false` indica que não houve atraso.
Se `s3Throttled` for `true` para o resultado da verificação, o Amazon S3 recomenda configurar prefixos de uma forma que ajude a reduzir as transações por segundo (TPS) para cada prefixo. Para obter mais informações, consulte [Padrões de Design de Práticas Recomendadas: Otimizando a Performance do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) no *Guia de Usuário do Amazon S3*.
Para configurar a regra Amazon EventBridge (EventBridge) para os resultados de escaneamento de objetos do S3, consulte[Resultado da verificação de objetos do S3](#s3-object-scan-status-malware-protection-s3-ev).
+ Há um **evento de falha na etiqueta pós-verificação** devido aos seguintes motivos:
+ Seu perfil do IAM não tem permissões para marcar o objeto.
O [Adicionar permissões de política do IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection) modelo inclui a permissão GuardDuty para marcar um objeto.
+ O recurso ou objeto do bucket especificado no perfil do IAM não existe mais.
+ O objeto S3 associado já atingiu o limite máximo de marcações. Para obter informações, sobre o limite de marcações, consulte [Categorizando o armazenamento usando marcações](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) no *Guia do usuário do Amazon S3*.
Para configurar a regra Amazon EventBridge (EventBridge) para os eventos de falha da tag pós-digitalização, consulte[Eventos de falha da marcação pós-verificação](#post-tag-failure-malware-protection-s3-ev).
## Configurar EventBridge regras
Você pode configurar EventBridge regras em sua conta para enviar o status do recurso, os eventos de falha da tag pós-escaneamento ou o resultado do escaneamento de objetos do S3 para outra pessoa. AWS service (Serviço da AWS) Como conta de GuardDuty administrador delegado, você receberá a notificação de status do recurso do plano de Proteção contra Malware quando houver uma alteração no status.
O EventBridge preço padrão será aplicado. Para obter mais informações, consulte os [ EventBridge preços da Amazon](https://aws.amazon.com/eventbridge/pricing/).
Todos os valores que aparecem em *red* são espaços reservados para o exemplo. Esses valores mudarão com base nos valores da sua conta e na detecção ou não de malware.
**Topics**
+ [Status do recurso do plano de proteção contra malware](#resource-status-malware-protection-s3-ev)
+ [Resultado da verificação de objetos do S3](#s3-object-scan-status-malware-protection-s3-ev)
+ [Eventos de falha da marcação pós-verificação](#post-tag-failure-malware-protection-s3-ev)
### Status do recurso do plano de proteção contra malware
Você pode criar um padrão de EventBridge evento com base nos seguintes cenários:
**Valores `detail-type`potenciais**
+ `"GuardDuty Malware Protection Resource Status Active"`
+ `"GuardDuty Malware Protection Resource Status Warning"`
+ `"GuardDuty Malware Protection Resource Status Error"`
**Padrão de evento**
```
{
"detail-type": ["potential detail-type"],
"source": ["aws.guardduty"]
}
```
**Exemplo de esquema de notificação para `GuardDuty Malware Protection Resource Status Active`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status Active",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ACTIVE"
}
}
```
**Exemplo de esquema de notificação para `GuardDuty Malware Protection Resource Status Warning`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status warning",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "WARNING",
"statusReasons": [
{
"code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
}
]
}
}
```
**Exemplo de esquema de notificação para `GuardDuty Malware Protection Resource Status Error`**:
```
{
"version": "0",
"id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
"detail-type": "GuardDuty Malware Protection Resource Status Error",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ERROR",
"statusReasons": [
{
"code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
}
]
}
}
```
Com base no motivo por trás do `resourceStatus``ERROR`, o `statusReasons` valor será preenchido.
Para obter informações sobre as etapas de solução de problemas dos seguintes avisos e erros, consulte[Solução de problemas do status do plano de proteção contra malware](troubleshoot-s3-malware-protection-status-errors.md).
### Resultado da verificação de objetos do S3
```
{
"detail-type": ["GuardDuty Malware Protection Object Scan Result"],
"source": ["aws.guardduty"]
}
```
**Exemplo de esquema de notificação para `NO_THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"threats": null
}
}
}
```
**Exemplo de esquema de notificação para `THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"threats": [
{
"name": "EICAR-Test-File (not a virus)"
}
]
}
}
}
```
**nota**
O campo `scanResultDetails.Threats` contém apenas uma ameaça. Por padrão, a verificação do Proteção contra Malware para S3 relata a primeira ameaça detectada. Depois disso, o `scanStatus` é definido como`COMPLETED`.
**Exemplo de esquema de notificação para o status do resultado da verificação `UNSUPPORTED` (ignorado**):
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "UNSUPPORTED",
"threats": null
}
}
}
```
**Exemplo de esquema de notificação para o status do resultado da verificação `ACCESS_DENIED` (ignorado**):
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "ACCESS_DENIED",
"threats": null
}
}
}
```
**Exemplo de esquema de notificação para o status do resultado da verificação `FAILED`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "FAILED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "FAILED",
"threats": null
}
}
}
```
### Eventos de falha da marcação pós-verificação
**Padrão de evento**:
```
{
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty"
}
```
**Exemplo de esquema de notificação para `ACCESS_DENIED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "ACCESS_DENIED"
}]
}
}
```
**Exemplo de esquema de notificação para `MAX_TAG_LIMIT_EXCEEDED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "MAX_TAG_LIMIT_EXCEEDED"
}]
}
}
```
Para solucionar esses motivos de falha, consulte[Solução de problemas de falhas na marcação pós-verificação do objeto S3](troubleshoot-s3-post-scan-tag-failures.md).
# Monitoramento de escaneamentos de objetos do S3 com tags gerenciadas GuardDuty
Use a opção de habilitar marcação para que GuardDuty você possa adicionar tags ao seu objeto Amazon S3 depois de concluir a verificação de malware.
**Considerações para ativar a marcação**
+ Há um custo de uso associado ao marcar GuardDuty seus objetos do S3. Para obter mais informações, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
+ Você deve manter as permissões de marcação necessárias para sua função preferida do IAM associada a esse bucket; caso contrário, não GuardDuty poderá adicionar tags aos seus objetos digitalizados. O perfil do IAM já inclui as permissões para adicionar marcações aos objetos verificados do S3. Para obter mais informações, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ Por padrão, você pode associar até 10 marcações a um objeto S3. Para obter mais informações, consulte [Usando controle de acesso baseado em tags (TBAC)](tag-based-access-s3-malware-protection.md).
Depois de ativar a marcação para um bucket do S3 ou prefixos específicos, qualquer objeto recém-carregado que for verificado terá uma marcação associada no seguinte formato de par de valores-chave:
`GuardDutyMalwareScanStatus`:`Scan-Result-Status`
Para obter informações sobre possíveis valores de marcação, consulte[Status de verificação potencial do objeto S3 e status do resultado](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
# Solução de problemas de falhas na marcação pós-verificação de objetos do S3 na Proteção contra Malware para S3
Esta seção se aplica a você somente se você estiver [Ativar marcação para objetos verificados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) em seu bucket protegido.
Ao GuardDuty tentar adicionar uma tag ao objeto escaneado do S3, a ação de marcar pode resultar em uma falha. Os possíveis motivos pelos quais isso pode acontecer com seu bucket são `ACCESS_DENIED` `MAX_TAG_LIMIT_EXCEEDED` e. Use os tópicos a seguir para entender os possíveis motivos desses motivos de falha na marcação pós-verificação e solucioná-los.
**ACCESS\$1DENIED**
A lista a seguir fornece possíveis motivos que podem causar esse problema:
+ A função do IAM usada para esse bucket protegido do S3 não tem a **AllowPostScanTag**permissão. Verifique se o perfil do IAM associada usa essa política de bucket. Para obter mais informações, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ A política de bucket protegido do S3 não permite GuardDuty adicionar tags a esse objeto.
+ O objeto do S3 verificado não existe mais.
**MAX\$1TAG\$1LIMIT\$1EXCEDIDO**
Por padrão, você pode associar até 10 marcações a um objeto S3. Para obter mais informações, consulte Considerações GuardDuty para adicionar uma tag ao seu objeto do S3 em. [Ativar marcação para objetos verificados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)
# Métricas de status de escaneamento de objetos do S3 em CloudWatch
Você pode monitorar GuardDuty o uso CloudWatch, que coleta dados brutos e os processa em métricas legíveis e quase em tempo real. Essas estatísticas são mantidas por um período de 15 meses para que seja possível acessar informações históricas e obter uma perspectiva melhor sobre como a Proteção contra Malware para S3 está indo. Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
As CloudWatch métricas do Malware Protection for S3 estão disponíveis no nível do recurso. Você pode consultar essas métricas para cada recurso protegido separadamente. As métricas estão no namespace `AWS/GuardDuty/MalwareProtection`. Você pode configurar alarmes em recursos específicos para monitorar a postura de segurança.
|
|
| **Métricas de status da verificação de malware** |
| --- |
| **Métrica** | **Descrição** |
| `CompletedScanCount` | O número de verificações de malware de objetos do S3 concluídos em um determinado período de tempo. Dimensões válidas: `Malware Protection Plan Id` `Resource Name` Unidades: contagem |
| `FailedScanCount` | O número de verificações de malware de objetos do S3 que falharam em um determinado período de tempo. **Dimensões válidas**: `Malware Protection Plan Id` `Resource Name` Unidades: contagem |
| `SkippedScanCount` | O número de verificações de malware de objetos do S3 que foram ignorados em um determinado período de tempo. **Dimensões válidas**: `Malware Protection Plan Id` `Resource Name` `Skipped Reason` Valores potenciais `Unsupported` `MissingPermissions` Unidades: contagem |
| **Métricas de resultados da verificação de malware** |
| --- |
| `InfectedScanCount` | O número de verificações de malware de objetos do S3 que detectaram objetos potencialmente maliciosos em um determinado período de tempo. Dimensões válidas: `Malware Protection Plan Id` `Resource Name` Unidades: contagem |
| `CompletedScanBytes` | O número de bytes de objetos do S3 verificados em um determinado período de tempo. Dimensões válidas: `Malware Protection Plan Id` `Resource Name` Unidades: contagem |
**nota**
Por padrão, as estatísticas nas CloudWatch métricas são AVG.
As seguintes dimensões são suportadas para a Proteção contra Malware para métrica S3.
|
|
| **Dimensão** | **Descrição** |
| --- |--- |
| Malware Protection Plan Id | O identificador exclusivo associado ao recurso do plano de Proteção contra Malware GuardDuty criado para seu recurso protegido. |
| Resource Name | O nome do recurso protegido. |
| Skipped Reason | O motivo pelo qual uma verificação de malware de objetos do S3 foi ignorada. Valores potenciais `Unsupported` `MissingPermissions` |
Para obter informações sobre como acessar e consultar essas métricas, consulte [Usar CloudWatch métricas da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) no *Guia do CloudWatch usuário da Amazon*.
Para obter informações sobre a configuração de alarmes, consulte [Usando CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*.
# Solução de problemas
**Topics**
+ [Solução de problemas do status do plano de proteção contra malware](troubleshoot-s3-malware-protection-status-errors.md)
+ [Solução de problemas de escaneamento de malware sob demanda](troubleshoot-s3-malware-protection-on-demand.md)
# Solução de problemas do status do plano de proteção contra malware
Para qualquer bucket protegido, GuardDuty exibe o **Status** com base na classificação. Por exemplo, se um bucket protegido tiver problemas nas categorias **Erro** e **Aviso**, primeiro GuardDuty exibirá o problema associado ao status de **Erro**.
A lista a seguir inclui os erros e o aviso sobre o status do plano de Proteção contra Malware.
**Erros**
+ [EventBridge a notificação está desativada para este bucket S3](#eventbridge-notification-disabled-malware-protection-s3-error)
+ [EventBridge A regra gerenciada para receber eventos de bucket do S3 está ausente](#eventbridge-managed-rule-missing-malware-protection-s3-error)
+ [bucket do S3 não existe mais](#bucket-no-longer-exists-malware-protection-s3-error)
**Aviso**
[Não foi possível colocar o objeto de teste](#unable-put-test-object-malware-protection-s3-warning)
## EventBridge a notificação está desativada para este bucket S3
O código do motivo do status associado é`EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED`.
**Detalhe do status**
GuardDuty usa EventBridge para receber uma notificação quando um novo objeto é carregado nesse bucket do S3. Essa permissão está ausente em seu perfil do IAM.
**Etapas para solucionar problemas**
**Opção 1: adicione a seguinte declaração de permissão ao seu perfil do IAM:**
```
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
```
Substitua *amzn-s3-demo-bucket* pelo nome do bucket do Amazon S3.
**Opção 2: ativar a EventBridge notificação usando o console do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na página **Buckets**, na guia **Buckets de uso geral**, selecione o nome do bucket associado a esse erro.
1. Na página do bucket, escolha a aba **Propriedades**.
1. Na EventBridge seção **Amazon**, selecione **Editar**.
1. Na EventBridge página **Editar Amazon**, em **Enviar notificação à Amazon EventBridge para todos os eventos neste bucket**, selecione **Ativado**.
1. Escolha **Salvar alterações**.
Pode levar alguns minutos para que o valor da coluna **Status** mude para **Ativo**.
## EventBridge A regra gerenciada para receber eventos de bucket do S3 está ausente
O código do motivo do status associado é`EVENTBRIDGE_MANAGED_RULE_DISABLED`.
**Detalhe do status**
As permissões da regra EventBridge gerenciada para gerenciar a configuração da EventBridge regra estão ausentes.
**Etapas para solucionar problemas**
Adicione a seguinte declaração de permissão ao seu perfil do IAM:
```
{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
```
Pode levar alguns minutos para que o valor da coluna **Status** mude para **Ativo**.
## bucket do S3 não existe mais
O código do motivo do status associado é`PROTECTED_RESOURCE_DELETED`.
**Detalhe do status**
Esse bucket do S3 foi excluído da sua conta e não existe mais.
**Etapas para solucionar problemas**
Se a exclusão do bucket do S3 não foi intencional, você pode criar um novo bucket usando o console do Amazon S3.
Depois de criar o bucket com sucesso, ative a Proteção contra malware para S3 seguindo as etapas abaixo da página [Configurando a proteção contra malware para S3 para seu bucket](configuring-malware-protection-for-s3-guardduty.md).
## Não foi possível colocar o objeto de teste
O código do motivo do status associado é`INSUFFICIENT_TEST_OBJECT_PERMISSIONS`.
**nota**
A permissão para adicionar um objeto de teste é opcional. A falta dessa permissão em seu perfil do IAM não impede que a Proteção contra Malware para S3 inicie a verificação de malware em um objeto recém-carregado. Depois que uma verificação for iniciada com sucesso, pode levar alguns minutos para que o **status** do plano de proteção contra malware mude de **Aviso para **Ativo****.
Se o perfil do IAM já incluir essa permissão, esse aviso indica uma política restritiva de bucket do Amazon S3 que não permite que o IAM tenha acesso para colocar o objeto de teste nesse bucket do S3.
**Detalhe do status**
Para validar a configuração do bucket selecionado, GuardDuty coloca um objeto de teste em seu bucket.
**Etapas para solucionar problemas**
Você pode optar por atualizar o perfil do IAM para incluir as permissões ausentes. À função do IAM selecionada, adicione as seguintes permissões para que GuardDuty você possa colocar o objeto de teste no recurso selecionado:
```
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
}
```
Substitua *amzn-s3-demo-bucket* pelo nome do bucket do Amazon S3. Para obter mais informações sobre permissões do perfil do IAM, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
Pode levar alguns minutos para que o valor da coluna **Status** mude para **Ativo**.
# Solução de problemas de escaneamento de malware sob demanda
## Não foi possível iniciar um escaneamento.
Certifique-se de que a solicitação de verificação contenha uma entrada válida e que o Plano de Proteção contra Malware esteja ativado para o bucket.
# Editando o plano de proteção contra malware para um bucket protegido
Talvez seja necessário editar a política de permissões preferencial do IAM, ativar ou desativar a marcação do objeto S3 verificado ou adicionar ou remover prefixos de objetos do S3. Por exemplo, ao ativar a Proteção contra malware para S3 para seu bucket, você decidiu não habilitar a marcação do objeto S3 verificado com o resultado da verificação. No entanto, agora você deseja GuardDuty adicionar a tag predefinida e o resultado da verificação como o valor da tag.
Escolha um método de acesso preferencial para atualizar o plano de Proteção contra malware para S3 em seu bucket protegido do S3.
------
#### [ Console ]
**Para editar um plano de proteção contra malware**
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Proteção contra Malware para S3**
1. Em **Buckets protegidos**, selecione o bucket para o qual você deseja editar a configuração existente.
1. Escolha **Editar**.
1. Atualize a configuração existente e a definição do seu bucket e confirme as alterações. Para obter informações sobre a descrição e as etapas de cada seção, consulte [Habilitando a proteção contra malware para S3 para seu bucket](enable-malware-protection-s3-bucket.md).
Monitore a coluna **Status** desse bucket protegido. Se aparecer como **Aviso** ou **Erro**, consulte[Solução de problemas do status do plano de proteção contra malware](troubleshoot-s3-malware-protection-status-errors.md).
------
#### [ API/CLI ]
**Para editar o plano de proteção contra malware usando a API ou AWS CLI**
+ **Usando a API**
Execute a [UpdateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareProtectionPlan.html)API usando o ID do plano de Proteção contra Malware associado a esse recurso do plano.
Para recuperar o ID do plano de proteção contra malware em uma região específica, você pode executar a [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API nessa região.
+ **Usando AWS CLI**
A lista a seguir fornece AWS CLI exemplos de comandos para atualizar o recurso do plano de Proteção contra Malware. Você precisará do ID do plano de proteção contra malware associado ao seu bucket do S3.
**AWS CLI exemplos de comandos**
+ Use o AWS CLI comando a seguir para **ativar ou desativar** a marcação do recurso do plano de proteção contra malware associado ao seu bucket do S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --actions "Tagging"={"Status"="ENABLED|DISABLED"}
```
+ Use o AWS CLI comando a seguir para **adicionar um prefixo de objeto** ao recurso do plano de proteção contra malware associado ao seu bucket do S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=["amzn-s3-demo-1", "amzn-s3-demo-2"]}
```
Certifique-se de incluir os prefixos de objeto existentes nesse comando; caso contrário, GuardDuty removerá esses prefixos ao editar o recurso do plano de Proteção contra Malware.
+ Use o AWS CLI comando a seguir para **remover um prefixo de objeto** do recurso do plano de proteção contra malware associado ao seu bucket do S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=[""]}
```
Se você ainda não tiver o ID do plano de proteção contra malware para esse recurso, execute o AWS CLI comando a seguir e *us-east-1* substitua-o pela região para a qual deseja listar o plano de proteção contra malware IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Desativando a proteção contra malware para S3 em um bucket protegido
Quando você desativa a Proteção contra Malware para S3 em um bucket protegido, GuardDuty exclui o ID do plano de Proteção contra Malware associado a esse bucket. GuardDuty não iniciará mais uma verificação de malware quando um novo objeto for carregado nesse bucket ou em um dos prefixos de objeto selecionados.
Se você ativou GuardDuty e agora deseja suspender ou desativar GuardDuty, consulte[Suspensão ou desativação GuardDuty](guardduty_suspend-disable.md). Como não há conceito de ID de detector no Malware Protection for S3, desabilitar ou suspender GuardDuty **não** afeta o status de um bucket protegido em sua conta. Você pode continuar usando o recurso Proteção contra Malware para S3 independentemente do preço padrão associado. Para obter mais informações, consulte [Analisando o custo de uso da Proteção contra Malware para S3Analisando o custo de uso](usage-cost-malware-protection-s3-gdu.md). Para parar de usar a Proteção contra Malware para S3, você precisará desativá-la para todos os buckets protegidos em sua conta. Se você quiser continuar usando GuardDuty e desabilitar somente o Malware Protection for S3 para um bucket, as etapas a seguir não afetarão a configuração do GuardDuty serviço e de outros planos de proteção que você possa ter ativado.
Escolha um método de acesso preferencial para desativar a Proteção contra malware para S3 em seu bucket protegido do S3.
------
#### [ Console ]
**Para desativar a Proteção contra Malware para S3 usando o console GuardDuty**
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Proteção contra Malware para S3**.
1. Em **Buckets protegidos**, selecione o bucket para o qual você deseja desativar a Proteção contra Malware para S3.
Você pode selecionar somente um bucket protegido por vez. Para desativar a Proteção contra Malware para S3 para mais de um bucket, siga estas etapas novamente para outro bucket S3.
1. Escolha **Desativar** para confirmar a seleção.
------
#### [ API/CLI ]
**Para desativar a Proteção contra Malware para S3 usando a API ou AWS CLI**
+ **Usando a API**
Execute a [DeleteMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMalwareProtectionPlan.html)API usando o ID do plano de Proteção contra Malware associado a esse recurso do plano.
Para recuperar o ID do plano de Proteção contra Malware, você pode executar a [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API.
+ **Usando AWS CLI**
Como alternativa, você pode executar o AWS CLI comando a seguir para desativar a Proteção contra Malware para S3 *4cc8bf26c4d75EXAMPLE* substituindo-a pela ID do plano de Proteção contra Malware associada a esse bucket do S3:
```
aws guardduty delete-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE
```
Se você ainda não tiver o ID do plano de proteção contra malware para esse bucket do S3, execute o AWS CLI comando a seguir e *us-east-1* substitua-o pela região para a qual deseja listar o plano IDs de proteção contra malware.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Suportabilidade dos atributos do Amazon S3
A tabela a seguir especifica se a Proteção contra Malware para S3 é compatível ou não com os atributos listados do Amazon S3.
| Nome do atributo do S3 | É disponibilizado suporte? | Description |
| --- | --- | --- |
| Classe de armazenamento S3 - S3 Standard Classe de armazenamento S3 - S3 Standard-Infrequent Access Classe de armazenamento S3 - S3 Standard-Infrequent Access Classe de armazenamento S3 - S3 Glacier Instant Retrieval | Sim | Os objetos do S3 podem ser recuperados sem restauração assíncrona. |
| Classe de armazenamento S3 - S3 Intelligent-Tiering | Condicional | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) |
| Classe de armazenamento S3 - S3 Express One Zone (Bucket de diretório). | Não | GuardDuty suporta somente buckets de uso geral para o Malware Protection for S3. |
| Classe de armazenamento S3 - S3 Glacier Flexible Retrieval Classe de armazenamento S3 - S3 Glacier Deep Archive | Não | Os objetos do S3 devem ser restaurados antes de serem acessados. |
| Amazon S3 on Outposts | Não | Proteção contra Malware para S3 não é compatível com Outposts. |
| Versionamento do S3 | Sim | Todos os objetos do S3 enviados são verificados em busca de malware. Se você fez upload de um objeto com a versão v1 do arquivo e imediatamente fez o upload de outra versão substituída pela v2, GuardDuty digitalizará as versões v1 e v2 do arquivo objeto. No entanto, o horário de início da verificação pode não estar na mesma ordem. |
| Replicação S3 - verifique o objeto replicado | Sim | Se o bucket de destino for um recurso protegido, ele GuardDuty examinará todos os objetos do S3 replicados para os prefixos protegidos e monitorados. |
| Replicação S3: Replique a tag de resultado da verificação | Não | Você não pode definir uma regra de replicação com base na tag do resultado da verificação. O Amazon S3 não oferece suporte à replicação de tags, exceto na criação. |
| Criptografia de dados - S3-SSE Criptografia de dados - SSE-KMS Criptografia de dados - DSSE-KMS AWS KMS - Chave gerenciada pelo cliente | Sim | GuardDuty suporta escaneamentos de malware para objetos do S3 que são criptografados com chaves gerenciadas e gerenciadas pelo cliente. Certifique-se de que o perfil do IAM inclua a permissão para usar a chave. Para obter mais informações, consulte [Adicionar permissões de política do IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection). |
| Criptografia de dados - SSE-C | Não | A Proteção contra Malware para S3 não oferece suporte à verificação de objetos do S3 criptografados com chaves que não estão acessíveis. |
| Criptografia do lado do cliente | Não | Quando os objetos do Amazon S3 são criptografados usando o Cliente de criptografia do Amazon S3, eles não são expostos a terceiros, incluindo a AWS. Para obter mais informações sobre por que isso não é compatível, consulte [Proteção de dados usando criptografia do lado do cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). Os objetos criptografados CSE-KMS são recebidos como um blob criptografado, onde a criptografia não pode ser determinada. Portanto, GuardDuty processa-os à medida que são recebidos e verifica o blob criptografado como um arquivo normal. GuardDuty não retorna um status de `UNSUPPORTED` digitalização para esses objetos, a menos que algum deles [Quotas na Proteção contra malware para o S3](malware-protection-s3-quotas-guardduty.md) exceda. |
| Retenção legal e Bloqueio de objetos do S3 | Sim | Objetos S3 bloqueados são bloqueados com base em WORM - Write Once Read Many. A Proteção contra Malware para S3 pode acessar e verificar os objetos. |
| Requester Pays (Pagamento pelo solicitante) | Sim | A Proteção contra Malware para S3 pode verificar os buckets configurados com o *Requester Pays*. O solicitante pagará pelas chamadas do S3. Para obter mais informações, consulte [Configuração de buckets de Pagamento pelo solicitante para transferências de armazenamento e uso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) no *Guia do usuário do Amazon S3*. |
| S3: Ciclo de vida do armazenamento | Sim | Você pode definir políticas de ciclo de vida com base na tag de resultado da verificação. Por exemplo, exclua automaticamente objetos maliciosos. Para obter mais informações sobre configurações do ciclo de vida, consulte [Gerenciar o ciclo de vida do armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) no *Guia do usuário do Amazon S3*. |
| S3: Controle de acesso com base em tags (TBAC) | Sim | Você pode definir políticas de recursos de bucket com base na sua tag de resultado de verificação de objetos do S3. Por exemplo, impeça o acesso a objetos do S3 que ainda não foram escaneados ou a ameaças GuardDuty detectadas. Para obter mais informações, consulte [Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3](tag-based-access-s3-malware-protection.md). |
# Quotas na Proteção contra malware para o S3
Esta seção fornece as quotas predefinidas, referidas frequentemente como limites. Salvo indicação em contrário, cada cota é específica por região. Para ver as cotas padrão específicas do uso do GuardDuty serviço básico, consulte. [GuardDuty Cotas da Amazon](guardduty_limits.md)
As tabelas a seguir descrevem as várias cotas que se aplicarão à sua Conta da AWS.
| Nome da cota | AWS valor da cota padrão | É ajustável? | Description |
| --- | --- | --- | --- |
| Tamanho máximo do objeto S3 | 100 GB | Não | O tamanho máximo do objeto S3 que GuardDuty tentará verificar se há malware. Embora essa cota não seja ajustável, se você precisar digitalizar objetos maiores, entre em contato AWS Support para determinar se GuardDuty pode aumentar a cota para seu caso de uso. |
| Bytes de arquivo extraídos | 100 GB | Não | A quantidade máxima de dados que GuardDuty podem ser extraídos e analisados de um arquivo. GuardDuty ignorará a extração de arquivos compactados para mais de 100 GB. |
| Arquivos extraídos | 10.000 | Não | O número máximo de arquivos que GuardDuty podem ser extraídos e analisados em um arquivo. Se o arquivo contiver mais de 10.000 arquivos, GuardDuty será necessário ignorar o arquivo arquivado. Os tipos de arquivos compostos estão potencialmente sujeitos a esses limites. Os tipos de arquivo incluem, mas não estão limitados a, mensagens de e-mail codificadas com Extensões MIME (Multipurpose Internet Mail Extensions), arquivos Python compilados (PYC), arquivos de ajuda em HTML compilado (CHM), todos os instaladores e documentos de formato (ODF). OpenDocument |
| Níveis máximos de profundidade de arquivo | 5 | Não | Os níveis máximos de arquivos aninhados que GuardDuty podem ser extraídos. Se o arquivamento incluir arquivos que estejam aninhados além desse valor, os arquivos aninhados GuardDuty serão ignorados. |
| Buckets protegidos no máximo | 25 | Não | O número máximo de buckets do S3 para os quais você pode ativar a Proteção contra malware para o S3. Esse limite de cota é por conta em cada região. |