本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty S3 保護
<a name="s3-protection"></a>

**注意**  
您可以從 GuardDuty 主控台的單一頁面設定 S3 保護以及所有其他保護計畫。如需詳細資訊，請參閱[設定保護計畫](protection-plans.md)。

S3 保護可協助您偵測 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險，例如資料外洩和銷毀。GuardDuty 會監控 Amazon S3 AWS CloudTrail 的資料事件，其中包含物件層級 API 操作，以識別您帳戶中所有 Amazon S3 儲存貯體中的這些風險。

當 GuardDuty 根據 S3 資料事件監控偵測到潛在威脅時，會產生安全調查結果。如需有關啟用 S3 保護時 GuardDuty 可能產生的調查結果類型的資訊，請參閱 [GuardDuty S3 保護調查結果類型](guardduty_finding-types-s3.md)。

根據預設，基礎威脅偵測包括監控[AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)，以識別 Amazon S3 資源中的潛在威脅。此資料來源與 AWS CloudTrail S3 的資料事件不同，因為它們都會監控您環境中不同類型的活動。

您可以在 GuardDuty [支援此功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)的任何區域中的 帳戶中啟用 S3 保護。這可協助您監控該帳戶和區域中 S3 的 CloudTrail 資料事件。啟用 S3 保護後，GuardDuty 將能夠完整監控 Amazon S3 儲存貯體，並產生對存放在 S3 儲存貯體中資料的可疑存取問題清單。

若要使用 S3 保護，您不需要在 中明確啟用或停用 S3 資料事件記錄 AWS CloudTrail。

**30 天免費試用**  
下列清單說明 30 天免費試用如何適用於您的帳戶：  
+ 當您第一次在新區域中的 AWS 帳戶 中啟用 GuardDuty 時，您會獲得 30 天的免費試用。在此情況下，GuardDuty 也會啟用 S3 保護，此保護包含在免費試用中。
+ 當您已使用 GuardDuty 並決定第一次啟用 S3 保護時，您在此區域中的帳戶將取得 S3 保護的 30 天免費試用。
+ 您可以隨時選擇在任何區域中停用 S3 保護。
+ 在 30 天免費試用期間，您可以取得該帳戶和區域中用量成本的預估值。30 天免費試用結束後，S3 保護不會自動停用。您在此區域中的帳戶將開始產生使用成本。如需詳細資訊，請參閱[監控 GuardDuty 用量和估算成本](monitoring_costs.md)。

## AWS CloudTrail S3 的資料事件
<a name="guardduty_s3dataplane"></a>

資料事件 (也稱為資料平面操作) 可讓您深入了解對資源執行的或在資源中執行的資源操作。它們通常是大量資料的活動。

以下是 GuardDuty 可監控的 S3 CloudTrail 資料事件的範例：  
+ `GetObject` API 操作
+ `PutObject` API 操作
+ `ListObjects` API 操作
+ `DeleteObject` API 操作
如需這些 APIs的詳細資訊，請參閱 [Amazon Simple Storage Service API 參考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)。

## GuardDuty 如何使用 S3 的 CloudTrail 資料事件
<a name="s3-data-source"></a>

當您啟用 S3 保護時，GuardDuty 會開始分析所有 S3 儲存貯體中 S3 的 CloudTrail 資料事件，並監控它們是否有惡意和可疑活動。如需詳細資訊，請參閱[AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)。

當未驗證的使用者存取 S3 物件時，表示 S3 物件可公開存取。因此，GuardDuty 不會處理這類請求。GuardDuty 會使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 登入資料來處理對 S3 物件提出的請求。

**注意**  
啟用 S3 保護後，GuardDuty 會監控位於您啟用 GuardDuty 之相同區域中 Amazon S3 儲存貯體的資料事件。

如果您在特定區域中停用帳戶中的 S3 保護，GuardDuty 會停止對存放在 S3 儲存貯體中的資料的 S3 資料事件監控。GuardDuty 不會再為您的帳戶在該區域中產生 S3 保護調查結果類型。

### GuardDuty 針對攻擊序列使用 S3 的 CloudTrail 資料事件
<a name="s3-protection-attack-sequence"></a>

[GuardDuty 延伸威脅偵測](guardduty-extended-threat-detection.md) 偵測 帳戶中跨基礎資料來源、 AWS 資源和時間軸的多階段攻擊序列。當 GuardDuty 觀察到一系列事件，指出您的帳戶中最近或正在進行的可疑活動時，GuardDuty 會產生相關的攻擊序列調查結果。

根據預設，當您啟用 GuardDuty 時，您的帳戶也會啟用延伸威脅偵測。此功能涵蓋與 CloudTrail 管理事件相關的威脅案例，無需額外費用。不過，GuardDuty 建議啟用 S3 保護，以涵蓋與 S3 的 CloudTrail 資料事件相關聯的威脅案例，以充分利用延伸威脅偵測。

啟用 S3 保護之後，GuardDuty 會自動涵蓋可能涉及 Amazon S3 資源的攻擊序列威脅案例，例如入侵或銷毀資料。