Configuración del GuardDuty análisis de malware iniciado - Amazon GuardDuty
Cómo configurar el análisis GuardDuty de malware iniciado desde cero para una cuenta independienteConfiguración del análisis GuardDuty de malware iniciado en entornos con varias cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del GuardDuty análisis de malware iniciado

Cómo configurar el análisis GuardDuty de malware iniciado desde cero para una cuenta independiente

En el caso de las cuentas asociadas AWS Organizations, puedes automatizar este proceso mediante la configuración de la consola, tal y como se describe en la siguiente sección.

Para activar o desactivar el GuardDuty análisis de malware iniciado

Elija el método de acceso que prefiera para configurar el análisis GuardDuty de malware iniciado para una cuenta independiente.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, en Planes de protección, elija Malware Protection for EC2.

  3. El panel Protección contra malware para EC2 muestra el estado actual del análisis GuardDuty de malware iniciado en su cuenta. Puede activarlo o desactivarlo en cualquier momento mediante la selección de Activar o Desactivar respectivamente.

  4. Seleccione Guardar.

API/CLI

  • Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el objeto dataSources con los EbsVolumes establecidos en true o false.

    También puede activar o desactivar la detección de malware GuardDuty iniciada mediante herramientas de línea de AWS comandos ejecutando el siguiente comando. AWS CLI No olvide utilizar su propio ID de detector válido.

    nota

    El siguiente código de ejemplo habilita el GuardDuty escaneo de malware iniciado. Para desactivarlo, sustituya true por false.

    Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

     aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

Configuración del análisis GuardDuty de malware iniciado en entornos con varias cuentas

En un entorno con varias cuentas, solo las cuentas de GuardDuty administrador pueden configurar GuardDuty la detección de malware iniciada. GuardDuty las cuentas de administrador pueden habilitar o deshabilitar el uso de escaneos de malware GuardDuty iniciados por ellos para sus cuentas de miembros. Una vez que la cuenta de administrador haya configurado la detección de malware GuardDuty iniciada por un usuario, ésta seguirá los ajustes de la cuenta de administrador y no podrá modificarlos a través de la consola. GuardDuty Las cuentas de administrador que gestionen sus cuentas de miembros con el servicio de AWS Organizations asistencia pueden optar por activar automáticamente la detección de malware GuardDuty iniciada en todas las cuentas nuevas y existentes de la organización. Para obtener más información, consulte Administrar GuardDuty cuentas con AWS Organizations.

Establecer un acceso confiable para permitir la detección GuardDuty de malware iniciada

Si la cuenta de administrador GuardDuty delegado no es la misma que la cuenta de administración de su organización, la cuenta de administración debe habilitar el análisis GuardDuty de malware iniciado por la organización. De esta forma, la cuenta de administrador delegado puede crear las cuentas de los miembros Permisos de rol vinculados al servicio para Malware Protection for EC2 mediante las que se administran. AWS Organizations

nota

Antes de designar una cuenta de GuardDuty administrador delegado, consulte. Recomendaciones y consideraciones

Elija el método de acceso que prefiera para permitir que la cuenta de GuardDuty administrador delegado GuardDuty habilite el análisis de malware iniciado para detectar las cuentas de los miembros de la organización.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice la cuenta de administración de su AWS Organizations organización.

    1. Si no ha designado una cuenta de GuardDuty administrador delegado, entonces:

      En la página de configuración, en la sección Cuenta de GuardDuty administrador delegado, introduzca los 12 dígitos account ID que desee designar para administrar la GuardDuty política en su organización. Elija Delegar.

      1. Si ya ha designado una cuenta de GuardDuty administrador delegado diferente de la cuenta de administración, haga lo siguiente:

        En la página Configuración, en Administrador delegado, active la configuración Permisos. Esta acción permitirá a la cuenta de GuardDuty administrador delegado adjuntar los permisos pertinentes a las cuentas de los miembros y habilitar la detección de malware GuardDuty iniciada en estas cuentas de los miembros.

      2. Si ya has designado una cuenta de GuardDuty administrador delegado que sea igual a la cuenta de administración, puedes activar directamente la detección de malware GuardDuty iniciada por terceros en las cuentas de los miembros. Para obtener más información, consulte Habilite automáticamente el análisis GuardDuty de malware iniciado para todas las cuentas de los miembros.

      sugerencia

      Si la cuenta de GuardDuty administrador delegado es diferente de tu cuenta de administración, debes proporcionar permisos a la cuenta de GuardDuty administrador delegado para permitir la detección de malware GuardDuty iniciada por software malicioso en las cuentas de los miembros.

  3. Si quieres permitir que la cuenta de GuardDuty administrador delegado active la detección de cuentas de miembros GuardDuty de otras regiones iniciada por software malicioso, cámbiala y repite los pasos Región de AWS anteriores.

API/CLI

  1. Con sus credenciales de la cuenta de administración, ejecute el siguiente comando:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Opcional) Para habilitar la detección de malware GuardDuty iniciada para la cuenta de administración que no sea una cuenta de administrador delegado, la cuenta de administración primero creará la detección de malware de Permisos de rol vinculados al servicio para Malware Protection for EC2 forma explícita en su cuenta y, a continuación, habilitará la detección de malware GuardDuty iniciada desde la cuenta de administrador delegado, de forma similar a la de cualquier otra cuenta de miembro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. Ha designado la cuenta de GuardDuty administrador delegado en la cuenta actualmente seleccionada. Región de AWS Si ha designado una cuenta como cuenta de GuardDuty administrador delegado en una región, esa cuenta debe ser su cuenta de GuardDuty administrador delegado en todas las demás regiones. Repita el paso anterior para el resto de las regiones.

Elija el método de acceso que prefiera para activar o desactivar el análisis GuardDuty de malware iniciado por una cuenta de administrador delegado GuardDuty .

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administración.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En la página Protección contra malware para EC2, seleccione Editar junto a la exploración de malware GuardDutyiniciada.

  4. Realice una de las siguientes acciones siguientes:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las cuentas nuevas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

Ejecute la operación de la API updateDetector con su propio ID de detector regional y pase el name del objeto features como EBS_MALWARE_PROTECTION y status como ENABLED o DISABLED.

Puede activar o desactivar el análisis GuardDuty de malware iniciado mediante la ejecución del siguiente AWS CLI comando. Asegúrese de utilizar el ID de detector válido de la cuenta de GuardDuty administrador delegado.

nota

El siguiente código de ejemplo habilita el análisis GuardDuty de malware iniciado por el usuario. Para desactivarlo, sustituya ENABLED por DISABLED.

Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Elige tu método de acceso preferido para activar la función de detección de malware GuardDuty iniciada en todas las cuentas de los miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Inicie sesión en la GuardDuty consola AWS Management Console y ábrala en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    Uso de la página Protección contra malware para EC2

    1. En el panel de navegación, elija Malware Protection for EC2.

    2. En la página Protección contra malware para EC2, seleccione Editar en la sección de análisis GuardDutyde malware iniciado.

    3. Elija Habilitar para todas las cuentas. Esta acción GuardDuty habilita automáticamente el análisis de malware iniciado para las cuentas existentes y nuevas de la organización.

    4. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas sometidas a un análisis GuardDutyde malware iniciado.

    4. En la página Protección contra malware para EC2, seleccione Editar en la sección de análisis de malware GuardDutyiniciada.

    5. Elija Habilitar para todas las cuentas. Esta acción GuardDuty habilita automáticamente el análisis de malware iniciado para las cuentas existentes y nuevas de la organización.

    6. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas sometidas a un análisis GuardDutyde malware iniciado.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Activa o desactiva de forma selectiva el análisis GuardDuty de malware iniciado para las cuentas de los miembros.

API/CLI

  • Para activar o desactivar de forma selectiva el análisis GuardDuty de malware iniciado en las cuentas de sus miembros, ejecute la operación de la updateMemberDetectorsAPI con su propio identificador de detección.

  • En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. Para deshabilitar una cuenta de miembro, sustituya ENABLED por DISABLED.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elige el método de acceso que prefieras para activar el análisis GuardDuty de malware iniciado en todas las cuentas de miembros activos existentes en la organización.

Para configurar el análisis GuardDuty de malware iniciado para todas las cuentas de miembros activas existentes

  1. Inicie sesión en la GuardDuty consola AWS Management Console y ábrala en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En Malware Protection for EC2, puede ver el estado actual de la configuración de análisis de malware GuardDuty iniciada. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Seleccione Guardar.

Las cuentas de los miembros recién agregadas deben habilitarse GuardDuty antes de seleccionar la configuración del análisis GuardDuty de malware iniciado. Las cuentas de los miembros gestionadas mediante invitación pueden configurar manualmente la detección GuardDuty de malware iniciada para sus cuentas. Para obtener más información, consulte Step 3 - Accept an invitation.

Elija el método de acceso que prefiera para activar la detección de malware GuardDuty iniciada en busca de nuevas cuentas que se unan a su organización.

Console

La cuenta de GuardDuty administrador delegado puede activar el análisis GuardDuty de software malicioso iniciado para detectar nuevas cuentas de miembros en una organización mediante la página Protección contra malware para EC2 o la página Cuentas.

Para habilitar automáticamente el análisis GuardDuty de malware iniciado para las cuentas de nuevos miembros

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    • Uso de la página Protección contra malware para EC2:

      1. En el panel de navegación, elija Malware Protection for EC2.

      2. En la página Protección contra malware para EC2, seleccione Editar en el análisis GuardDutyde malware iniciado.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se incorpore a su organización, se active automáticamente el análisis de malware GuardDuty iniciado en esa cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Accounts (Cuentas).

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de activación automática, selecciona Habilitar cuentas nuevas en el marco de un análisis GuardDutyde malware iniciado.

      4. Seleccione Guardar.

API/CLI

  • Para activar o desactivar la detección de malware GuardDuty iniciada por una cuenta de nuevos miembros, invoca la operación de la UpdateOrganizationConfigurationAPI con tu propio identificador de detección.

  • En el siguiente ejemplo, se muestra cómo se puede activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. Para deshabilitar esta característica, consulte Activa o desactiva de forma selectiva el análisis GuardDuty de malware iniciado para las cuentas de los miembros. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca AutoEnable en NONE.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para configurar de forma selectiva el análisis GuardDuty de malware iniciado para las cuentas de los miembros.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. En la página de cuentas, consulta la columna GuardDutyde análisis de malware iniciada para ver el estado de tu cuenta de miembro.

  4. Seleccione la cuenta para la que desee configurar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea.

  5. En el menú Editar planes de protección, elija la opción adecuada para GuardDutyiniciar el análisis de malware.

API/CLI

Para activar o desactivar de forma selectiva el análisis GuardDuty de malware iniciado en las cuentas de sus miembros, ejecute la operación de la updateMemberDetectorsAPI con su propio identificador de detección.

En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. Para desactivarlo, sustituya ENABLED por DISABLED.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Para activar o desactivar de forma selectiva el análisis GuardDuty de malware iniciado en las cuentas de sus miembros, ejecute la operación de la updateMemberDetectorsAPI con su propio identificador de detector. En el siguiente ejemplo, se muestra cómo activar la detección de malware GuardDuty iniciada por una cuenta de un solo miembro. Para desactivarlo, sustituya true por false.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

La función vinculada al servicio (SLR) de protección contra GuardDuty malware para EC2 debe crearse en las cuentas de los miembros. La cuenta de administrador no puede habilitar la función de detección de malware GuardDuty iniciada en las cuentas de los miembros que no estén administradas por. AWS Organizations

Actualmente, puedes realizar los siguientes pasos a través de la GuardDuty consola en https://console.aws.amazon.com/guardduty/ para activar el análisis GuardDuty de malware iniciado en las cuentas de los miembros existentes.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de su cuenta de administrador.

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. Seleccione la cuenta de miembro para la que desee activar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea.

  4. Elija Actions.

  5. Seleccione Desasociar miembro.

  6. En su cuenta de miembro, seleccione Protección contra malware en Planes de protección, en el panel de navegación.

  7. Selecciona Habilitar el análisis GuardDuty de malware iniciado por iniciación automática. GuardDuty creará una cámara réflex para la cuenta del miembro. Para obtener más información sobre los SLR, consulte Permisos de rol vinculados al servicio para Malware Protection for EC2.

  8. En la cuenta de su cuenta de administrador, seleccione Cuentas en el panel de navegación.

  9. Elija la cuenta de miembro que debe volver a agregarse a la organización.

  10. Seleccione Acciones y Agregar miembro.

API/CLI

  1. Utilice la cuenta de administrador para ejecutar la DisassociateMembersAPI en las cuentas de los miembros que deseen activar la detección de malware GuardDuty iniciada por terceros.

  2. Utilice su cuenta de miembro para invocar y UpdateDetectoractivar el análisis GuardDuty de malware iniciado.

    Para encontrar la correspondiente detectorId a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la API ListDetectors

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Usa la cuenta de administrador para ejecutar la CreateMembersAPI y volver a añadir al miembro a la organización.