Configuration de l' GuardDutyanalyse des programmes malveillants initiée - Amazon GuardDuty
Configuration de l'analyse des programmes malveillants GuardDuty initiée par un compte autonomeConfiguration de l'analyse des programmes malveillants GuardDuty initiée par un utilisateur dans des environnements à comptes multiples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l' GuardDutyanalyse des programmes malveillants initiée

Configuration de l'analyse des programmes malveillants GuardDuty initiée par un compte autonome

Pour les comptes associés à AWS Organizations, vous pouvez automatiser ce processus via les paramètres de console, comme décrit dans la section suivante.

Pour activer ou désactiver l'analyse des programmes malveillants GuardDuty initiée

Choisissez votre méthode d'accès préférée pour configurer l'analyse des programmes malveillants GuardDuty initiée par un compte autonome.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Malware Protection for EC2.

  3. Le volet Protection contre les programmes malveillants pour EC2 indique l'état actuel de l'analyse des programmes malveillants GuardDuty lancée pour votre compte. Vous pouvez l'activer ou le désactiver à tout moment en sélectionnant respectivement Activer ou Désactiver.

  4. Choisissez Enregistrer.

API/CLI

  • Exécutez l'opération d'API updateDetector en utilisant votre propre ID de détecteur régional et en transmettant l'objet dataSources avec EbsVolumes défini sur true ou false.

    Vous pouvez également activer ou désactiver l'analyse des programmes malveillants GuardDuty initiée à l'aide des outils de ligne de AWS commande en exécutant la AWS CLI commande suivante. Assurez-vous d'utiliser votre propre ID de détecteur valide.

    Note

    L'exemple de code suivant active l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur. Pour la désactiver, remplacez true par false.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

     aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

Configuration de l'analyse des programmes malveillants GuardDuty initiée par un utilisateur dans des environnements à comptes multiples

Dans un environnement multi-comptes, seuls les comptes GuardDuty administrateurs peuvent configurer une analyse des programmes malveillants GuardDuty initiée par un utilisateur. GuardDuty les comptes d'administrateur peuvent activer ou désactiver l'utilisation d'une analyse des programmes malveillants GuardDuty initiée par un utilisateur pour les comptes de leurs membres. Une fois que le compte administrateur a configuré le scan anti-malware GuardDuty lancé pour un compte membre, le compte membre suivra les paramètres du compte administrateur et ne pourra pas modifier ces paramètres via la console. GuardDuty les comptes d'administrateur qui gèrent les comptes de leurs membres avec AWS Organizations assistance peuvent choisir d'activer automatiquement l'analyse des programmes malveillants GuardDuty initiée sur tous les comptes existants et nouveaux de l'organisation. Pour plus d’informations, consultez Gérer des GuardDuty comptes avec AWS Organizations.

Mise en place d'un accès fiable pour permettre une analyse des programmes malveillants GuardDuty initiée par un utilisateur

Si le compte d'administrateur GuardDuty délégué n'est pas le même que le compte de gestion de votre organisation, le compte de gestion doit activer l'analyse des programmes malveillants GuardDuty initiée par son organisation. De cette façon, le compte d'administrateur délégué peut créer les Autorisations de rôle liées à un service pour Malware Protection for EC2 comptes membres gérés via AWS Organizations.

Note

Avant de désigner un compte d' GuardDuty administrateur délégué, consultezConsidérations et recommandations.

Choisissez votre méthode d'accès préférée pour autoriser le compte GuardDuty administrateur délégué à activer l'analyse des programmes malveillants GuardDuty initiée pour les comptes des membres de l'organisation.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Pour vous connecter, utilisez le compte de gestion de votre AWS Organizations organisation.

    1. Si vous n'avez pas désigné de compte d' GuardDuty administrateur délégué, alors :

      Sur la page Paramètres, sous Compte d' GuardDuty administrateur délégué, entrez les 12 chiffres account ID que vous souhaitez désigner pour administrer la GuardDuty politique de votre organisation. Choisisssez Delegate (Déléguer).

      1. Si vous avez déjà désigné un compte d' GuardDuty administrateur délégué différent du compte de gestion, alors :

        Sur la page Paramètres, sous Administrateur délégué, activez le paramètre Autorisations. Cette action permettra au compte GuardDuty administrateur délégué d'associer les autorisations pertinentes aux comptes des membres et d'activer l'analyse des programmes malveillants GuardDuty initiée par ces comptes membres.

      2. Si vous avez déjà désigné un compte d' GuardDuty administrateur délégué identique au compte de gestion, vous pouvez activer directement l'analyse des programmes malveillants GuardDuty initiée pour les comptes des membres. Pour plus d’informations, consultez Activation automatique de l'analyse des programmes malveillants GuardDuty initiée pour tous les comptes des membres.

      Astuce

      Si le compte d' GuardDuty administrateur délégué est différent de votre compte de gestion, vous devez fournir des autorisations au compte d' GuardDuty administrateur délégué afin de permettre l'activation de l'analyse des programmes malveillants GuardDuty initiée par les comptes des membres.

  3. Si vous souhaitez autoriser le compte GuardDuty administrateur délégué à activer l'analyse des programmes malveillants GuardDuty initiée pour les comptes des membres dans d'autres régions, modifiez votre Région AWS compte et répétez les étapes ci-dessus.

API/CLI

  1. À l'aide des informations d'identification de votre compte de gestion, exécutez la commande suivante :

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Facultatif) Pour activer le scan des programmes malveillants GuardDuty lancé par le compte de gestion qui n'est pas un compte d'administrateur délégué, le compte de gestion le créera d'abord Autorisations de rôle liées à un service pour Malware Protection for EC2 explicitement dans son compte, puis activera le scan de programmes malveillants GuardDuty initié par le compte d'administrateur délégué, comme pour tout autre compte de membre.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. Vous avez désigné le compte d' GuardDuty administrateur délégué dans le compte actuellement sélectionné Région AWS. Si vous avez désigné un compte en tant que compte d' GuardDuty administrateur délégué dans une région, ce compte doit être votre compte d' GuardDuty administrateur délégué dans toutes les autres régions. Répétez l'étape ci-dessus pour toutes les autres régions.

Choisissez votre méthode d'accès préférée pour activer ou désactiver l'analyse des programmes malveillants GuardDuty initiée pour un compte d' GuardDuty administrateur délégué.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte de gestion.

  2. Dans le volet de navigation, choisissez Malware Protection for EC2.

  3. Sur la page Protection contre les programmes malveillants pour EC2, choisissez Modifier à côté de l'analyse des programmes malveillants GuardDuty initiée par un programme malveillant.

  4. Effectuez l’une des actions suivantes :

    Utilisation d'Activer pour tous les comptes

    • Choisissez Activer pour tous les comptes. Cela activera le plan de protection pour tous les GuardDuty comptes actifs de votre AWS organisation, y compris les nouveaux comptes qui rejoignent l'organisation.

    • Choisissez Enregistrer.

    Utilisation de Configurer les comptes manuellement

    • Pour activer le plan de protection uniquement pour le compte GuardDuty administrateur délégué, choisissez Configurer les comptes manuellement.

    • Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

    • Choisissez Enregistrer.

API/CLI

Exécutez l'opération d'API updateDetector en utilisant votre propre ID de détecteur régional et en transmettant l'objet features name en tant que EBS_MALWARE_PROTECTION et status en tant que ENABLED ou DISABLED.

Vous pouvez activer ou désactiver l'analyse des programmes malveillants GuardDuty initiée en exécutant la AWS CLI commande suivante. Assurez-vous d'utiliser l'identifiant de détecteur valide du compte GuardDuty administrateur délégué.

Note

L'exemple de code suivant active l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur. Pour la désactiver, remplacez ENABLED par DISABLED.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Choisissez votre méthode d'accès préférée pour activer la fonction d'analyse des logiciels malveillants GuardDuty initiée pour tous les comptes des membres. Cela inclut les comptes membres existants et les nouveaux comptes qui rejoignent l'organisation.

Console

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    Utilisation de la page Protection contre les programmes malveillants pour EC2

    1. Dans le volet de navigation, choisissez Malware Protection for EC2.

    2. Sur la page Protection contre les programmes malveillants pour EC2, choisissez Modifier dans la section d'analyse des programmes malveillants GuardDuty initiée.

    3. Choisissez Activer pour tous les comptes. Cette action active automatiquement l'analyse des programmes malveillants GuardDuty initiée pour les comptes existants et nouveaux de l'organisation.

    4. Choisissez Enregistrer.

      Note

      La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

    Utilisation de la page Comptes

    1. Dans le panneau de navigation, choisissez Accounts (Comptes).

    2. Sur la page Comptes, choisissez les préférences d'activation automatique avant Ajouter des comptes par invitation.

    3. Dans la fenêtre Gérer les préférences d'activation automatique, choisissez Activer pour tous les comptes faisant l'objet d'une analyse GuardDutyantimalware initiée.

    4. Sur la page Protection contre les programmes malveillants pour EC2, choisissez Modifier dans la section d'analyse des programmes malveillants GuardDuty initiée.

    5. Choisissez Activer pour tous les comptes. Cette action active automatiquement l'analyse des programmes malveillants GuardDuty initiée pour les comptes existants et nouveaux de l'organisation.

    6. Choisissez Enregistrer.

      Note

      La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

    Utilisation de la page Comptes

    1. Dans le panneau de navigation, choisissez Accounts (Comptes).

    2. Sur la page Comptes, choisissez les préférences d'activation automatique avant Ajouter des comptes par invitation.

    3. Dans la fenêtre Gérer les préférences d'activation automatique, choisissez Activer pour tous les comptes faisant l'objet d'une analyse GuardDutyantimalware initiée.

    4. Choisissez Enregistrer.

    Si vous ne pouvez pas utiliser l'option Activer pour tous les comptes, veuillez consulter Activer ou désactiver de manière sélective l'analyse des programmes malveillants GuardDuty initiée pour les comptes des membres.

API/CLI

  • Pour activer ou désactiver de manière sélective l'analyse des programmes malveillants GuardDuty initiée par vos comptes membres, appelez l'opération updateMemberDetectorsAPI à l'aide de votre propre identifiant de détecteur.

  • L'exemple suivant montre comment activer l'analyse des programmes malveillants GuardDuty initiée pour un seul compte membre. Pour désactiver un compte membre, remplacez ENABLED par DISABLED.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée pour activer l'analyse des programmes malveillants GuardDuty initiée pour tous les comptes de membres actifs existants de l'organisation.

Pour configurer l'analyse des programmes malveillants GuardDuty initiée par un utilisateur pour tous les comptes de membres actifs existants

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

    Connectez-vous à l'aide des informations d'identification du compte GuardDuty administrateur délégué.

  2. Dans le volet de navigation, choisissez Malware Protection for EC2.

  3. Sur Malware Protection for EC2, vous pouvez consulter l'état actuel de la configuration de l'analyse des programmes malveillants GuardDuty initiée. Dans la section Comptes membres actifs, choisissez Actions.

  4. Dans le menu déroulant Actions, choisissez Activer pour tous les comptes membres actifs existants.

  5. Choisissez Enregistrer.

Les comptes de membres nouvellement ajoutés doivent être activés GuardDuty avant de sélectionner la configuration de l'analyse des programmes malveillants GuardDuty initiée. Les comptes des membres gérés par invitation peuvent configurer manuellement une analyse des logiciels malveillants GuardDuty initiée pour leurs comptes. Pour plus d’informations, consultez Step 3 - Accept an invitation.

Choisissez votre méthode d'accès préférée pour activer l'analyse des programmes malveillants GuardDuty initiée pour les nouveaux comptes qui rejoignent votre organisation.

Console

Le compte GuardDuty administrateur délégué peut activer l'analyse des programmes malveillants GuardDuty initiée par les nouveaux comptes membres d'une organisation, à l'aide de la page Protection contre les logiciels malveillants pour EC2 ou des comptes.

Pour activer automatiquement l'analyse des programmes malveillants GuardDuty initiée pour les nouveaux comptes de membres

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Assurez-vous d'utiliser les informations d'identification du compte GuardDuty administrateur délégué.

  2. Effectuez l’une des actions suivantes :

    • À l'aide de la page Protection contre les programmes malveillants pour EC2 :

      1. Dans le volet de navigation, choisissez Malware Protection for EC2.

      2. Sur la page Protection contre les programmes malveillants pour EC2, choisissez Modifier dans le GuardDutyscan de programmes malveillants lancé.

      3. Choisissez Configurer les comptes manuellement.

      4. Sélectionnez Activer automatiquement pour les nouveaux comptes membres. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, l'analyse des programmes malveillants GuardDuty initiée sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette configuration.

      5. Choisissez Enregistrer.

    • Utilisation de la page Comptes :

      1. Dans le panneau de navigation, choisissez Accounts (Comptes).

      2. Sur la page Comptes, choisissez les préférences d'activation automatique.

      3. Dans la fenêtre Gérer les préférences d'activation automatique, sélectionnez Activer pour les nouveaux comptes dans le cadre d'une analyse des programmes malveillants GuardDuty initiée par un scan.

      4. Choisissez Enregistrer.

API/CLI

  • Pour activer ou désactiver l'analyse des programmes malveillants GuardDuty lancée pour les nouveaux comptes membres, appelez l'opération UpdateOrganizationConfigurationAPI à l'aide de votre propre identifiant de détecteur.

  • L'exemple suivant montre comment activer l'analyse des programmes malveillants GuardDuty initiée pour un seul compte membre. Pour la désactiver, veuillez consulter Activer ou désactiver de manière sélective l'analyse des programmes malveillants GuardDuty initiée pour les comptes des membres. Si vous ne souhaitez pas l'activer pour tous les nouveaux comptes qui rejoignent l'organisation, définissez AutoEnable sur NONE.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

  • Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Choisissez votre méthode d'accès préférée pour configurer de manière sélective le scan des logiciels malveillants GuardDuty lancé pour les comptes des membres.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

  3. Sur la page Comptes, consultez la colonne d'analyse des programmes malveillants GuardDuty initiée pour connaître l'état de votre compte de membre.

  4. Sélectionnez le compte pour lequel vous souhaitez configurer le scan GuardDuty anti-malware initié. Vous pouvez sélectionner plusieurs comptes à la fois.

  5. Dans le menu Modifier les plans de protection, choisissez l'option appropriée pour une analyse des programmes malveillants GuardDuty initiée.

API/CLI

Pour activer ou désactiver de manière sélective l'analyse des programmes malveillants GuardDuty initiée par vos comptes membres, appelez l'opération updateMemberDetectorsAPI à l'aide de votre propre identifiant de détecteur.

L'exemple suivant montre comment activer l'analyse des programmes malveillants GuardDuty initiée pour un seul compte membre. Pour la désactiver, remplacez ENABLED par DISABLED.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
Note

Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Pour activer ou désactiver de manière sélective l'analyse des programmes malveillants GuardDuty initiée par vos comptes membres, exécutez l'opération updateMemberDetectorsAPI à l'aide de votre propre identifiant de détecteur. L'exemple suivant montre comment activer l'analyse des programmes malveillants GuardDuty initiée pour un seul compte membre. Pour la désactiver, remplacez true par false.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
Note

Vous pouvez également transmettre une liste d'ID de compte séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Le rôle lié au service (SLR) GuardDuty Malware Protection for EC2 doit être créé dans les comptes des membres. Le compte administrateur ne peut pas activer la fonctionnalité d'analyse des programmes malveillants GuardDuty initiée dans les comptes membres qui ne sont pas gérés par AWS Organizations.

À l'heure actuelle, vous pouvez effectuer les étapes suivantes via la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/ pour activer l'analyse des programmes malveillants GuardDuty initiée pour les comptes de membres existants.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Connectez-vous à l'aide des informations d'identification de votre compte administrateur.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

  3. Sélectionnez le compte membre pour lequel vous souhaitez activer le scan GuardDuty anti-malware initié. Vous pouvez sélectionner plusieurs comptes à la fois.

  4. Choisissez Actions.

  5. Choisissez Dissocier le membre.

  6. Dans votre compte membre, sélectionnez Protection contre les logiciels malveillants sous Plans de protection dans le volet de navigation.

  7. Choisissez Activer l'analyse des programmes malveillants GuardDuty initiée par un programme malveillant. GuardDuty créera un reflex pour le compte du membre. Pour plus d'informations sur RLS, veuillez consulter Autorisations de rôle liées à un service pour Malware Protection for EC2.

  8. Dans le compte de votre compte administrateur, sélectionnez Comptes dans le volet de navigation.

  9. Choisissez le compte membre qui doit être ajouté à nouveau à l'organisation.

  10. Choisissez Actions, puis Ajouter un membre.

API/CLI

  1. Utilisez le compte administrateur pour exécuter DisassociateMembersl'API sur les comptes membres qui souhaitent activer l'analyse des programmes malveillants GuardDuty initiée.

  2. Utilisez votre compte de membre pour appeler afin d'UpdateDetectoractiver l'analyse des logiciels malveillants GuardDuty initiée.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Utilisez le compte administrateur pour exécuter l'CreateMembersAPI afin de réintégrer le membre dans l'organisation.