Configurazione della scansione antimalware avviata GuardDuty

Configurazione della scansione GuardDuty antimalware avviata per un account indipendente

Per gli account associati a AWS Organizations, è possibile automatizzare questo processo tramite le impostazioni della console, come descritto nella sezione successiva.

Per abilitare o disabilitare la scansione GuardDuty antimalware avviata

Scegli il tuo metodo di accesso preferito per configurare la scansione antimalware GuardDuty avviata per un account autonomo.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.

3. Il riquadro Malware Protection for EC2 elenca lo stato attuale della scansione antimalware GuardDuty avviata per il tuo account. Puoi abilitarla o disabilitarla in qualsiasi momento selezionando rispettivamente Abilita o Disabilita.

4. Selezionare Salva.

API/CLI

• Esegui l'operazione API updateDetector utilizzando il tuo ID rilevatore regionale e impostando l'oggetto dataSources con EbsVolumes su true o false.

  È inoltre possibile abilitare o disabilitare la scansione antimalware GuardDuty avviata dall'utente utilizzando gli strumenti della riga di AWS comando eseguendo il comando seguente. AWS CLI Assicurati di utilizzare il tuo ID rilevatore valido.

  Nota

  Il codice di esempio seguente abilita la scansione antimalware GuardDuty avviata dall'utente. Per disabilitarla, sostituisci true con false.

  Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

Configurazione della scansione antimalware GuardDuty avviata in ambienti con più account

In un ambiente con più account, solo gli account di GuardDuty amministratore possono configurare la scansione antimalware avviata. GuardDuty GuardDuty gli account amministratore possono abilitare o disabilitare l'uso della scansione antimalware GuardDuty avviata da un utente per i propri account membri. Una volta che l'account amministratore ha configurato GuardDuty -initiated malware scan per un account membro, l'account membro seguirà le impostazioni dell'account amministratore e non potrà modificare tali impostazioni tramite la console. GuardDuty gli account amministratore che gestiscono i propri account membri con AWS Organizations supporto possono scegliere di abilitare automaticamente la scansione antimalware GuardDuty avviata su tutti gli account esistenti e nuovi dell'organizzazione. Per ulteriori informazioni, consulta Gestione GuardDuty degli account con AWS Organizations.

Stabilire un accesso affidabile per abilitare la scansione GuardDuty antimalware avviata

Se l'account amministratore GuardDuty delegato non è lo stesso dell'account di gestione dell'organizzazione, l'account di gestione deve abilitare la scansione antimalware GuardDuty avviata dall'organizzazione. In questo modo, l'account amministratore delegato può creare gli account dei membri Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2 interni gestiti tramite. AWS Organizations

Nota

Prima di designare un account GuardDuty amministratore delegato, consulta. Considerazioni e raccomandazioni

Scegliete il metodo di accesso preferito per consentire all'account GuardDuty amministratore delegato di abilitare la scansione antimalware GuardDuty avviata dagli account dei membri dell'organizzazione.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Per accedere, utilizza l'account di gestione della tua AWS Organizations organizzazione.

2. 1. Se non hai designato un account GuardDuty amministratore delegato, allora:

      Nella pagina Impostazioni, in Account GuardDuty amministratore delegato, inserisci le 12 cifre account ID che desideri designare per amministrare la politica nella tua organizzazione. GuardDuty Scegli Delega.

   2. 1. Se hai già designato un account GuardDuty amministratore delegato diverso dall'account di gestione, allora:

         Nella pagina Impostazioni, in Amministratore delegato, attiva l'impostazione Autorizzazioni. Questa azione consentirà all'account GuardDuty amministratore delegato di allegare le autorizzazioni pertinenti agli account dei membri e di abilitare la scansione antimalware GuardDuty avviata in tali account membro.

      2. Se hai già designato un account GuardDuty amministratore delegato uguale all'account di gestione, puoi abilitare direttamente la scansione GuardDuty antimalware avviata per gli account dei membri. Per ulteriori informazioni, consulta Attiva automaticamente la scansione antimalware GuardDuty avviata per tutti gli account dei membri.

      Suggerimento

      Se l'account GuardDuty amministratore delegato è diverso dal tuo account di gestione, devi fornire le autorizzazioni all'account GuardDuty amministratore delegato per consentire l'attivazione della scansione GuardDuty antimalware avviata per gli account dei membri.

3. Se desideri consentire all'account GuardDuty amministratore delegato di abilitare la scansione antimalware GuardDuty avviata per gli account dei membri in altre regioni, modifica la tua e ripeti i passaggi precedenti. Regione AWS

API/CLI

1. Esegui il comando segunte tramite le credenziali dell'account di gestione:

   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

2. (Facoltativo) per abilitare la scansione antimalware GuardDuty avviata dall'account di gestione che non è un account amministratore delegato, l'account di gestione la creerà prima Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2 esplicitamente nel proprio account, quindi abiliterà la scansione antimalware GuardDuty avviata dall'account amministratore delegato, in modo analogo a qualsiasi altro account membro.

   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

3. L'account amministratore delegato è stato designato nell'account attualmente selezionato GuardDuty . Regione AWS Se hai designato un account come account GuardDuty amministratore delegato in una regione, quell'account deve essere il tuo account GuardDuty amministratore delegato in tutte le altre regioni. Ripeti la fase precedente per tutte le altre regioni.

Configurazione della scansione GuardDuty antimalware avviata per l'account amministratore delegato GuardDuty

Scegliete il metodo di accesso preferito per abilitare o disabilitare la scansione antimalware GuardDuty avviata per un account amministratore delegato. GuardDuty

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Assicurati di utilizzare le credenziali dell'account di gestione.

2. Nel riquadro di navigazione, scegli Malware Protection for EC2.

3. Nella pagina Malware Protection for EC2, scegli Modifica accanto a GuardDuty-initiated malware scan.

4. Esegui una di queste operazioni:

   Utilizzando Abilita per tutti gli account

   • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi nell' AWS organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

   • Selezionare Salva.

   Utilizzando Configura gli account manualmente

   • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

   • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

   • Selezionare Salva.

API/CLI

Esegui l'operazione API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il name dell'oggetto features su EBS_MALWARE_PROTECTION e lo status su ENABLED o DISABLED.

È possibile abilitare o disabilitare GuardDuty -initiated malware scan eseguendo il seguente comando. AWS CLI Assicurati di utilizzare l'ID rilevatore valido GuardDuty dell'account amministratore delegato.

Nota

Il codice di esempio seguente abilita la scansione antimalware GuardDuty avviata dall'utente. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Attiva automaticamente la scansione antimalware GuardDuty avviata per tutti gli account dei membri

Scegli il metodo di accesso preferito per abilitare la funzionalità di scansione antimalware GuardDuty avviata per tutti gli account membri. inclusi gli account membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

Console

1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

2. Esegui una di queste operazioni:

   Utilizzo della pagina Malware Protection for EC2

   1. Nel riquadro di navigazione, scegli Malware Protection for EC2.

   2. Nella pagina Malware Protection for EC2, scegli Modifica nella sezione relativa alla scansione GuardDutyantimalware avviata.

   3. Scegli Abilita per tutti gli account. Questa azione abilita automaticamente la scansione antimalware GuardDuty avviata sia per gli account esistenti che per quelli nuovi dell'organizzazione.

   4. Selezionare Salva.

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

   Utilizzando la pagina Account

   1. Dal riquadro di navigazione, selezionare Accounts (Account).

   2. Nella pagina Account, scegli le preferenze di Abilitazione automatica, quindi Aggiungi account tramite invito.

   3. Nella finestra Gestisci le preferenze di attivazione automatica, scegli Abilita per tutti gli account sottoposti alla scansione GuardDutyantimalware avviata.

   4. Nella pagina Malware Protection for EC2, scegli Modifica nella sezione GuardDuty -initiated malware scan.

   5. Scegli Abilita per tutti gli account. Questa azione abilita automaticamente la scansione antimalware GuardDuty avviata sia per gli account esistenti che per quelli nuovi dell'organizzazione.

   6. Selezionare Salva.

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

   Utilizzando la pagina Account

   1. Dal riquadro di navigazione, selezionare Accounts (Account).

   2. Nella pagina Account, scegli le preferenze di Abilitazione automatica, quindi Aggiungi account tramite invito.

   3. Nella finestra Gestisci le preferenze di attivazione automatica, scegli Abilita per tutti gli account sottoposti alla scansione GuardDutyantimalware avviata.

   4. Selezionare Salva.

   Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilita o disabilita in modo selettivo la scansione antimalware GuardDuty avviata dagli account dei membri.

API/CLI

• Per abilitare o disabilitare in modo selettivo la scansione antimalware GuardDuty avviata per i tuoi account membri, richiama l'operazione updateMemberDetectorsAPI utilizzando il tuo ID di rilevamento.

• L'esempio seguente mostra come abilitare la scansione antimalware GuardDuty avviata da un singolo account membro. Per disabilitare un account membro, sostituisci ENABLED con DISABLED.

  Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

  Puoi anche trasmettere un elenco di ID account separati da uno spazio.

• Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Abilita la scansione antimalware GuardDuty avviata per tutti gli account dei membri attivi esistenti

Scegliete il metodo di accesso preferito per abilitare la scansione antimalware GuardDuty avviata per tutti gli account dei membri attivi esistenti nell'organizzazione.

Per configurare la scansione antimalware GuardDuty avviata per tutti gli account dei membri attivi esistenti

1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

2. Nel riquadro di navigazione, scegli Malware Protection for EC2.

3. In Malware Protection for EC2, puoi visualizzare lo stato corrente della configurazione di scansione GuardDutyantimalware avviata. Nella sezione Account membri attivi, scegli Operazioni.

4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

5. Selezionare Salva.

Attiva automaticamente la scansione GuardDuty antimalware avviata per gli account dei nuovi membri

Gli account membri appena aggiunti devono essere abilitati GuardDuty prima di selezionare la configurazione GuardDuty della scansione antimalware avviata. Gli account membri gestiti su invito possono configurare manualmente la scansione antimalware GuardDuty avviata per i propri account. Per ulteriori informazioni, consulta Step 3 - Accept an invitation.

Scegliete il metodo di accesso preferito per abilitare la scansione antimalware GuardDuty avviata dai nuovi account che entrano a far parte della vostra organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare la scansione antimalware GuardDuty avviata per gli account dei nuovi membri di un'organizzazione, utilizzando la pagina Malware Protection for EC2 o Accounts.

Per abilitare automaticamente la scansione antimalware GuardDuty avviata per i nuovi account dei membri

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

2. Esegui una di queste operazioni:

   • Utilizzo della pagina Malware Protection for EC2:

     1. Nel riquadro di navigazione, scegli Malware Protection for EC2.

     2. Nella pagina Malware Protection for EC2, scegli Modifica nella scansione GuardDuty antimalware avviata.

     3. Scegli Configura gli account manualmente.

     4. Seleziona Abilita automaticamente per i nuovi account membri. Questo passaggio garantisce che ogni volta che un nuovo account si unisce alla tua organizzazione, la scansione antimalware GuardDuty avviata venga automaticamente abilitata per tale account. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

     5. Selezionare Salva.

   • Utilizzando la pagina Account:

     1. Dal riquadro di navigazione, selezionare Accounts (Account).

     2. Nella pagina Account, scegli le preferenze di Abilitazione automatica.

     3. Nella finestra Gestisci le preferenze di attivazione automatica, seleziona Abilita per nuovi account nella sezione GuardDuty-initiated malware scan.

     4. Selezionare Salva.

API/CLI

• Per abilitare o disabilitare la scansione antimalware GuardDuty avviata per i nuovi account membri, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando il tuo ID di rilevamento.

• L'esempio seguente mostra come abilitare la scansione antimalware GuardDuty avviata da un singolo account membro. Per disabilitarlo, consulta Abilita o disabilita in modo selettivo la scansione antimalware GuardDuty avviata dagli account dei membri. Se non desideri abilitarlo per tutti i nuovi account che entrano a far parte dell'organizzazione, imposta AutoEnable su NONE.

  Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

  Puoi anche trasmettere un elenco di ID account separati da uno spazio.

• Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Abilita o disabilita in modo selettivo la scansione antimalware GuardDuty avviata dagli account dei membri

Scegli il tuo metodo di accesso preferito per configurare selettivamente la scansione antimalware GuardDuty avviata per gli account dei membri.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Dal riquadro di navigazione, selezionare Accounts (Account).

3. Nella pagina Account, controlla lo stato del tuo account membro nella colonna GuardDuty-initiated malware scan.

4. Seleziona l'account per il quale desideri configurare GuardDuty -initiated malware scan. Puoi selezionare più account alla volta.

5. Dal menu Modifica piani di protezione, scegli l'opzione appropriata per GuardDuty-initiated malware scan.

API/CLI

Per abilitare o disabilitare in modo selettivo la scansione antimalware GuardDuty avviata per i tuoi account membri, richiama l'operazione updateMemberDetectorsAPI utilizzando il tuo ID di rilevamento.

L'esempio seguente mostra come abilitare la scansione antimalware GuardDuty avviata da un singolo account membro. Per disabilitarla, sostituisci ENABLED con DISABLED.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Nota

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Per abilitare o disabilitare in modo selettivo la scansione antimalware GuardDuty avviata per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando il tuo ID di rilevamento. L'esempio seguente mostra come abilitare la scansione antimalware GuardDuty avviata da un singolo account membro. Per disabilitarla, sostituisci true con false.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

Nota

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Abilita la scansione antimalware GuardDuty avviata per gli account esistenti nell'organizzazione, gestita tramite invito

Il ruolo SLR ( GuardDuty Malware Protection for EC2 service-linked role) deve essere creato negli account dei membri. L'account amministratore non può abilitare la funzionalità di scansione antimalware GuardDuty avviata dagli account dei membri che non sono gestiti da. AWS Organizations

Attualmente, è possibile eseguire le seguenti operazioni tramite la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/ per abilitare la scansione antimalware GuardDuty avviata dagli account dei membri esistenti.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

   Accedi utilizzando le credenziali del tuo account amministratore.

2. Dal riquadro di navigazione, selezionare Accounts (Account).

3. Seleziona l'account membro per il quale desideri abilitare la scansione GuardDuty antimalware avviata. Puoi selezionare più account alla volta.

4. Scegli Azioni.

5. Scegli Disassocia membro.

6. Nel tuo account membro, nel riquadro di navigazione, scegli Protezione da malware in Piani di protezione.

7. Scegli Abilita la scansione GuardDuty antimalware avviata. GuardDuty creerà una reflex per l'account del membro. Per ulteriori informazioni sul ruolo collegato ai servizi, consulta Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2.

8. Nel tuo account amministratore, scegli Account nel pannello di navigazione.

9. Scegli l'account membro da aggiungere nuovamente all'organizzazione.

10. Scegli Operazioni, quindi Aggiungi membro.

API/CLI

1. Utilizza l'account amministratore per eseguire l'DisassociateMembersAPI sugli account dei membri che desiderano abilitare la scansione GuardDuty antimalware avviata.

2. Usa il tuo account membro per invocare e UpdateDetectorabilitare la scansione GuardDuty antimalware avviata.

   Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

3. Utilizza l'account amministratore per eseguire l'CreateMembersAPI e aggiungere nuovamente il membro all'organizzazione.