GuardDutyが開始するマルウェアスキャンの設定

スタンドアロンアカウントの GuardDuty実行型マルウェアスキャンの設定

に関連付けられているアカウントの場合 AWS Organizations、次のセクションで説明するように、コンソール設定を使用してこのプロセスを自動化できます。

GuardDuty実行型マルウェアスキャンを有効または無効にするには

任意のアクセス方法を選択して、スタンドアロンアカウントの GuardDuty実行型マルウェアスキャンを設定します。

Console

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

2. ナビゲーションペインの保護プラン で、EC2 の Malware Protection EC2を選択します。

3. Malware Protection for EC2 ペインには、アカウントの GuardDuty実行型マルウェアスキャンの現在のステータスが一覧表示されます。[有効にする] または [無効にする] をそれぞれ選択することで、いつでも有効または無効にすることができます。

4. [保存] を選択します。

API/CLI

• ユーザー独自のリージョンレベルのディテクター ID を使用し、EbsVolumes を true または false に設定した dataSources オブジェクトを渡して、updateDetector API オペレーションを実行します。

  次の AWS CLI コマンドを実行して、 AWS コマンドラインツールを使用して GuardDuty実行型マルウェアスキャンを有効または無効にすることもできます。必ずご自身の有効な ディテクター ID を使用してください。

  注記

  次のサンプルコードは、 GuardDuty実行型マルウェアスキャンを有効にします。無効にするには、true を false に置き換えます。

  アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

マルチアカウント環境での GuardDuty実行型マルウェアスキャンの設定

マルチアカウント環境では、 GuardDuty 管理者アカウントアカウントのみが GuardDuty実行型マルウェアスキャンを設定できます。 GuardDuty 管理者アカウントは、メンバーアカウントに対して GuardDuty実行型マルウェアスキャンの使用を有効または無効にできます。管理者アカウントがメンバーアカウントの GuardDuty実行型マルウェアスキャンを設定すると、メンバーアカウントは管理者アカウントの設定に従い、コンソールからこれらの設定を変更できなくなります。 AWS Organizations サポート対象のメンバーアカウントを管理する GuardDuty 管理者アカウントは、組織内のすべての既存アカウントと新規アカウントで GuardDuty実行型マルウェアスキャンを自動的に有効にすることを選択できます。詳細については、「による GuardDuty アカウントの管理 AWS Organizations」を参照してください。

GuardDutyが開始するマルウェアスキャンを有効にするための信頼されたアクセスを確立する

GuardDuty 委任管理者アカウントが組織内の管理アカウントと同じでない場合、管理アカウントは組織に対して GuardDuty実行型マルウェアスキャンを有効にする必要があります。これにより、委任された管理者アカウントは、 を通じて管理されるMalware Protection for EC2 のサービスにリンクされたロールのアクセス許可メンバーアカウントに を作成できます AWS Organizations。

注記

委任された GuardDuty 管理者アカウントを指定する前に、「」を参照してください考慮事項とレコメンデーション。

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントが組織内のメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にできるようにします。

Console

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   ログインするには、 AWS Organizations 組織の管理アカウントを使用します。

2. 1. 委任 GuardDuty 管理者アカウントを指定していない場合は、次の操作を行います。

      設定ページの委任 GuardDuty 管理者アカウント に、組織内の GuardDuty ポリシーを管理するためにaccount ID指定する 12 桁の を入力します。[委任] を選択します。

   2. 1. 管理アカウントとは異なる委任 GuardDuty 管理者アカウントを既に指定している場合は、次の操作を行います。

         [Settings] (設定) ページの [Delegated Administrator] (委任された管理者) で、[Permissions] (許可) 設定をオンにします。このアクションにより、委任された GuardDuty 管理者アカウントは、関連するアクセス許可をメンバーアカウントにアタッチし、これらのメンバーアカウントで GuardDuty実行型マルウェアスキャンを有効にすることができます。

      2. 管理アカウントと同じ委任 GuardDuty 管理者アカウントを既に指定している場合は、メンバーアカウントに対して GuardDuty実行型マルウェアスキャンを直接有効にできます。詳細については、「すべてのメンバーアカウントで GuardDuty実行型マルウェアスキャンを自動有効化する」を参照してください。

      ヒント

      委任された GuardDuty 管理者アカウントが管理アカウントと異なる場合は、委任された GuardDuty 管理者アカウントにアクセス許可を付与して、メンバーアカウントの GuardDuty実行型マルウェアスキャンを有効にする必要があります。

3. 委任された GuardDuty 管理者アカウントに、他のリージョンのメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にすることを許可する場合は、 を変更し AWS リージョン、上記の手順を繰り返します。

API/CLI

1. 管理アカウントの認証情報を使用して、次のコマンドを実行します。

   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

2. （オプション) 委任された管理者アカウントではない管理アカウントに対して GuardDuty実行型マルウェアスキャンを有効にするには、管理アカウントはまずそのアカウントにMalware Protection for EC2 のサービスにリンクされたロールのアクセス許可明示的に を作成し、次に他のメンバーアカウントと同様に、委任された管理者アカウントから GuardDuty実行型マルウェアスキャンを有効にします。

   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

3. 現在選択されている で委任 GuardDuty 管理者アカウントを指定しました AWS リージョン。あるリージョンでアカウントを委任された GuardDuty 管理者アカウントとして指定している場合、そのアカウントは他のすべてのリージョンで委任された GuardDuty 管理者アカウントである必要があります。上記のステップを他のすべてのリージョンについて繰り返します。

委任された GuardDuty 管理者アカウントの GuardDuty実行型マルウェアスキャンの設定

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの GuardDuty実行型マルウェアスキャンを有効または無効にします。

Console

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   必ず管理アカウントの認証情報を使用してください。

2. ナビゲーションペインで、EC2 の Malware Protection を選択します。

3. Malware Protection for EC2 ページで、 実行型マルウェアスキャン の横にある編集を選択します。 GuardDuty

4. 次のいずれかを行います。

   [すべてのアカウントについて有効にする] の使用

   • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントに対して保護プランが有効になります。

   • [保存] を選択します。

   [アカウントを手動で設定] の使用

   • 委任された GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定を選択します。

   • 委任された GuardDuty 管理者アカウント (このアカウント） セクションで 有効化 を選択します。

   • [保存] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト name を EBS_MALWARE_PROTECTION として、status を ENABLED または DISABLED として渡して、updateDetector API オペレーションを実行します。

次の AWS CLI コマンドを実行すると、 GuardDuty実行型マルウェアスキャンを有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID を使用してください。

注記

次のサンプルコードは、 GuardDuty実行型マルウェアスキャンを有効にします。無効にするには、ENABLED を DISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

すべてのメンバーアカウントで GuardDuty実行型マルウェアスキャンを自動有効化する

任意のアクセス方法を選択して、すべてのメンバーアカウントに対して GuardDuty実行型マルウェアスキャン機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   委任された GuardDuty 管理者アカウントの認証情報を使用してください。

2. 次のいずれかを行います。

   Malware Protection for EC2 ページの使用

   1. ナビゲーションペインで、EC2 の Malware Protection を選択します。

   2. Malware Protection for EC2 ページで、 GuardDuty実行型マルウェアスキャンセクションで編集を選択します。

   3. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存アカウントと新規アカウントの両方に対して GuardDuty実行型マルウェアスキャンが自動的に有効になります。

   4. [保存] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

   [アカウント] ページの使用

   1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

   2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

   3. 自動有効化設定の管理ウィンドウで、 GuardDutyが開始したマルウェアスキャン のすべてのアカウントに対して有効化を選択します。

   4. Malware Protection for EC2 ページで、 GuardDuty実行型マルウェアスキャンセクションで編集を選択します。

   5. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存アカウントと新規アカウントの両方に対して GuardDuty実行型マルウェアスキャンが自動的に有効になります。

   6. [保存] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

   [アカウント] ページの使用

   1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

   2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

   3. 自動有効化設定の管理ウィンドウで、 GuardDutyが開始したマルウェアスキャン のすべてのアカウントに対して有効化を選択します。

   4. [保存] を選択します。

   [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にする」を参照してください。

API/CLI

• メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを呼び出します。

• 次の例は、単一のメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にする方法を示しています。メンバーアカウントを無効にするには、DISABLED を ENABLED に置き換えてください。

  アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

  スペースで区切られたアカウント ID のリストを渡すこともできます。

• コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

既存のすべてのアクティブなメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にする

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にします。

既存のアクティブなメンバーアカウントすべてに対して GuardDuty実行型マルウェアスキャンを設定するには

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

2. ナビゲーションペインで、EC2 の Malware Protection を選択します。

3. Malware Protection for EC2 では、 GuardDuty実行型マルウェアスキャン設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

5. [保存] を選択します。

新しいメンバーアカウントの GuardDuty実行型マルウェアスキャンを自動で有効にする

新しく追加されたメンバーアカウントは、 GuardDuty実行型マルウェアスキャンの設定を選択する前に を有効にする GuardDuty 必要があります。招待によって管理されるメンバーアカウントは、アカウントに対して GuardDuty実行型マルウェアスキャンを手動で設定できます。詳細については、「Step 3 - Accept an invitation」を参照してください。

任意のアクセス方法を選択して、組織に参加する新しいアカウントの GuardDuty実行型マルウェアスキャンを有効にします。

Console

委任された GuardDuty 管理者アカウントは、EC2 の Malware Protection GuardDutyページまたは アカウントページを使用して、組織内の新しいメンバーアカウントの 実行型マルウェアスキャンを有効にできます。 EC2

新しいメンバーアカウントの GuardDuty実行型マルウェアスキャンを自動で有効にするには

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   委任された GuardDuty 管理者アカウントの認証情報を使用してください。

2. 次のいずれかを行います。

   • Malware Protection for EC2 ページの使用：

     1. ナビゲーションペインで、EC2 の Malware Protection を選択します。

     2. EC2 の Malware Protection ページで、 GuardDuty実行型マルウェアスキャン で 編集 を選択します。

     3. [アカウントを手動で設定] を選択します。

     4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に加わるたびに、 GuardDutyそのアカウントに対して開始されたマルウェアスキャンが自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。

     5. [保存] を選択します。

   • [Accounts] (アカウント) ページを使用する場合:

     1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

     2. [アカウント] ページで、[自動有効化] 設定を選択します。

     3. 自動有効化設定の管理ウィンドウで、 実行型マルウェアスキャン で新しいアカウントの有効化を選択します。 GuardDuty

     4. [保存] を選択します。

API/CLI

• 新しいメンバーアカウントの GuardDuty実行型マルウェアスキャンを有効または無効にするには、独自のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを呼び出します。

• 次の例は、単一のメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にする方法を示しています。無効にするには、「メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にする」を参照してください。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、AutoEnable を NONE に設定します。

  アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

  スペースで区切られたアカウント ID のリストを渡すこともできます。

• コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にする

任意のアクセス方法を選択して、メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に設定します。

Console

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

3. アカウントページで、 GuardDutyが開始するマルウェアスキャン列でメンバーアカウントのステータスを確認します。

4. GuardDuty実行型マルウェアスキャンを設定するアカウントを選択します。一度に複数のアカウントを選択できます。

5. 保護プランの編集メニューから、 GuardDuty実行型マルウェアスキャン に適したオプションを選択します。

API/CLI

メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを呼び出します。

次の例は、単一のメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にする方法を示しています。無効にするには、ENABLED を DISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

注記

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

メンバーアカウントの GuardDuty実行型マルウェアスキャンを選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを実行します。 次の例は、単一のメンバーアカウントに対して GuardDuty実行型マルウェアスキャンを有効にする方法を示しています。無効にするには、true を false に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

注記

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

招待によって管理される Organization GuardDuty内の既存のアカウントに対して 実行型マルウェアスキャンを有効にする

GuardDuty Malware Protection for EC2 サービスにリンクされたロール (SLR) は、メンバーアカウントで作成する必要があります。管理者アカウントは、 によって管理されていないメンバーアカウントで GuardDuty実行型マルウェアスキャン機能を有効にすることはできません AWS Organizations。

現在、https://console.aws.amazon.com/guardduty/ の GuardDuty コンソールから次の手順を実行して、既存のメンバーアカウントの GuardDuty実行型マルウェアスキャンを有効にできます。

Console

1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

3. GuardDuty実行型マルウェアスキャンを有効にするメンバーアカウントを選択します。一度に複数のアカウントを選択できます。

4. [アクション] を選択します。

5. [Disassociate member] (メンバーの関連付けを解除する) を選択します。

6. メンバーアカウントのナビゲーションペインで、[保護プラン] から [Malware Protection] を選択します。

7. GuardDuty開始されたマルウェアスキャンを有効にする を選択します。 GuardDuty はメンバーアカウントの SLR を作成します。SLR の詳細については、「Malware Protection for EC2 のサービスにリンクされたロールのアクセス許可」を参照してください。

8. 管理者アカウントで、ナビゲーションペインのアカウントを選択します。

9. 組織に追加し直す必要があるメンバーアカウントを選択します。

10. [Actions] (アクション)、[Add member] (メンバーの追加) の順に選択します。

API/CLI

1. 管理者アカウントアカウントを使用して、 GuardDuty実行型マルウェアスキャンを有効にするメンバーアカウントで DisassociateMembers API を実行します。

2. メンバーアカウントを使用して を呼び出しUpdateDetector、 GuardDuty実行型マルウェアスキャンを有効にします。

   アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

3. 管理者アカウントを使用して CreateMembers API を実行し、メンバーを組織に戻します。