本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定起始 GuardDuty的惡意軟體掃描
針對獨立 GuardDuty帳戶設定起始的惡意程式碼掃描
對於與相關聯的帳戶 AWS Organizations,您可以透過主控台設定自動執行此程序,如下一節所述。
啟用或停用起始的惡意程式碼 GuardDuty掃描
選擇您偏好的存取方法,以針對獨立帳戶設定 GuardDuty起始的惡意程式碼掃描。
- Console
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ -
在瀏覽窗格的 [保護方案] 下,選擇 [EC2 的惡意程式碼保護]。
-
EC2 的惡意程式碼保護窗格會列出您帳戶 GuardDuty啟動之惡意軟體掃描的目前狀態。您可以隨時透過分別選取啟用或停用來啟用或停用它。
-
選擇儲存。
- API/CLI
-
-
使用您自己的區域偵測器 ID,並透過將
EbsVolumes
設定為true
或false
來傳遞dataSources
物件,從而執行 updateDetector API 操作。您也可以執行下 AWS CLI 列命令,使用 AWS 命令列工具啟用或停用啟 GuardDuty動的惡意程式碼掃描。請務必使用您自己的有效
偵測器 ID
。注意
下列範例程式碼會啟用 GuardDuty起始的惡意程式碼掃描。若要停用,請使用
false
取代true
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED
"}]'
-
在多帳戶 GuardDuty環境中設定起始的惡意程式碼掃描
在多帳戶環境中,只有 GuardDuty 系統管理員帳戶可以設定起始的惡意程式碼 GuardDuty掃描。 GuardDuty 管理員帳戶可以啟用或禁用對其成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描。管理員帳戶為成員帳戶配置 GuardDuty啟動的惡意軟件掃描後,該成員帳戶將遵循管理員帳戶設置,並且無法通過控制台修改這些設置。 GuardDuty 透過 AWS Organizations 支援管理其成員帳戶的管理員帳戶帳戶,可以選擇在組織中的所有現有帳戶和新帳戶上自動啟用啟動的惡意軟體掃描。 GuardDuty如需詳細資訊,請參閱 管理 GuardDuty 帳戶 AWS Organizations。
建立受信任的存取以啟 GuardDuty動惡意程式碼掃描
如果 GuardDuty 委派的系統管理員帳戶與組織中的管理帳戶不同,則管理帳戶必須為其組織啟用 GuardDuty起始的惡意程式碼掃描。如此一來,委派的系統管理員帳戶就可以建立透過管理的 適用於 EC2 惡意軟體防護的服務連結角色許可 in 成員帳戶 AWS Organizations。
注意
指定委派的 GuardDuty 管理員帳戶之前,請參閱考量和建議。
選擇您偏好的存取方法,以允許委派的 GuardDuty 系統管理員帳戶針對組織中的成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。
- Console
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ 若要登入,請使用 AWS Organizations 組織的管理帳戶。
-
-
如果您尚未指定委派 GuardDuty 管理員帳戶,則:
在 [設定] 頁面的 [委派 GuardDuty 系統管理員帳戶] 下,輸入您
account ID
要指定用來管理組織中 GuardDuty 策略的 12 位數字。選擇委派。 -
-
如果您已指定與管理帳戶不同的委派 GuardDuty 管理員帳戶,請執行下列動作:
在設定頁面的委派管理員下,開啟許可設定。此動作將允許委派的 GuardDuty 管理員帳戶將相關權限附加到成員帳戶,並在這些成員帳戶中啟用啟 GuardDuty動的惡意軟體掃描。
-
如果您已經指定了與 GuardDuty 管理帳戶相同的委派管理員帳戶,則可以直接為成員帳戶啟用啟 GuardDuty動的惡意軟體掃描。如需詳細資訊,請參閱 自動啟動所有成 GuardDuty員帳戶的惡意軟體掃描。
提示
如果委派的系統管理 GuardDuty 員帳戶與您的管理帳戶不同,您必須提供委派 GuardDuty 系統管理員帳戶的權限,以允許針對成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。
-
-
-
如果您想要允許委派的 GuardDuty 系統管理員帳戶啟用 GuardDuty其他區域中成員帳戶的惡意程式碼掃描,請變更您的 AWS 區域,然後重複上述步驟。
- API/CLI
-
-
使用您的管理帳戶憑證,執行下列命令:
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
-
(選擇性) 若要針對非委派系統管理員帳戶的管理帳戶啟用 GuardDuty-起始的惡意程式碼掃描,管理帳戶會先在其帳戶中適用於 EC2 惡意軟體防護的服務連結角色許可明確建立,然後從委派的系統管理員帳戶啟用啟 GuardDuty動的惡意程式碼掃描,類似於任何其他成員帳戶。
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
-
您已在目前選取的中指定委派 GuardDuty 管理員帳戶 AWS 區域。如果您已在某個區域中將帳戶指定為委派 GuardDuty 管理員帳戶,則該帳戶必須是您在所有其他區域中委派的 GuardDuty 管理員帳戶。為其他所有區域重複上述步驟。
-
選擇您偏好的存取方法,以啟用或停用 GuardDuty委派 GuardDuty 系統管理員帳戶的惡意程式碼掃描。
- Console
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ 確保使用管理帳戶憑證。
-
在瀏覽窗格中,選擇適用於 EC2 的惡意程式碼保護。
-
在 EC2 的惡意程式碼保護頁面上,選擇GuardDuty啟動惡意軟體掃描旁邊的編輯。
執行以下任意一項:
使用為所有帳戶啟用
-
選擇為所有帳戶啟用。這將啟用 AWS 組織中所有作用中 GuardDuty 帳戶的保護計劃,包括加入組織的新帳戶。
選擇儲存。
使用手動設定帳戶
若要僅針對委派的 GuardDuty 系統管理員帳戶啟用保護方案,請選擇 [手動設定帳戶]。
在 [委派 GuardDuty 管理員帳戶 (此帳戶)] 區段下選擇 [啟用]。
選擇儲存。
-
- API/CLI
-
使用您自己的區域偵測器 ID,並透過將
name
設定為EBS_MALWARE_PROTECTION
及將status
設定為ENABLED
或DISABLED
來傳遞features
物件,從而執行 updateDetector API 操作。您可以透過執行下列 AWS CLI 命令來啟用或停用啟 GuardDuty動的惡意程式碼掃描。確保使用委派 GuardDuty 管理員帳戶的有效
偵測器 ID
。注意
下列範例程式碼會啟用 GuardDuty起始的惡意程式碼掃描。若要停用,請使用
DISABLED
取代ENABLED
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
/ --account-ids555555555555
/ --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'
選擇您偏好的存取方法,為所有成員帳戶啟用 GuardDuty起始的惡意軟體掃描功能。這包括現有的成員帳戶和加入組織的新帳戶。
- Console
-
請登入 AWS Management Console 並開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 請務必使用委派的 GuardDuty 系統管理員帳戶認證。
執行以下任意一項:
使用 EC2 的惡意程式碼保護頁面
在瀏覽窗格中,選擇適用於 EC2 的惡意程式碼保護。
在 EC2 的惡意程式碼保護頁面上,選擇GuardDuty啟動的惡意軟體掃描區段中的編輯。
選擇為所有帳戶啟用。此動作會自動 GuardDuty啟用組織中現有和新帳戶的惡意程式碼掃描。
選擇儲存。
注意
最多可能需要 24 小時才會更新成員帳戶的組態。
使用帳戶頁面
在導覽窗格中,選擇帳戶。
在帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶。
在 [管理自動啟用喜好設定] 視窗中,選擇 [啟動的惡意程式碼掃描] 下的所有帳戶GuardDuty啟用
-
在 EC2 的惡意程式碼保護頁面上,選擇GuardDuty啟動的惡意軟體掃描區段中的編輯。
-
選擇為所有帳戶啟用。此動作會自動 GuardDuty啟用組織中現有和新帳戶的惡意程式碼掃描。
-
選擇儲存。
注意
最多可能需要 24 小時才會更新成員帳戶的組態。
使用帳戶頁面
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶。
-
在 [管理自動啟用喜好設定] 視窗中,選擇 [啟動的惡意程式碼掃描] 下的所有帳戶GuardDuty啟用
-
選擇儲存。
如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地啟用或停用成員 GuardDuty帳戶的惡意程式碼掃描。
- API/CLI
-
-
要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描,請使用您自己的
檢測器 ID
調用 updateMemberDetectorsAPI 操作。 -
下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用成員帳戶,請使用
DISABLED
取代ENABLED
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'您也可以傳遞以空格分隔的帳戶 ID 清單。
-
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
-
選擇您偏好的存取方法,以啟用 GuardDuty組織中所有現有作用中成員帳戶的惡意程式碼掃描。
為所有現有作用中成員帳戶設定 GuardDuty啟動的惡意程式碼掃描
請登入 AWS Management Console 並開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 使用委派的 GuardDuty 系統管理員帳戶認證登入。
-
在瀏覽窗格中,選擇適用於 EC2 的惡意程式碼保護。
-
在 EC2 的惡意軟體保護上,您可以檢視GuardDuty啟動的惡意軟體掃描組態的目前狀態。在作用中成員帳戶區段下,選擇動作。
-
從動作下拉式選單中,選擇為所有作用中的成員帳戶啟用。
-
選擇儲存。
新增的成員帳戶必須 GuardDuty 先啟用,才能選取設定啟 GuardDuty動的惡意程式碼掃描。受邀請管理的成員帳戶可以手動為其帳戶配置 GuardDuty啟動的惡意軟件掃描。如需詳細資訊,請參閱 Step 3 - Accept an invitation。
選擇您偏好的存取方法,以針對加入組織的新帳戶啟用 GuardDuty開始的惡意程式碼掃描。
- Console
-
委派的 GuardDuty 管理員帳戶可以使用 EC2 的惡意程式碼保護或帳戶頁面,針對組織中的新成員帳戶啟用 GuardDuty開始的惡意軟體掃描。
自動啟用新成 GuardDuty員帳戶的惡意程式碼掃描
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ 請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
執行以下任意一項:
-
使用 EC2 的惡意程式碼保護頁面:
-
在瀏覽窗格中,選擇適用於 EC2 的惡意程式碼保護。
-
在 EC2 的惡意程式碼保護頁面上,選擇GuardDuty啟動的惡意軟體掃描中的編輯。
-
選擇手動設定帳戶。
-
選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時, GuardDuty系統都會自動為其帳戶啟用啟動的惡意軟體掃描。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
-
選擇儲存。
-
-
使用帳戶頁面:
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定。
-
在 [管理自動啟用喜好設定] 視窗中,選取 [開始的惡意程式碼GuardDuty掃描] 下的 [針對新帳號
-
選擇儲存。
-
-
- API/CLI
-
-
若要為新成員帳戶啟用或停用啟 GuardDuty動的惡意程式碼掃描,請使用您自己的
偵測器 ID
呼叫 UpdateOrganizationConfigurationAPI 作業。 -
下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用,請參閱選擇性地啟用或停用成員 GuardDuty帳戶的惡意程式碼掃描。如果您不想為加入組織的所有新帳戶啟用此功能,請將
AutoEnable
設定為NONE
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable":NEW
}]'您也可以傳遞以空格分隔的帳戶 ID 清單。
-
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
-
選擇您偏好的存取方法,選擇性地為成員帳戶設定 GuardDuty啟動的惡意程式碼掃描。
- Console
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ -
在導覽窗格中,選擇帳戶。
-
在 [帳戶] 頁面上,檢閱GuardDuty啟動的惡意軟體掃描欄,瞭解您的成員帳戶的狀態。
-
選取您要設定 GuardDuty起始惡意程式碼掃描的帳戶。您可以一次選取多個帳戶。
-
從 [編輯防護方案] 功能表中,為起始的惡意程式碼GuardDuty掃描選擇適當的選項。
- API/CLI
-
要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描,請使用您自己的
檢測器 ID
調用 updateMemberDetectorsAPI 操作。下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用,請使用
DISABLED
取代ENABLED
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'注意
您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描,請使用您自己的
檢測器 ID
運行 updateMemberDetectorsAPI 操作。下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用,請使用false
取代true
。要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids123456789012
--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true
}}}'注意
您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
必須在成員帳戶中建立 EC2 服務連結角色 (SLR) 的 GuardDuty 惡意軟體保護。管理員帳戶無法在不受管理的成員帳戶中啟用啟 GuardDuty動的惡意軟體掃描功能。 AWS Organizations
目前,您可以通過 https://console.aws.amazon.com/guardduty/
- Console
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ 使用您的系統管理員帳戶認證登入。
-
在導覽窗格中,選擇帳戶。
-
選取您要啟用 GuardDuty起始惡意程式碼掃描的成員帳戶。您可以一次選取多個帳戶。
-
選擇動作。
-
選擇取消關聯成員。
-
在成員帳戶中,在導覽窗格的保護計畫下,選擇惡意軟體防護。
-
選擇啟 GuardDuty動啟動的惡意程式碼掃描。 GuardDuty 將為會員帳戶建立單鏡反光相機。如需有關 SLR 的詳細資訊,請參閱適用於 EC2 惡意軟體防護的服務連結角色許可。
-
在您的系統管理員帳戶中,選擇功能窗格上的 [帳戶]。
-
選擇需要新增回組織的成員帳戶。
-
選擇動作,然後選擇新增成員。
- API/CLI
-
-
使用管理員帳戶在要啟 GuardDuty用惡意軟件掃描的成員帳戶上運行 DisassociateMembersAPI。
-
使用您的會員帳戶調用以啟UpdateDetector用啟 GuardDuty動的惡意軟件掃描。
要查找您
detectorId
的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/控制台中的 「設置」 頁面,或運行 ListDetectorsAPI aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' -
使用系統管理員帳戶執行 CreateMembersAPI,將成員新增回組織。
-