設定起始 GuardDuty的惡意軟體掃描

針對獨立 GuardDuty帳戶設定起始的惡意程式碼掃描

對於與相關聯的帳戶 AWS Organizations，您可以透過主控台設定自動執行此程序，如下一節所述。

啟用或停用起始的惡意程式碼 GuardDuty掃描

選擇您偏好的存取方法，以針對獨立帳戶設定 GuardDuty起始的惡意程式碼掃描。

Console

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

2. 在瀏覽窗格的 [保護方案] 下，選擇 [EC2 的惡意程式碼保護]。

3. EC2 的惡意程式碼保護窗格會列出您帳戶 GuardDuty啟動之惡意軟體掃描的目前狀態。您可以隨時透過分別選取啟用或停用來啟用或停用它。

4. 選擇儲存。

API/CLI

• 使用您自己的區域偵測器 ID，並透過將 EbsVolumes 設定為 true 或 false 來傳遞 dataSources 物件，從而執行 updateDetector API 操作。

  您也可以執行下 AWS CLI 列命令，使用 AWS 命令列工具啟用或停用啟 GuardDuty動的惡意程式碼掃描。請務必使用您自己的有效偵測器 ID。

  注意

  下列範例程式碼會啟用 GuardDuty起始的惡意程式碼掃描。若要停用，請使用 false 取代 true。

  要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

在多帳戶 GuardDuty環境中設定起始的惡意程式碼掃描

在多帳戶環境中，只有 GuardDuty 系統管理員帳戶可以設定起始的惡意程式碼 GuardDuty掃描。 GuardDuty 管理員帳戶可以啟用或禁用對其成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描。管理員帳戶為成員帳戶配置 GuardDuty啟動的惡意軟件掃描後，該成員帳戶將遵循管理員帳戶設置，並且無法通過控制台修改這些設置。 GuardDuty 透過 AWS Organizations 支援管理其成員帳戶的管理員帳戶帳戶，可以選擇在組織中的所有現有帳戶和新帳戶上自動啟用啟動的惡意軟體掃描。 GuardDuty如需詳細資訊，請參閱 管理 GuardDuty 帳戶 AWS Organizations。

建立受信任的存取以啟 GuardDuty動惡意程式碼掃描

如果 GuardDuty 委派的系統管理員帳戶與組織中的管理帳戶不同，則管理帳戶必須為其組織啟用 GuardDuty起始的惡意程式碼掃描。如此一來，委派的系統管理員帳戶就可以建立透過管理的 適用於 EC2 惡意軟體防護的服務連結角色許可 in 成員帳戶 AWS Organizations。

注意

指定委派的 GuardDuty 管理員帳戶之前，請參閱考量和建議。

選擇您偏好的存取方法，以允許委派的 GuardDuty 系統管理員帳戶針對組織中的成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。

Console

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

   若要登入，請使用 AWS Organizations 組織的管理帳戶。

2. 1. 如果您尚未指定委派 GuardDuty 管理員帳戶，則：

      在 [設定] 頁面的 [委派 GuardDuty 系統管理員帳戶] 下，輸入您account ID要指定用來管理組織中 GuardDuty 策略的 12 位數字。選擇委派。

   2. 1. 如果您已指定與管理帳戶不同的委派 GuardDuty 管理員帳戶，請執行下列動作：

         在設定頁面的委派管理員下，開啟許可設定。此動作將允許委派的 GuardDuty 管理員帳戶將相關權限附加到成員帳戶，並在這些成員帳戶中啟用啟 GuardDuty動的惡意軟體掃描。

      2. 如果您已經指定了與 GuardDuty 管理帳戶相同的委派管理員帳戶，則可以直接為成員帳戶啟用啟 GuardDuty動的惡意軟體掃描。如需詳細資訊，請參閱 自動啟動所有成 GuardDuty員帳戶的惡意軟體掃描。

      提示

      如果委派的系統管理 GuardDuty 員帳戶與您的管理帳戶不同，您必須提供委派 GuardDuty 系統管理員帳戶的權限，以允許針對成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。

3. 如果您想要允許委派的 GuardDuty 系統管理員帳戶啟用 GuardDuty其他區域中成員帳戶的惡意程式碼掃描，請變更您的 AWS 區域，然後重複上述步驟。

API/CLI

1. 使用您的管理帳戶憑證，執行下列命令：

   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

2. (選擇性) 若要針對非委派系統管理員帳戶的管理帳戶啟用 GuardDuty-起始的惡意程式碼掃描，管理帳戶會先在其帳戶中適用於 EC2 惡意軟體防護的服務連結角色許可明確建立，然後從委派的系統管理員帳戶啟用啟 GuardDuty動的惡意程式碼掃描，類似於任何其他成員帳戶。

   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

3. 您已在目前選取的中指定委派 GuardDuty 管理員帳戶 AWS 區域。如果您已在某個區域中將帳戶指定為委派 GuardDuty 管理員帳戶，則該帳戶必須是您在所有其他區域中委派的 GuardDuty 管理員帳戶。為其他所有區域重複上述步驟。

為委派的 GuardDuty 管理員帳戶設定 GuardDuty啟動的惡意程式碼

選擇您偏好的存取方法，以啟用或停用 GuardDuty委派 GuardDuty 系統管理員帳戶的惡意程式碼掃描。

Console

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

   確保使用管理帳戶憑證。

2. 在瀏覽窗格中，選擇適用於 EC2 的惡意程式碼保護。

3. 在 EC2 的惡意程式碼保護頁面上，選擇GuardDuty啟動惡意軟體掃描旁邊的編輯。

4. 執行以下任意一項：

   使用為所有帳戶啟用

   • 選擇為所有帳戶啟用。這將啟用 AWS 組織中所有作用中 GuardDuty 帳戶的保護計劃，包括加入組織的新帳戶。

   • 選擇儲存。

   使用手動設定帳戶

   • 若要僅針對委派的 GuardDuty 系統管理員帳戶啟用保護方案，請選擇 [手動設定帳戶]。

   • 在 [委派 GuardDuty 管理員帳戶 (此帳戶)] 區段下選擇 [啟用]。

   • 選擇儲存。

API/CLI

使用您自己的區域偵測器 ID，並透過將 name 設定為 EBS_MALWARE_PROTECTION 及將 status 設定為 ENABLED 或 DISABLED 來傳遞 features 物件，從而執行 updateDetector API 操作。

您可以透過執行下列 AWS CLI 命令來啟用或停用啟 GuardDuty動的惡意程式碼掃描。確保使用委派 GuardDuty 管理員帳戶的有效偵測器 ID。

注意

下列範例程式碼會啟用 GuardDuty起始的惡意程式碼掃描。若要停用，請使用 DISABLED 取代 ENABLED。

要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

自動啟動所有成 GuardDuty員帳戶的惡意軟體掃描

選擇您偏好的存取方法，為所有成員帳戶啟用 GuardDuty起始的惡意軟體掃描功能。這包括現有的成員帳戶和加入組織的新帳戶。

Console

1. 請登入 AWS Management Console 並開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。

   請務必使用委派的 GuardDuty 系統管理員帳戶認證。

2. 執行以下任意一項：

   使用 EC2 的惡意程式碼保護頁面

   1. 在瀏覽窗格中，選擇適用於 EC2 的惡意程式碼保護。

   2. 在 EC2 的惡意程式碼保護頁面上，選擇GuardDuty啟動的惡意軟體掃描區段中的編輯。

   3. 選擇為所有帳戶啟用。此動作會自動 GuardDuty啟用組織中現有和新帳戶的惡意程式碼掃描。

   4. 選擇儲存。

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

   使用帳戶頁面

   1. 在導覽窗格中，選擇帳戶。

   2. 在帳戶頁面上，選擇自動啟用偏好設定，然後再透過邀請新增帳戶。

   3. 在 [管理自動啟用喜好設定] 視窗中，選擇 [啟動的惡意程式碼掃描] 下的所有帳戶GuardDuty啟用

   4. 在 EC2 的惡意程式碼保護頁面上，選擇GuardDuty啟動的惡意軟體掃描區段中的編輯。

   5. 選擇為所有帳戶啟用。此動作會自動 GuardDuty啟用組織中現有和新帳戶的惡意程式碼掃描。

   6. 選擇儲存。

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

   使用帳戶頁面

   1. 在導覽窗格中，選擇帳戶。

   2. 在帳戶頁面上，選擇自動啟用偏好設定，然後再透過邀請新增帳戶。

   3. 在 [管理自動啟用喜好設定] 視窗中，選擇 [啟動的惡意程式碼掃描] 下的所有帳戶GuardDuty啟用

   4. 選擇儲存。

   如果您無法使用為所有帳戶啟用選項，請參閱 選擇性地啟用或停用成員 GuardDuty帳戶的惡意程式碼掃描。

API/CLI

• 要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描，請使用您自己的檢測器 ID 調用 updateMemberDetectorsAPI 操作。

• 下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用成員帳戶，請使用 DISABLED 取代 ENABLED。

  要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

  您也可以傳遞以空格分隔的帳戶 ID 清單。

• 當程式碼成功執行時，會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

啟用 GuardDuty所有現有活躍成員帳戶的惡意軟件掃描

選擇您偏好的存取方法，以啟用 GuardDuty組織中所有現有作用中成員帳戶的惡意程式碼掃描。

為所有現有作用中成員帳戶設定 GuardDuty啟動的惡意程式碼掃描

1. 請登入 AWS Management Console 並開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。

   使用委派的 GuardDuty 系統管理員帳戶認證登入。

2. 在瀏覽窗格中，選擇適用於 EC2 的惡意程式碼保護。

3. 在 EC2 的惡意軟體保護上，您可以檢視GuardDuty啟動的惡意軟體掃描組態的目前狀態。在作用中成員帳戶區段下，選擇動作。

4. 從動作下拉式選單中，選擇為所有作用中的成員帳戶啟用。

5. 選擇儲存。

自動啟動新 GuardDuty成員帳戶的惡意軟體掃描

新增的成員帳戶必須 GuardDuty 先啟用，才能選取設定啟 GuardDuty動的惡意程式碼掃描。受邀請管理的成員帳戶可以手動為其帳戶配置 GuardDuty啟動的惡意軟件掃描。如需詳細資訊，請參閱 Step 3 - Accept an invitation。

選擇您偏好的存取方法，以針對加入組織的新帳戶啟用 GuardDuty開始的惡意程式碼掃描。

Console

委派的 GuardDuty 管理員帳戶可以使用 EC2 的惡意程式碼保護或帳戶頁面，針對組織中的新成員帳戶啟用 GuardDuty開始的惡意軟體掃描。

自動啟用新成 GuardDuty員帳戶的惡意程式碼掃描

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

   請務必使用委派的 GuardDuty 系統管理員帳戶認證。

2. 執行以下任意一項：

   • 使用 EC2 的惡意程式碼保護頁面：

     1. 在瀏覽窗格中，選擇適用於 EC2 的惡意程式碼保護。

     2. 在 EC2 的惡意程式碼保護頁面上，選擇GuardDuty啟動的惡意軟體掃描中的編輯。

     3. 選擇手動設定帳戶。

     4. 選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時， GuardDuty系統都會自動為其帳戶啟用啟動的惡意軟體掃描。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

     5. 選擇儲存。

   • 使用帳戶頁面：

     1. 在導覽窗格中，選擇帳戶。

     2. 在帳戶頁面上，選擇自動啟用偏好設定。

     3. 在 [管理自動啟用喜好設定] 視窗中，選取 [開始的惡意程式碼GuardDuty掃描] 下的 [針對新帳號

     4. 選擇儲存。

API/CLI

• 若要為新成員帳戶啟用或停用啟 GuardDuty動的惡意程式碼掃描，請使用您自己的偵測器 ID 呼叫 UpdateOrganizationConfigurationAPI 作業。

• 下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用，請參閱選擇性地啟用或停用成員 GuardDuty帳戶的惡意程式碼掃描。如果您不想為加入組織的所有新帳戶啟用此功能，請將 AutoEnable 設定為 NONE。

  要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

  您也可以傳遞以空格分隔的帳戶 ID 清單。

• 當程式碼成功執行時，會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

選擇性地啟用或停用成員 GuardDuty帳戶的惡意程式碼掃描

選擇您偏好的存取方法，選擇性地為成員帳戶設定 GuardDuty啟動的惡意程式碼掃描。

Console

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

2. 在導覽窗格中，選擇帳戶。

3. 在 [帳戶] 頁面上，檢閱GuardDuty啟動的惡意軟體掃描欄，瞭解您的成員帳戶的狀態。

4. 選取您要設定 GuardDuty起始惡意程式碼掃描的帳戶。您可以一次選取多個帳戶。

5. 從 [編輯防護方案] 功能表中，為起始的惡意程式碼GuardDuty掃描選擇適當的選項。

API/CLI

要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描，請使用您自己的檢測器 ID 調用 updateMemberDetectorsAPI 操作。

下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用，請使用 DISABLED 取代 ENABLED。

要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

注意

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

要選擇性地為您的成員帳戶啟用或禁用啟 GuardDuty動的惡意軟件掃描，請使用您自己的檢測器 ID 運行 updateMemberDetectorsAPI 操作。下列範例顯示如何針對單一成員帳戶啟用 GuardDuty起始的惡意程式碼掃描。若要停用，請使用 false 取代 true。

要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

注意

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

針對透過邀請管理的組織中的現有帳戶啟用 GuardDuty開始的惡意程式碼掃描

必須在成員帳戶中建立 EC2 服務連結角色 (SLR) 的 GuardDuty 惡意軟體保護。管理員帳戶無法在不受管理的成員帳戶中啟用啟 GuardDuty動的惡意軟體掃描功能。 AWS Organizations

目前，您可以通過 https://console.aws.amazon.com/guardduty/ 的 GuardDuty 控制台執行以下步驟，以啟 GuardDuty用現有成員帳戶的惡意軟件掃描。

Console

1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

   使用您的系統管理員帳戶認證登入。

2. 在導覽窗格中，選擇帳戶。

3. 選取您要啟用 GuardDuty起始惡意程式碼掃描的成員帳戶。您可以一次選取多個帳戶。

4. 選擇動作。

5. 選擇取消關聯成員。

6. 在成員帳戶中，在導覽窗格的保護計畫下，選擇惡意軟體防護。

7. 選擇啟 GuardDuty動啟動的惡意程式碼掃描。 GuardDuty 將為會員帳戶建立單鏡反光相機。如需有關 SLR 的詳細資訊，請參閱適用於 EC2 惡意軟體防護的服務連結角色許可。

8. 在您的系統管理員帳戶中，選擇功能窗格上的 [帳戶]。

9. 選擇需要新增回組織的成員帳戶。

10. 選擇動作，然後選擇新增成員。

API/CLI

1. 使用管理員帳戶在要啟 GuardDuty用惡意軟件掃描的成員帳戶上運行 DisassociateMembersAPI。

2. 使用您的會員帳戶調用以啟UpdateDetector用啟 GuardDuty動的惡意軟件掃描。

   要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

3. 使用系統管理員帳戶執行 CreateMembersAPI，將成員新增回組織。