Habilitar el escaneo GuardDuty de malware iniciado en entornos con varias cuentas - Amazon GuardDuty
Establecer un acceso confiable para permitir la detección GuardDuty de malware iniciada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar el escaneo GuardDuty de malware iniciado en entornos con varias cuentas

En un entorno con varias cuentas, solo las cuentas de GuardDuty administrador pueden habilitar el análisis de malware GuardDuty iniciado por ellos en nombre de las cuentas de sus miembros. Además, una cuenta de administrador que gestione las cuentas de los miembros con AWS Organizations asistencia técnica puede optar por activar automáticamente la detección de malware GuardDuty iniciada en todas las cuentas nuevas y existentes de la organización. Para obtener más información, consulte Administrar GuardDuty cuentas con AWS Organizations.

Establecer un acceso confiable para permitir la detección GuardDuty de malware iniciada

Si la cuenta de administrador GuardDuty delegado no es la misma que la cuenta de administración de su organización, la cuenta de administración debe habilitar el análisis GuardDuty de malware iniciado por la organización. De esta forma, la cuenta de administrador delegado puede crear las cuentas de los miembros Permisos de rol vinculados al servicio para Malware Protection para EC2 mediante las que se administran. AWS Organizations

nota

Antes de designar una cuenta de GuardDuty administrador delegado, consulte. Recomendaciones y consideraciones

Elija el método de acceso que prefiera para permitir que la cuenta de GuardDuty administrador delegado GuardDuty habilite el análisis de malware iniciado para detectar las cuentas de los miembros de la organización.

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Para iniciar sesión, utilice la cuenta de administración de su AWS Organizations organización.

    1. Si no ha designado una cuenta de GuardDuty administrador delegado, entonces:

      En la página de configuración, en la sección Cuenta de GuardDuty administrador delegado, introduzca los 12 dígitos account ID que desee designar para administrar la GuardDuty política en su organización. Elija Delegar.

      1. Si ya ha designado una cuenta de GuardDuty administrador delegado diferente de la cuenta de administración, haga lo siguiente:

        En la página Configuración, en Administrador delegado, active la configuración Permisos. Esta acción permitirá a la cuenta de GuardDuty administrador delegado adjuntar los permisos pertinentes a las cuentas de los miembros y habilitar la detección de malware GuardDuty iniciada en dichas cuentas de miembros.

      2. Si ya has designado una cuenta de GuardDuty administrador delegado que sea igual a la cuenta de administración, puedes activar directamente la detección de malware GuardDuty iniciada por terceros en las cuentas de los miembros. Para obtener más información, consulte Habilite automáticamente el análisis GuardDuty de malware iniciado por usted en todas las cuentas de los miembros.

      sugerencia

      Si la cuenta de GuardDuty administrador delegado es diferente de tu cuenta de administración, debes proporcionar permisos a la cuenta de GuardDuty administrador delegado para permitir la detección de malware GuardDuty iniciada por software malicioso en las cuentas de los miembros.

  3. Si quieres permitir que la cuenta de GuardDuty administrador delegado active la detección de cuentas de miembros GuardDuty de otras regiones iniciada por software malicioso, cámbiala y repite los pasos Región de AWS anteriores.

API/CLI

  1. Con sus credenciales de la cuenta de administración, ejecute el siguiente comando:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Opcional) Para habilitar la detección de malware GuardDuty iniciada para la cuenta de administración que no sea una cuenta de administrador delegado, la cuenta de administración primero creará la detección de malware de Permisos de rol vinculados al servicio para Malware Protection para EC2 forma explícita en su cuenta y, a continuación, habilitará la detección de malware GuardDuty iniciada desde la cuenta de administrador delegado, de forma similar a la de cualquier otra cuenta de miembro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. Ha designado la cuenta de GuardDuty administrador delegado en la cuenta actualmente seleccionada. Región de AWS Si ha designado una cuenta como cuenta de GuardDuty administrador delegado en una región, esa cuenta debe ser su cuenta de GuardDuty administrador delegado en todas las demás regiones. Repita el paso anterior para el resto de las regiones.

Elija el método de acceso que prefiera para activar o desactivar el análisis GuardDuty de malware iniciado por una cuenta de administrador delegado GuardDuty .

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de administración.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En la EC2 página Protección contra malware para, selecciona Editar junto a la exploración GuardDuty de malware iniciada.

  4. Realice una de las siguientes acciones siguientes:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las cuentas nuevas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

Ejecute la updateDetectorAPIutilice su propio identificador de detector regional y pase el features objeto name tal EBS_MALWARE_PROTECTION y status comoENABLED.

Puede activar el análisis GuardDuty de malware iniciado mediante la ejecución del siguiente AWS CLI comando. Asegúrese de utilizar una cuenta de GuardDuty administrador delegado válida detector ID.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Elige tu método de acceso preferido para activar la función de detección de malware GuardDuty iniciada en todas las cuentas de los miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    Uso de la página Protección contra malware para EC2

    1. En el panel de navegación, elija Malware Protection for EC2.

    2. En la EC2 página Protección contra malware para, seleccione Editar en la sección GuardDutyde análisis de malware iniciado.

    3. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente el análisis GuardDuty de malware iniciado para detectar tanto las cuentas existentes como las nuevas de la organización.

    4. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas sometidas a un análisis GuardDutyde malware iniciado.

    4. En la EC2 página Protección contra malware, selecciona Editar en la sección de análisis GuardDutyde malware iniciado.

    5. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente el análisis GuardDuty de malware iniciado para detectar tanto las cuentas existentes como las nuevas de la organización.

    6. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas sometidas a un análisis GuardDutyde malware iniciado.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilite de forma selectiva el análisis de malware GuardDuty iniciado desde cero para las cuentas de los miembros.

API/CLI

  • Para activar de forma selectiva el análisis GuardDuty de malware iniciado por los usuarios en sus cuentas de miembros, invoque la updateMemberDetectorsAPIoperación utilizando la suya propia detector ID.

  • En el siguiente ejemplo, se muestra cómo se puede activar la GuardDuty detección de malware iniciada en una cuenta de un solo miembro. Para deshabilitar una cuenta de miembro, sustituya ENABLED por DISABLED.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elige el método de acceso que prefieras para activar el análisis GuardDuty de malware iniciado en todas las cuentas de miembros activos existentes en la organización.

Para configurar el análisis GuardDuty de malware iniciado para todas las cuentas de miembros activas existentes

  1. Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En la sección Protección contra malware de EC2, puede ver el estado actual de la configuración de análisis GuardDutyde malware iniciada. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Seleccione Guardar.

Las cuentas de los miembros recién agregadas deben habilitarse GuardDuty antes de seleccionar la configuración del análisis GuardDuty de malware iniciado. Las cuentas de los miembros gestionadas mediante invitación pueden configurar manualmente la detección GuardDuty de malware iniciada para sus cuentas. Para obtener más información, consulte Step 3 - Accept an invitation.

Elija el método de acceso que prefiera para activar la detección de malware GuardDuty iniciada en busca de nuevas cuentas que se unan a su organización.

Console

La cuenta de GuardDuty administrador delegado puede activar el análisis GuardDuty de malware iniciado para detectar nuevas cuentas de miembros en una organización mediante la página Protección contra malware EC2 o la página Cuentas.

Para habilitar automáticamente el análisis GuardDuty de malware iniciado para las cuentas de nuevos miembros

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    • Uso de la EC2 página de protección contra malware:

      1. En el panel de navegación, elija Malware Protection for EC2.

      2. En la EC2 página Protección contra malware para, seleccione Editar en el análisis GuardDutyde malware iniciado.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se incorpore a tu organización, el análisis de malware GuardDuty iniciado se active automáticamente en esa cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Accounts (Cuentas).

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de activación automática, selecciona Habilitar cuentas nuevas en el marco de un análisis GuardDutyde malware iniciado.

      4. Seleccione Guardar.

API/CLI

  • Para activar o desactivar la detección de malware GuardDuty iniciada por una cuenta de nuevos miembros, invoca la UpdateOrganizationConfigurationAPIoperación utilizando la suya propia detector ID.

  • En el siguiente ejemplo, se muestra cómo se puede activar la GuardDuty detección de malware iniciada en una cuenta de un solo miembro. Para deshabilitar esta característica, consulte Habilite de forma selectiva el análisis de malware GuardDuty iniciado desde cero para las cuentas de los miembros. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca AutoEnable en NONE.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para configurar de forma selectiva el análisis GuardDuty de malware iniciado para las cuentas de los miembros.

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. En la página de cuentas, consulta la columna GuardDutyde análisis de malware iniciada para ver el estado de tu cuenta de miembro.

  4. Seleccione la cuenta para la que desee configurar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea.

  5. En el menú Editar planes de protección, elija la opción adecuada para GuardDutyiniciar el análisis de malware.

API/CLI

Para activar o desactivar de forma selectiva el análisis GuardDuty de malware iniciado en las cuentas de sus miembros, invoque la updateMemberDetectorsAPIoperación utilizando la suya propia detector ID.

En el siguiente ejemplo, se muestra cómo se puede activar la GuardDuty detección de malware iniciada en una cuenta de un solo miembro.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Para activar de forma selectiva la GuardDuty detección de malware iniciada en las cuentas de sus miembros, ejecute el updateMemberDetectorsAPIoperación utilizando la suya propia detector ID. En el siguiente ejemplo, se muestra cómo se puede activar la GuardDuty detección de malware iniciada en una cuenta de un solo miembro.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

La protección contra GuardDuty malware para el rol EC2 vinculado al servicio (SLR) debe crearse en las cuentas de los miembros. La cuenta de administrador no puede habilitar la función de análisis GuardDuty de malware iniciada en las cuentas de los miembros que no estén administradas por. AWS Organizations

En este momento, puede realizar los siguientes pasos a través de la GuardDuty consola https://console.aws.amazon.com/guardduty/para activar el análisis GuardDuty de malware iniciado en las cuentas de los miembros existentes.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Inicie sesión con las credenciales de su cuenta de administrador.

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. Seleccione la cuenta de miembro para la que desee activar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea.

  4. Elija Actions.

  5. Seleccione Desasociar miembro.

  6. En su cuenta de miembro, seleccione Protección contra malware en Planes de protección, en el panel de navegación.

  7. Selecciona Activar el análisis GuardDuty de malware iniciado por terceros. GuardDuty creará una SLR para la cuenta del miembro. Para obtener más información sobreSLR, consultePermisos de rol vinculados al servicio para Malware Protection para EC2.

  8. En la cuenta de su cuenta de administrador, seleccione Cuentas en el panel de navegación.

  9. Elija la cuenta de miembro que debe volver a agregarse a la organización.

  10. Seleccione Acciones y Agregar miembro.

API/CLI

  1. Utilice la cuenta de administrador para ejecutar DisassociateMembersAPIen las cuentas de los miembros que quieran activar el análisis GuardDuty de malware iniciado.

  2. Utilice su cuenta de miembro para invocar UpdateDetectorpara habilitar el análisis GuardDuty de malware iniciado por primera vez.

    Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectors API.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Utilice la cuenta de administrador para ejecutar el CreateMembersAPIpara volver a añadir al miembro a la organización.