Como habilitar a varredura de malware iniciada pelo GuardDuty em ambientes com várias contas - Amazon GuardDuty

Como habilitar a varredura de malware iniciada pelo GuardDuty em ambientes com várias contas

Em um ambiente de várias contas, somente a conta de administrador do GuardDuty pode habilitar a verificação de malware iniciada pelo GuardDuty em nome de suas contas de membros. Além disso, uma conta de administrador que gerencia as contas de membros compatível com AWS Organizations podem optar por habilitar automaticamente a verificação de malware iniciada pelo GuardDuty em todas as contas novas e existentes na organização. Para obter mais informações, consulte Como gerenciar contas do GuardDuty com o AWS Organizations.

Como estabelecer o acesso confiável para permitir a verificação de malware iniciada pelo GuardDuty

Caso a conta do administrador delegado do GuardDuty não seja a mesma que a conta de gerenciamento em sua organização, a conta de gerenciamento deverá ativar a verificação de malware iniciada pelo GuardDuty para sua organização. Dessa forma, a conta do administrador delegado pode criar as Permissões de função vinculada ao serviço para Proteção contra malware para EC2 nas contas de membros que são gerenciadas por meio do AWS Organizations.

nota

Antes de designar uma conta do administrador delegado do GuardDuty, consulte Considerações e recomendações.

Selecione o método de acesso de sua preferência para permitir que a conta do administrador do GuardDuty delegado ative a verificação de malware iniciada pelo GuardDuty para as contas de membros da organização.

Console
  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Para fazer login, use a conta de gerenciamento de sua organização da AWS Organizations.

    1. Caso não tenha designado uma conta de administrador delegado do GuardDuty, então:

      Na página Configurações, em conta do administrador delegado do GuardDuty, insira o account ID de 12 dígitos que deseja designar para administrar a política do GuardDuty em sua organização. Escolha Delegar.

      1. Caso já tenha designado uma conta de administrador delegado do GuardDuty que seja diferente da conta de gerenciamento, então:

        Na página Configurações, em Administrador delegado, ative a configuração Permissões. Essa ação permitirá que a conta de administrador delegado do GuardDuty anexe permissões relevantes às contas de membros e habilite a verificação de malware iniciada pelo GuardDuty nessas contas de membros.

      2. Caso já tenha designado uma conta de administrador delegado do GuardDuty que seja igual à conta de gerenciamento, então é possível habilitar diretamente a varredura de malware iniciada pelo GuardDuty para as contas dos membros. Para obter mais informações, consulte Habilite automaticamente a verificação de malware iniciada pelo GuardDuty para todas as contas-membro.

      dica

      Caso a conta do administrador do GuardDuty delegado seja diferente da sua conta de gerenciamento, é necessário fornecer permissões à conta do administrador do GuardDuty delegado para permitir a habilitação da varredura de malware iniciada pelo GuardDuty para as contas dos membros.

  2. Caso deseje permitir que a conta de administrador delegado do GuardDuty habilite a verificação de malware iniciada pelo GuardDuty para contas de membros em outras regiões, altere a sua Região da AWS e repita as etapas acima.

API/CLI
  1. Usando as credenciais da conta de gerenciamento, execute o seguinte comando:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
  2. Opcional) para habilitar a verificação de malware iniciada pelo GuardDuty para a conta de gerenciamento que não seja uma conta de administrador delegado, a conta de gerenciamento primeiro criará a Permissões de função vinculada ao serviço para Proteção contra malware para EC2 verificação explicitamente em sua conta e, em seguida, habilitará a verificação de malware iniciada pelo GuardDuty a partir da conta de administrador delegado, semelhante a qualquer outra conta de membro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
  3. O usuário designou a conta de administrador delegada do GuardDuty no arquivo Região da AWS atualmente selecionado. Caso tenha designado uma conta como conta delegada de administrador do GuardDuty em uma região, essa conta deverá se tornar a conta delegada de administrador do GuardDuty em todas as outras regiões. Repita a etapa acima para todas as outras regiões.

Selecione o método de acesso de sua preferência para habilitar ou desabilitar a verificação de malware iniciada pelo GuardDuty para uma conta de administrador delegado do GuardDuty.

Console
  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Certifique-se de usar as credenciais da conta de gerenciamento.

  2. No painel de navegação, selecione Proteção contra malware para o EC2.

  3. Na página Proteção contra malware para o EC2, selecione Editar ao lado de verificação de malware iniciada pelo GuardDuty.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas
    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as contas ativas do GuardDuty em sua organização da AWS, incluindo as novas contas que ingressarem na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente
    • Para habilitar o plano de proteção somente para a conta do administrador delegado do GuardDuty, selecione Configurar contas manualmente.

    • Selecione Habilitar na seção Conta do administrador delegado do GuardDuty (esta conta).

    • Escolha Salvar.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como EBS_MALWARE_PROTECTION e status como ENABLED.

Pode-se habilitar a verificação de malware iniciada pelo GuardDuty executando o comando AWS CLI a seguir. Lembre-se de usar o ID de detector válido da conta do administrador delegado do GuardDuty.

Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 / --account-ids 555555555555 / --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o recurso de verificação de malware iniciado pelo GuardDuty para todas as contas-membro. Isso inclui contas-membro existentes e as novas contas que ingressam na organização.

Console
  1. Faça login no AWS Management Console e abra o console do GuardDuty em https://console.aws.amazon.com/guardduty/.

    Lembre-se de usar as credenciais da conta do administrador delegado do GuardDuty.

  2. Execute um destes procedimentos:

    Página de Como usar Proteção contra malware para o EC2
    1. No painel de navegação, selecione Proteção contra malware para o EC2.

    2. Na página Proteção contra malware para o EC2, selecione Editar na seção Verificação de malware iniciada pelo GuardDuty.

    3. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente a verificação de malware iniciada pelo GuardDuty para contas existentes e novas na organização.

    4. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas
    1. No painel de navegação, escolha Accounts (Contas).

    2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Verificação de malware iniciada pelo GuardDuty.

    4. Na página Proteção contra malware para o EC2, selecione Editar na seção Verificação de malware iniciada pelo GuardDuty.

    5. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente a verificação de malware iniciada pelo GuardDuty para contas existentes e novas na organização.

    6. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas
    1. No painel de navegação, escolha Accounts (Contas).

    2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Verificação de malware iniciada pelo GuardDuty.

    4. Escolha Salvar.

    Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilitar seletivamente a varredura de malware iniciada pelo GuardDuty para contas de membros.

API/CLI
  • Para habilitar ou seletivamente a verificação de malware iniciada pelo GuardDuty para suas contas de membros, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar a verificação de malware iniciada pelo GuardDuty para uma conta de um único membro. Para desabilitar uma conta de membro, substitua ENABLED por DISABLED.

    Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a verificação de malware iniciada pelo GuardDuty para todas as contas-membro ativas existentes na organização.

Para configurar a verificação de malware iniciada pelo GuardDuty para todas as contas-membro ativas existentes
  1. Faça login no AWS Management Console e abra o console do GuardDuty em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta do administrador delegado do GuardDuty.

  2. No painel de navegação, selecione Proteção contra malware para o EC2.

  3. Em Proteção contra malware para o EC2, pode-se visualizar o status atual da configuração da verificação de malware iniciada pelo GuardDuty. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Escolha Salvar.

As contas-membro recém-adicionadas devem habilitar o GuardDuty antes de selecionar a configuração da verificação de malware iniciada pelo GuardDuty. As contas-membro gerenciadas por convite podem configurar manualmente a verificação de malware iniciada pelo GuardDuty para suas contas. Para obter mais informações, consulte Step 3 - Accept an invitation.

Escolha seu método de acesso preferido para habilitar a verificação de malware iniciada pelo GuardDuty para novas contas que ingressarem na sua organização.

Console

A conta do administrador delegado do GuardDuty pode habilitar a verificação de malware iniciada pelo GuardDuty para novas contas de membros em uma organização, usando as páginas Proteção contra malware para o EC2 ou Contas.

Para habilitar automaticamente a verificação de malware iniciada pelo GuardDuty para novas contas-membro
  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Lembre-se de usar as credenciais da conta do administrador delegado do GuardDuty.

  2. Execute um destes procedimentos:

    • Página de como usar a Proteção contra malware para o EC2:

      1. No painel de navegação, selecione Proteção contra malware para o EC2.

      2. Na página Proteção contra malware para o EC2, selecione Editar na verificação de malware iniciada pelo GuardDuty.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que, sempre que uma nova conta ingressar na sua organização, a verificação de malware iniciada pelo GuardDuty seja habilitada automaticamente em sua conta. Somente a organização da conta do administrador delegado do GuardDuty pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, escolha Accounts (Contas).

      2. Na página Contas, escolha Habilitar automaticamente as preferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Verificação de malware iniciada pelo GuardDuty.

      4. Escolha Salvar.

API/CLI
  • Para habilitar ou desabilitar a verificação de malware iniciada pelo GuardDuty para novas contas-membro, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

  • O exemplo a seguir mostra como você pode habilitar a verificação de malware iniciada pelo GuardDuty para uma conta de um único membro. Para desabilitá-lo, consulte Habilitar seletivamente a varredura de malware iniciada pelo GuardDuty para contas de membros. Se não quiser habilitá-lo para todas as novas contas que ingressarem na organização, defina AutoEnable como NONE.

    Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para configurar seletivamente a verificação de malware iniciada pelo GuardDuty para contas-membro.

Console
  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, escolha Accounts (Contas).

  3. Na página Contas, revise a coluna verificação de malware iniciada pelo GuardDuty para ver o status da sua conta de membro.

  4. Selecione a conta para a qual deseja configurar a verificação de malware iniciada pelo GuardDuty. Você pode selecionar várias contas ao mesmo tempo.

  5. No menu Editar planos de proteção, escolha a opção apropriada para a verificação de malware iniciada pelo GuardDuty.

API/CLI

Para habilitar ou desabilitar seletivamente a verificação de malware iniciada pelo GuardDuty para suas contas-membro, invoque a operação da API updateMemberDetectors usando seu próprio ID de detector.

O exemplo a seguir mostra como você pode habilitar a verificação de malware iniciada pelo GuardDuty para uma conta de um único membro.

Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Para habilitar seletivamente a verificação de malware iniciada pelo GuardDuty para suas contas de membros, execute a operação da API updateMemberDetectors usando seu próprio ID de detector. O exemplo a seguir mostra como você pode habilitar a verificação de malware iniciada pelo GuardDuty para uma conta de um único membro.

Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

A função vinculada ao serviço (SLR) do GuardDuty Proteção contra malware para o EC2 deve ser criada nas contas dos membros.. A conta de administrador não pode habilitar o recurso de varredura de malware iniciada pelo GuardDuty em contas de membros que não são gerenciadas pelo AWS Organizations.

Atualmente, você pode executar as etapas a seguir por meio do console do GuardDuty em https://console.aws.amazon.com/guardduty/ para habilitar a verificação de malware iniciada pelo GuardDuty para as contas-membro existentes.

Console
  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Faça login usando suas credenciais de conta do administrador.

  2. No painel de navegação, escolha Accounts (Contas).

  3. Selecione a conta-membro para a qual deseja habilitar a verificação de malware iniciada pelo GuardDuty. Você pode selecionar várias contas ao mesmo tempo.

  4. Escolha Ações.

  5. Selecione Desassociar membro.

  6. Na sua conta-membro, escolha Proteção contra malware em Planos de proteção no painel de navegação.

  7. Escolha Habilitar verificação de malware iniciado pelo GuardDuty. O GuardDuty criará uma SLR para a conta do membro. Para obter mais informações sobre a SLR, consulte Permissões de função vinculada ao serviço para Proteção contra malware para EC2.

  8. Na sua conta de administrador, selecione Contas no painel de navegação.

  9. Escolha a conta-membro que precisa ser adicionada novamente à organização.

  10. Escolha Ações e selecione Adicionar membro.

API/CLI
  1. Use a conta de administrador para executar a API DisassociateMembers nas contas de membros que desejam habilitar a verificação de malware iniciada pelo GuardDuty.

  2. Use sua conta-membro para invocar o UpdateDetector a fim de habilitar a verificação de malware iniciada pelo GuardDuty.

    Para encontrar o detectorId para a sua conta e região atual, consulte a página Configurações, no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
  3. Use a conta de administrador para executar a API CreateMembers e adicionar o membro de volta à organização.