Como configurar as preferências de habilitação automática da organização - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar as preferências de habilitação automática da organização

O recurso de ativação automática da organização GuardDuty ajuda você a definir o mesmo GuardDuty status dos planos de proteção para contas ALL existentes ou NEW membros em sua organização, em uma única etapa. Da mesma forma, é possível especificar quando não se deseja realizar nenhuma ação nas contas de membros, selecionando NONE. As etapas a seguir explicam essas configurações e também indicam quando é necessário usar uma configuração específica.

Selecione um método de acesso preferencial para atualizar as preferências de habilitação automática da organização.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Para entrar, use as credenciais da conta de GuardDuty administrador.

  2. No painel de navegação, selecione Contas.

    A página Contas fornece opções de configuração para a conta do GuardDuty administrador ser ativada automaticamente GuardDuty e os planos de proteção opcionais em nome das contas membros que pertencem à organização.

  3. Para atualizar as configurações de habilitação automática em vigor, selecione Editar.

    Selecionar Editar para atualizar as preferências de ativação automática em nome das contas dos membros na organização.

    Esse suporte está disponível para configurar GuardDuty e todos os planos de proteção opcionais compatíveis em seu Região da AWS. Você pode selecionar uma das seguintes opções de configuração GuardDuty em nome de suas contas de membros:

    • Habilitar para todas as contas (ALL): selecionar para habilitar a respectiva opção para todas as contas em uma organização. Isso inclui novas contas que ingressam na organização e aquelas contas que podem ter sido suspensas ou removidas da organização. Isso também inclui a conta de GuardDuty administrador delegado.

      nota

      Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.

    • Ativação automática para novas contas (NEW) — Selecione para ativar GuardDuty ou ativar os planos de proteção opcionais somente para novas contas de membros automaticamente quando elas ingressarem na sua organização.

    • Não habilitar (NONE): selecionar para impedir a habilitação da respectiva opção para novas contas em sua organização. Nesse caso, a conta GuardDuty do administrador gerenciará cada conta individualmente.

      Ao atualizar a configuração de habilitar automática de ALL ou NEW para NONE, essa ação não desabilita a respectiva opção para suas contas existentes. Essa configuração será aplicada às novas contas que ingressam na organização. Depois de atualizar as configurações de habilitação automática, nenhuma nova conta terá a respectiva opção habilitada.

    nota

    Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (NEW) ou para todas as contas de membros (ALL), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra Contas no painel de navegação do GuardDuty console ou use a ListMembersAPI.

  4. Escolha Salvar alterações.

  5. (Opcional) caso queira usar as mesmas preferências em cada região, atualize suas preferências em cada uma das regiões atendidas separadamente.

    Alguns dos planos de proteção opcionais podem não estar disponíveis em todos os Regiões da AWS lugares GuardDuty disponíveis. Para obter mais informações, consulte Regiões e endpoints.

API/CLI

  1. Executar UpdateOrganizationConfigurationusando as credenciais da conta de GuardDuty administrador delegado, para configurar automaticamente planos GuardDuty de proteção opcionais nessa região para sua organização. Para obter informações sobre as várias configurações de ativação automática, consulte autoEnableOrganization Membros.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

    Para definir preferências de habilitação automática para qualquer um dos planos de proteção opcionais compatíveis em sua região, siga as etapas fornecidas nas seções de documentação correspondentes de cada plano de proteção.

  2. É possível validar as preferências da sua organização na região atual. Executar describeOrganizationConfiguration. Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado.

    nota

    Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.

  3. Como alternativa, execute o AWS CLI comando a seguir para definir as preferências a serem ativadas ou desativadas automaticamente GuardDuty nessa região para novas contas (NEW) que ingressam na organização, todas as contas (ALL) ou nenhuma das contas (NONE) na organização. Para obter mais informações, consulte autoEnableOrganizationMembros. Com base na sua preferência, talvez seja necessário substituir NEW por ALL ou NONE. Se você configurar o plano de proteção comALL, o plano de proteção também será habilitado para a conta de GuardDuty administrador delegado. Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado que gerencia a configuração da organização.

    Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. É possível validar as preferências da sua organização na região atual. Execute o AWS CLI comando a seguir usando o ID do detector da conta do GuardDuty administrador delegado.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(Recomendado) repita as etapas anteriores em cada região usando o ID delegado do detector da conta de GuardDuty administrador.

nota

Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (NEW) ou para todas as contas de membros (ALL), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra Contas no painel de navegação do GuardDuty console ou use a ListMembersAPI.