View a markdown version of this page

Habilitar la detección de GuardDuty-initiated malware en entornos con varias cuentas - Amazon GuardDuty
Establecer un acceso confiable para permitir la detección de GuardDuty-initiated malware

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la detección de GuardDuty-initiated malware en entornos con varias cuentas

En un entorno con varias cuentas, solo las cuentas de GuardDuty administrador pueden habilitar la detección de GuardDuty-initiated malware en nombre de las cuentas de sus miembros. Además, una cuenta de administrador que gestione las cuentas de los miembros con AWS Organizations soporte técnico puede optar por activar automáticamente la detección de GuardDuty-initiated malware en todas las cuentas nuevas y existentes de la organización. Para obtener más información, consulte Administrar GuardDuty cuentas con AWS Organizations.

Establecer un acceso confiable para permitir la detección de GuardDuty-initiated malware

Si la cuenta de administrador GuardDuty delegado no es la misma que la cuenta de administración de su organización, la cuenta de administración debe habilitar la detección de GuardDuty-initiated malware en su organización. De esta forma, la cuenta de administrador delegado puede crear las cuentas de Service-linked permisos de rol para Malware Protection for EC2 los miembros mediante las que se administran. AWS Organizations

nota

Antes de designar una cuenta de GuardDuty administrador delegado, consulte. Recomendaciones y consideraciones

Elija el método de acceso que prefiera para permitir que la cuenta de GuardDuty administrador delegado pueda detectar las cuentas de los miembros de la organización mediante GuardDuty-initiated software malicioso.

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Para iniciar sesión, utilice la cuenta de administración de su AWS Organizations organización.

    1. Si no ha designado una cuenta de GuardDuty administrador delegado, entonces:

      En la página de configuración, en la sección Cuenta de GuardDuty administrador delegado, introduzca los 12 dígitos account ID que desee designar para administrar la GuardDuty política en su organización. Elija Delegar.

      1. Si ya ha designado una cuenta de GuardDuty administrador delegado diferente de la cuenta de administración, haga lo siguiente:

        En la página Configuración, en Administrador delegado, active la configuración Permisos. Esta acción permitirá a la cuenta de GuardDuty administrador delegado adjuntar los permisos pertinentes a las cuentas de los miembros y permitir la detección de GuardDuty-initiated malware en estas cuentas de los miembros.

      2. Si ya has designado una cuenta de GuardDuty administrador delegado que sea igual a la cuenta de administración, puedes activar directamente la detección de GuardDuty-initiated malware en las cuentas de los miembros. Para obtener más información, consulte Auto-enable GuardDuty-initiated escanea todas las cuentas de los miembros con malware.

      sugerencia

      Si la cuenta de GuardDuty administrador delegado es diferente de tu cuenta de administración, debes proporcionar permisos a la cuenta de GuardDuty administrador delegado para permitir la detección de GuardDuty-initiated malware en las cuentas de los miembros.

  3. Si quieres permitir que la cuenta de GuardDuty administrador delegado habilite la detección de GuardDuty-initiated malware para detectar cuentas de miembros en otras regiones, cambia la tuya Región de AWS y repite los pasos anteriores.

API/CLI

  1. Con sus credenciales de la cuenta de administración, ejecute el siguiente comando:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Opcional) Para habilitar la detección de GuardDuty-initiated malware en la cuenta de administración que no sea una cuenta de administrador delegado, la cuenta de administración la creará primero de Service-linked permisos de rol para Malware Protection for EC2 forma explícita en su cuenta y, a continuación, habilitará la detección de GuardDuty-initiated malware desde la cuenta de administrador delegado, de forma similar a la de cualquier otra cuenta de miembro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. Ha designado la cuenta de GuardDuty administrador delegado en la cuenta actualmente seleccionada. Región de AWS Si ha designado una cuenta como cuenta de GuardDuty administrador delegado en una región, esa cuenta debe ser su cuenta de GuardDuty administrador delegado en todas las demás regiones. Repita el paso anterior para el resto de las regiones.

Elija el método de acceso que prefiera para activar o desactivar la detección de GuardDuty-initiated malware en una cuenta de GuardDuty administrador delegado.

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En la página Protección contra malware para EC2, seleccione Editar junto al análisis de GuardDuty-initiated malware.

  4. Realice una de las siguientes acciones:

    Utilización Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

    • Seleccione Save.

    Utilización Configure las cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Save.

API/CLI

Ejecute la operación de la API updateDetector con el ID del detector regional propio y transmita el features del objeto name como EBS_MALWARE_PROTECTION y status como ENABLED.

Puede activar la detección de GuardDuty-initiated malware ejecutando el siguiente AWS CLI comando. Asegúrese de utilizar una cuenta de GuardDuty administrador delegado válidadetector ID.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la función de escaneo de GuardDuty-initiated malware en todas las cuentas de los miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    Uso de Malware Protection for EC2 page

    1. En el panel de navegación, elija Malware Protection for EC2.

    2. En la página Protección contra malware para EC2, seleccione Editar en la sección de análisis de GuardDuty-initiated malware.

    3. Elija Habilitar para todas las cuentas. Esta acción permite detectar automáticamente el GuardDuty-initiated malware de las cuentas existentes y nuevas de la organización.

    4. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de Cuentas page

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, selecciona Auto-enabletus preferencias antes de Añadir cuentas por invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas objeto de análisis de GuardDuty-initiated malware.

    4. En la página Protección contra malware para EC2, seleccione Editar en la sección de análisis de GuardDuty-initiated malware.

    5. Elija Habilitar para todas las cuentas. Esta acción permite detectar automáticamente el GuardDuty-initiated malware de las cuentas existentes y nuevas de la organización.

    6. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de Cuentas page

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, selecciona Auto-enabletus preferencias antes de Añadir cuentas por invitación.

    3. En la ventana Administrar preferencias de activación automática, selecciona Activar para todas las cuentas objeto de análisis de GuardDuty-initiated malware.

    4. Seleccione Save.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilita de forma selectiva el análisis de GuardDuty-initiated malware para las cuentas de los miembros.

API/CLI

  • Para activar de forma selectiva la detección de GuardDuty-initiated malware en las cuentas de sus miembros, invoque la operación de la updateMemberDetectorsAPI con la suya propia. detector ID

  • En el siguiente ejemplo, se muestra cómo se puede activar la detección de GuardDuty-initiated malware en una cuenta de un solo miembro. Para deshabilitar una cuenta de miembro, sustituya ENABLED por DISABLED.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elige el método de acceso que prefieras para activar el análisis de GuardDuty-initiated malware de todas las cuentas de miembros activos existentes en la organización.

Para configurar el análisis de GuardDuty-initiated malware para todas las cuentas de miembros activas existentes

  1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En Malware Protection for EC2, puede ver el estado actual de la configuración del análisis de GuardDuty-initiated malware. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Seleccione Save.

Las cuentas de los miembros recién agregadas deben habilitarse GuardDuty antes de seleccionar la configuración del análisis de GuardDuty-initiated malware. Las cuentas de los miembros gestionadas mediante invitación pueden configurar manualmente la detección de GuardDuty-initiated malware para sus cuentas. Para obtener más información, consulte Step 3 - Accept an invitation.

Elija el método de acceso que prefiera para activar la detección de GuardDuty-initiated malware en busca de nuevas cuentas que se unan a su organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar la detección de GuardDuty-initiated malware para detectar nuevas cuentas de miembros en una organización mediante la página Protección contra malware para EC2 o la página Cuentas.

Para habilitar automáticamente el análisis de GuardDuty-initiated malware para nuevas cuentas de miembros

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    • Utilizar la página Malware Protection for EC2:

      1. En el panel de navegación, elija Malware Protection for EC2.

      2. En la página Protección contra malware para EC2, seleccione Editar en el análisis de GuardDuty-initiated malware.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se incorpore a su organización, se habilite automáticamente el análisis de GuardDuty-initiated malware para esa cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Save.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Auto-enablelas preferencias.

      3. En la ventana Administrar preferencias de activación automática, selecciona Habilitar cuentas nuevas bajo análisis de GuardDuty-initiated malware.

      4. Seleccione Save.

API/CLI

  • Para activar o desactivar la detección de GuardDuty-initiated malware en las cuentas de nuevos miembros, invoca la operación de la UpdateOrganizationConfigurationAPI con la tuya propia. detector ID

  • En el siguiente ejemplo, se muestra cómo se puede activar la detección de GuardDuty-initiated malware en una cuenta de un solo miembro. Para deshabilitar esta característica, consulte Habilita de forma selectiva el análisis de GuardDuty-initiated malware para las cuentas de los miembros. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca AutoEnable en NONE.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para configurar el análisis de GuardDuty-initiated malware de las cuentas de los miembros de forma selectiva.

Console

  1. Abre la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija Cuentas.

  3. En la página de cuentas, consulta la columna de análisis de GuardDuty-initiated malware para ver el estado de tu cuenta de miembro.

  4. Seleccione la cuenta para la que desee configurar el análisis de GuardDuty-initiated malware. Puede seleccionar varias cuentas de manera simultánea.

  5. En el menú Editar planes de protección, elija la opción adecuada para el análisis de GuardDuty-initiated malware.

API/CLI

Para activar o desactivar de forma selectiva el análisis de GuardDuty-initiated malware en las cuentas de sus miembros, invoque la operación de la updateMemberDetectorsAPI con la suya propia. detector ID

En el siguiente ejemplo, se muestra cómo se puede activar la detección de GuardDuty-initiated malware en una cuenta de un solo miembro.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Para activar de forma selectiva el análisis de GuardDuty-initiated malware en tus cuentas de miembros, ejecuta la operación de la updateMemberDetectorsAPI con la tuya propia. detector ID En el siguiente ejemplo, se muestra cómo se puede activar la detección de GuardDuty-initiated malware en una cuenta de un solo miembro.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

La función vinculada al servicio (SLR) de protección contra GuardDuty malware para EC2 debe crearse en las cuentas de los miembros. La cuenta de administrador no puede habilitar la función de detección de GuardDuty-initiated malware en las cuentas de los miembros que no estén administradas por. AWS Organizations

Actualmente, puedes realizar los siguientes pasos a través de la GuardDuty consola https://console.aws.amazon.com/guardduty/para activar la detección de GuardDuty-initiated malware en las cuentas de los miembros existentes.

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta de administrador.

  2. En el panel de navegación, elija Cuentas.

  3. Seleccione la cuenta de miembro para la que desea activar el análisis de GuardDuty-initiated malware. Puede seleccionar varias cuentas de manera simultánea.

  4. Elija Acciones.

  5. Seleccione Desasociar miembro.

  6. En su cuenta de miembro, seleccione Protección contra malware en Planes de protección, en el panel de navegación.

  7. Selecciona Activar el análisis de GuardDuty-initiated malware. GuardDuty creará una cámara réflex para la cuenta del miembro. Para obtener más información sobre los SLR, consulte Service-linked permisos de rol para Malware Protection for EC2.

  8. En la cuenta de administrador, elija Cuentas en el panel de navegación.

  9. Elija la cuenta de miembro que debe volver a agregarse a la organización.

  10. Seleccione Acciones y Agregar miembro.

API/CLI

  1. Utilice la cuenta de administrador para ejecutar la DisassociateMembersAPI en las cuentas de los miembros que deseen habilitar la detección de GuardDuty-initiated malware.

  2. Utilice su cuenta de miembro para invocar y UpdateDetectoractivar el análisis de GuardDuty-initiated malware.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Utilice la cuenta de administrador para ejecutar la API CreateMembers y volver a agregar al miembro a la organización.