Habilitar el análisis de malware iniciado por GuardDuty en entornos de varias cuentas - Amazon GuardDuty
Establecimiento de un acceso confiable para permitir el análisis de malware iniciado por GuardDuty

Habilitar el análisis de malware iniciado por GuardDuty en entornos de varias cuentas

En un entorno de varias cuentas, solo la cuenta de administrador de GuardDuty puede habilitar el análisis de malware iniciado por GuardDuty en nombre de sus cuentas de miembro. Además, una cuenta de administrador que administra las cuentas de miembro con compatibilidad con AWS Organizations puede elegir que se habilite automáticamente el análisis de malware iniciado por GuardDuty en todas las cuentas existentes y nuevas en la organización. Para obtener más información, consulte Administración de cuentas de GuardDuty con AWS Organizations.

Establecimiento de un acceso confiable para permitir el análisis de malware iniciado por GuardDuty

Si la cuenta de administrador delegado de GuardDuty no es la misma que la cuenta de administración en la organización, la cuenta de administración debe habilitar el análisis de malware iniciado por GuardDuty para su organización. De esta forma, la cuenta de administrador delegado puede crear los Permisos de rol vinculado al servicio para Malware Protection for EC2 en las cuentas de miembro que se administran mediante AWS Organizations.

nota

Antes de designar una cuenta de administrador delegado de GuardDuty, consulte Recomendaciones y consideraciones.

Elija el método de acceso que prefiera para permitir que la cuenta de administrador delegado de GuardDuty habilite el análisis de malware iniciado por GuardDuty para las cuentas de miembro en la organización.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice la cuenta de administración de su organización de AWS Organizations.

    1. Si no ha designado una cuenta de administrador delegado de GuardDuty, entonces:

      En la página Configuración, en cuenta de administrador delegado de GuardDuty, ingrese los 12 dígitos del account ID que desee designar para administrar la política de GuardDuty en la organización. Elija Delegar.

      1. Si ya designó una cuenta de administrador delegado de GuardDuty diferente de la cuenta de administración, entonces:

        En la página Configuración, en Administrador delegado, active la configuración Permisos. Esta acción permitirá a la cuenta de administrador delegado de GuardDuty asociar permisos relevantes a las cuentas de miembro y habilitar el análisis de malware iniciado por GuardDuty en esas cuentas de miembro.

      2. Si ya ha designado una cuenta de administrador delegado de GuardDuty igual a la cuenta de administración, entonces puede habilitar directamente el análisis de malware iniciado por GuardDuty para las cuentas de miembro. Para obtener más información, consulte Habilitación automática del análisis de malware iniciado por GuardDuty para todas las cuentas de miembros.

      sugerencia

      Si la cuenta de administrador delegado de GuardDuty es diferente de la cuenta de administración, debe otorgar permisos a la cuenta de administrador delegado de GuardDuty para permitir la habilitación del análisis de malware iniciado por GuardDuty para las cuentas de miembro.

  3. Si desea permitir que la cuenta de administrador delegado de GuardDuty habilite el análisis de malware iniciado por GuardDuty para cuentas de miembro en otras regiones, cambie la Región de AWS y repita los pasos anteriores.

API/CLI

  1. Con sus credenciales de la cuenta de administración, ejecute el siguiente comando:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Opcional) para habilitar el análisis de malware iniciado por GuardDuty para la cuenta de administración que no es una cuenta de administrador delegado, la cuenta de administración primero creará los Permisos de rol vinculado al servicio para Malware Protection for EC2 explícitamente en su cuenta y luego habilitará el análisis de malware iniciado por GuardDuty desde la cuenta de administrador delegado, de manera similar a cualquier otra cuenta de miembro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. Ha designado la cuenta de administrador delegado de GuardDuty en la Región de AWS actualmente seleccionada. Si ha designado una cuenta como cuenta de administrador delegado de GuardDuty en una región, esa cuenta deberá ser la cuenta de administrador delegado de GuardDuty en todas las demás regiones. Repita el paso anterior para el resto de las regiones.

Elija el método de acceso que prefiera para habilitar o desactivar el análisis de malware iniciado por GuardDuty para una cuenta de administrador delegado de GuardDuty.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Protección contra malware para EC2.

  3. En la página Protección contra malware para EC2, seleccione Editar junto a Análisis de malware iniciado por GuardDuty.

  4. Realice una de las siguientes acciones:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las cuentas de GuardDuty activas de su organización de AWS, lo que incluye las nuevas cuentas que se unan a la organización.

    • Seleccione Save.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de administrador delegado de GuardDuty, elija Configurar cuentas manualmente.

    • Elija Habilitar en la sección Cuenta de administrador delegado de GuardDuty (esta cuenta).

    • Seleccione Save.

API/CLI

Ejecute la operación de la API updateDetector con el ID del detector regional propio y transmita el features del objeto name como EBS_MALWARE_PROTECTION y status como ENABLED.

Para habilitar el análisis de malware iniciado por GuardDuty, puede ejecutar el siguiente comando de la AWS CLI. Asegúrese de utilizar el ID de detector válido de la cuenta de administrador delegado de GuardDuty.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la característica de análisis de malware iniciada por GuardDuty en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. Realice una de las siguientes acciones:

    Utilizar la página de Protección contra malware para EC2

    1. En el panel de navegación, elija Protección contra malware para EC2.

    2. En la página Protección contra malware para EC2, elija Editar en la sección Análisis de malware iniciado por GuardDuty.

    3. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente el análisis de malware iniciado por GuardDuty para las cuentas existentes y nuevas de la organización.

    4. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Análisis de malware iniciado por GuardDuty.

    4. En la página Malware Protection for EC2, elija Editar en la sección Análisis de malware iniciado por GuardDuty.

    5. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente el análisis de malware iniciado por GuardDuty para las cuentas existentes y nuevas de la organización.

    6. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Análisis de malware iniciado por GuardDuty.

    4. Seleccione Save.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitar de forma selectiva del análisis de malware iniciado por GuardDuty para las cuentas de miembro.

API/CLI

  • Para activar de forma selectiva el análisis de malware iniciado por GuardDuty para las cuentas de miembro, invoque la operación de la API updateMemberDetectors con el ID de detector propio.

  • El siguiente ejemplo muestra cómo se puede habilitar el análisis de malware iniciado por GuardDuty para una sola cuenta de miembro. Para deshabilitar una cuenta de miembro, sustituya ENABLED por DISABLED.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar el análisis de malware iniciado por GuardDuty en todas las cuentas de miembros activos existentes en la organización.

Configuración del análisis de malware iniciado por GuardDuty en todas las cuentas de miembros activos existentes

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. En el panel de navegación, elija Malware Protection for EC2.

  3. En Malware Protection for EC2, puede ver el estado actual de la configuración del Análisis de malware iniciado por GuardDuty. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Seleccione Save.

Las cuentas de miembro recién creadas deben Activar GuardDuty antes de seleccionar la configuración del análisis de malware iniciado por GuardDuty. Las cuentas de miembros administradas por invitación pueden configurar manualmente el análisis de malware iniciado por GuardDuty en sus cuentas. Para obtener más información, consulte Step 3 - Accept an invitation.

Elija su método de acceso preferido para habilitar el análisis de malware iniciado por GuardDuty en las cuentas nuevas que se unan a la organización.

Console

La cuenta de administrador delegado de GuardDuty puede habilitar el análisis de malware iniciado por GuardDuty para las nuevas cuentas de miembro en una organización, ya sea a través de la página Malware Protection for EC2 o la página Cuentas.

Habilitación automática del análisis de malware iniciado por GuardDuty para las cuentas de miembro nuevas

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. Realice una de las siguientes acciones:

    • Utilizar la página Malware Protection for EC2:

      1. En el panel de navegación, elija Malware Protection for EC2.

      2. En la página Malware Protection for EC2, elija Editar en Análisis de malware iniciado por GuardDuty.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que, cada vez que una nueva cuenta se una a su organización, el análisis de malware iniciado por GuardDuty se habilite automáticamente para la cuenta. Solo la cuenta de administrador delegado de GuardDuty de la organización puede modificar esta configuración.

      5. Seleccione Save.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las cuentas nuevas en Análisis de malware iniciado por GuardDuty.

      4. Seleccione Save.

API/CLI

  • Para activar o desactivar el análisis de malware iniciado por GuardDuty para las cuentas de miembro nuevas, invoque la operación de la API UpdateOrganizationConfiguration con su propio ID de detector.

  • El siguiente ejemplo muestra cómo se puede habilitar el análisis de malware iniciado por GuardDuty para una sola cuenta de miembro. Para deshabilitar esta característica, consulte Habilitar de forma selectiva del análisis de malware iniciado por GuardDuty para las cuentas de miembro. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca AutoEnable en NONE.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para configurar el análisis de malware iniciado por GuardDuty para cuentas de miembros de forma selectiva.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Cuentas.

  3. En la página Cuentas, consulte la columna Análisis de malware iniciado por GuardDuty para ver el estado de su cuenta de miembro.

  4. Seleccione la cuenta en la que desea configurar el análisis de malware iniciado por GuardDuty. Puede seleccionar varias cuentas de manera simultánea.

  5. En el menú Editar planes de protección, elija la opción adecuada para el Análisis de malware iniciado por GuardDuty.

API/CLI

Para activar o desactivar de forma selectiva el análisis de malware iniciado por GuardDuty para las cuentas de miembros, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

El siguiente ejemplo muestra cómo se puede habilitar el análisis de malware iniciado por GuardDuty para una sola cuenta de miembro.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Para habilitar de forma selectiva el análisis de malware iniciado por GuardDuty para las cuentas de miembro, ejecute la operación de la API updateMemberDetectors con el ID de detector propio. El siguiente ejemplo muestra cómo se puede habilitar el análisis de malware iniciado por GuardDuty para una sola cuenta de miembro.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

El rol vinculado al servicio (SLR) de Malware Protection for EC2 de GuardDuty se debe crear en las cuentas de miembro. La cuenta de administrador no puede habilitar la característica de análisis de malware iniciada por GuardDuty en las cuentas de miembro que no sean administradas por AWS Organizations.

Actualmente, puede seguir estos pasos a través de la consola de GuardDuty en https://console.aws.amazon.com/guardduty/ para habilitar el análisis de malware iniciado por GuardDuty en las cuentas de miembros existentes.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta de administrador.

  2. En el panel de navegación, elija Cuentas.

  3. Seleccione la cuenta de miembro en la que desee habilitar el análisis de malware iniciado por GuardDuty. Puede seleccionar varias cuentas de manera simultánea.

  4. Elija Acciones.

  5. Seleccione Desasociar miembro.

  6. En su cuenta de miembro, seleccione Protección contra malware en Planes de protección, en el panel de navegación.

  7. Elija Habilitar análisis de malware iniciado por GuardDuty. GuardDuty creará un SLR para la cuenta de miembro. Para obtener más información sobre los SLR, consulte Permisos de rol vinculado al servicio para Malware Protection for EC2.

  8. En la cuenta de administrador, elija Cuentas en el panel de navegación.

  9. Elija la cuenta de miembro que debe volver a agregarse a la organización.

  10. Seleccione Acciones y Agregar miembro.

API/CLI

  1. Utilice la cuenta de administrador para ejecutar la API DisassociateMembers en las cuentas de miembro que desean habilitar el análisis de malware iniciado por GuardDuty.

  2. Utilice su cuenta de miembro para invocar UpdateDetector y activar el análisis de malware iniciado por GuardDuty.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Utilice la cuenta de administrador para ejecutar la API CreateMembers y volver a agregar al miembro a la organización.