配置 GuardDuty启动的恶意软件扫描 - Amazon GuardDuty
为独立 GuardDuty账户配置启动的恶意软件扫描在多 GuardDuty账户环境中配置启动的恶意软件扫描
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 GuardDuty启动的恶意软件扫描

为独立 GuardDuty账户配置启动的恶意软件扫描

对于与之关联的账户 Amazon Organizations,您可以通过控制台设置自动执行此过程,如下一节所述。

启用或禁用 GuardDuty启动的恶意软件扫描

选择您的首选访问方法,为独立账户配置 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的保护计划下,选择恶意软件防护

  3. 恶意软件防护窗格列出了对您的帐户 GuardDuty启动的恶意软件扫描的当前状态。您可以随时通过分别选择启用禁用,来启用或禁用扫描。

  4. 选择保存

API/CLI

  • 使用您自己的区域检测器 ID 运行 updateDetector API 操作,并在 EbsVolumes 设置为 truefalse 的情况下传递 dataSources 对象。

    您还可以运行以下 Amazon CLI 命令,使用 Amazon 命令行工具启用或禁用 GuardDuty启动的恶意软件扫描。务必使用您自己的有效检测器 ID

    注意

    以下示例代码启用 GuardDuty启动的恶意软件扫描。要将其禁用,请将 true 替换为 false

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

     aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'

在多 GuardDuty账户环境中配置启动的恶意软件扫描

在多账户环境中,只有 GuardDuty 管理员帐户可以配置 GuardDuty启动的恶意软件扫描。 GuardDuty 管理员帐户可以启用或禁用对其成员帐户使用 GuardDuty启动的恶意软件扫描。管理员帐户为成员帐户配置 GuardDuty了启动的恶意软件扫描后,该成员帐户将遵循管理员帐户的设置,并且无法通过控制台修改这些设置。 GuardDuty 在 Amazon Organizations 支持下管理其成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 使用管理 GuardDuty 账户 Amazon Organizations

建立可信访问权限以启用 GuardDuty启动的恶意软件扫描

如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同,则该管理帐户必须为其组织启用 GuardDuty启动的恶意软件扫描。这样,委派的管理员账户就可以创建通过其管理的成员账户 Amazon Organizations。恶意软件防护的服务相关角色权限

注意

在指定委派 GuardDuty 管理员帐户之前,请参阅注意事项和建议

选择您的首选访问方法,以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    要登录,请使用贵 Amazon Organizations 组织的管理帐户。

    1. 如果您尚未指定委派 GuardDuty 管理员账户,那么:

      “设置” 页面的委派 GuardDuty 管理员帐户下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字account ID。选择 Delegate(委派)

      1. 如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户,那么:

        设置页面的委托管理员下,打开权限设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限,并在这些成员账户中启用 GuardDuty启动的恶意软件扫描。

      2. 如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户,则可以直接为成员账户启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 为所有成员账户 GuardDuty启用自动启动的恶意软件扫描

      提示

      如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty启动的恶意软件扫描。

  3. 如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty启动的恶意软件扫描,请更改您的 Amazon Web Services 区域帐户并重复上述步骤。

API/CLI

  1. 使用您的管理账户凭证运行以下命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (可选)要对不是委派管理员帐户的管理账户启用 GuardDuty启动的恶意软件扫描,管理账户将首先在其账户中恶意软件防护的服务相关角色权限明确创建恶意软件扫描,然后从委托管理员帐户启用 GuardDuty启动的恶意软件扫描,类似于任何其他成员帐户。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在当前选定的中指定了委派 GuardDuty 管理员帐户 Amazon Web Services 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。

选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用或禁用 GuardDuty启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    确保使用管理账户凭证。

  2. 在导航窗格中,选择恶意软件防护

  3. 在 “恶意软件防护” 页面上,选择GuardDuty启动的恶意软件扫描旁边的编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递 nameEBS_MALWARE_PROTECTIONstatusENABLEDDISABLEDfeatures 对象。

您可以通过运行以下 Amazon CLI 命令来启用或禁用 GuardDuty启动的恶意软件扫描。确保使用委派 GuardDuty 管理员账户的有效检测器 ID

注意

以下示例代码启用 GuardDuty启动的恶意软件扫描。要将其禁用,请将 ENABLED 替换为 DISABLED

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

选择您的首选访问方式,为所有成员帐户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用恶意软件防护页面

    1. 在导航窗格中,选择恶意软件防护

    2. 在 “恶意软件防护” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    3. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

    4. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 在 “恶意软件防护” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    5. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

    6. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地启用或禁用对成员 GuardDuty帐户启动的恶意软件扫描

API/CLI

  • 要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的检测器 ID 调用 updateMemberDetectorsAPI 操作。

  • 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,对组织中所有现有活跃成员帐户启用 GuardDuty启动的恶意软件扫描。

为所有现有活跃成员账户配置 GuardDuty启动的恶意软件扫描

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择恶意软件防护

  3. 在 “恶意软件防护” 上,您可以查看GuardDuty启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择保存

在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation

选择您的首选访问方式,对加入组织的新帐户启用 GuardDuty启动的恶意软件扫描。

Console

委派的 GuardDuty 管理员帐户可以使用 “恶意软件防护” 或 “帐户” 页面,对组织中的新成员帐户启用 GuardDuty启动的恶意软件扫描。

自动启用对新成员 GuardDuty帐户启动的恶意软件扫描

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用恶意软件防护页面:

      1. 在导航窗格中,选择恶意软件防护

      2. 在 “恶意软件防护” 页面上,在GuardDuty启动的恶意软件扫描中选择 “编辑”

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新帐户加入您的组织时,系统都会自动为其帐户启用 GuardDuty启动的恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 在 “管理自动启用首选项” 窗口中,在 “GuardDuty启动的恶意软件扫描” 下选择 “为新帐户用”。

      4. 选择保存

API/CLI

  • 要启用或禁用对新成员账户 GuardDuty启动的恶意软件扫描,请使用您自己的检测器 ID 调用 UpdateOrganizationConfigurationAPI 操作。

  • 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请参阅 有选择地启用或禁用对成员 GuardDuty帐户启动的恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员帐户配置 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 在 “帐户” 页面上,查看GuardDuty启动的恶意软件扫描列,了解您的成员帐户的状态。

  4. 选择要为其配置 GuardDuty启动的恶意软件扫描的帐户。您可以一次选择多个账户。

  5. “编辑保护计划” 菜单中,为GuardDuty启动的恶意软件扫描选择相应的选项。

API/CLI

要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的检测器 ID 调用 updateMemberDetectorsAPI 操作。

以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请将 ENABLED 替换为 DISABLED

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的检测器 ID 运行 updateMemberDetectorsAPI 操作。以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请将 true 替换为 false

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

必须在成员 GuardDuty 账户中创建恶意软件防护服务相关角色 (SLR)。管理员帐户无法在不由 Amazon Organizations管理 GuardDuty的成员帐户中启用启动的恶意软件扫描功能。

目前,您可以通过 GuardDuty 控制台 https://console.aws.amazon.com/guardduty/ 执行以下步骤,为现有成员账户启用 GuardDuty启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    使用您的管理员帐户凭据登录。

  2. 在导航窗格中,选择账户

  3. 选择要为其启用 GuardDuty启动的恶意软件扫描的成员帐户。您可以一次选择多个账户。

  4. 选择操作

  5. 选择取消关联成员

  6. 在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护

  7. 选择启用 GuardDuty启动的恶意软件扫描。 GuardDuty 将为成员账户创建 SLR。有关 SLR 的更多信息,请参阅 恶意软件防护的服务相关角色权限

  8. 在您的管理员帐户中,选择导航窗格上的帐户

  9. 选择需要重新添加到组织的成员账户。

  10. 选择操作,然后选择添加成员

API/CLI

  1. 使用管理员帐户对想要启用 GuardDuty启动的恶意软件扫描的成员帐户运行 DisassociateMembersAPI。

  2. 使用您的成员帐户调用UpdateDetector以启用 GuardDuty启动的恶意软件扫描。

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理员账户运行 CreateMembersAPI 将成员添加回组织。