Iniciar un análisis de malware bajo demanda en GuardDuty - Amazon GuardDuty
Requisitos previosIniciar análisis de malware bajo demanda

Iniciar un análisis de malware bajo demanda en GuardDuty

En esta sección se proporciona una lista de requisitos previos antes de iniciar un análisis de malware bajo demanda y los pasos para iniciar el análisis en un recurso por primera vez.

Como cuenta de administrador de GuardDuty, puede iniciar un análisis de malware bajo demanda en nombre de las cuentas de miembro activas que tengan configurados los siguientes requisitos previos en sus cuentas. Las cuentas independientes y las cuentas de miembro activas en GuardDuty también pueden iniciar un análisis de malware bajo demanda para sus propias instancias de Amazon EC2.

Requisitos previos

Antes de iniciar un análisis de malware bajo demanda, la cuenta debe cumplir los siguientes requisitos previos:

  • GuardDuty debe estar habilitado en la Regiones de AWS en la que desea iniciar el análisis de malware bajo demanda.

  • Asegúrese de que el Política administrada de AWS: AmazonGuardDutyFullAccess_v2 (recomendada) esté asociado al usuario de IAM o rol de IAM. Necesitará la clave de acceso y la clave secreta asociadas al usuario de IAM o rol de IAM.

  • Como cuenta de administrador delegado de GuardDuty, tiene la opción de iniciar un análisis de malware bajo demanda en nombre de una cuenta de miembro activa.

  • Antes de iniciar un análisis de malware bajo demanda, asegúrese de que no se ha iniciado ningún análisis en el mismo recurso en la última hora; de lo contrario, se eliminará el duplicado. Para obtener más información, consulte Volver a analizar una instancia de Amazon EC2 previamente analizada.

  • Si es una cuenta de miembro que no tiene el Permisos de rol vinculado al servicio para Malware Protection for EC2, al iniciar un análisis de malware bajo demanda para una instancia de Amazon EC2 que pertenezca a la cuenta, se creará automáticamente el rol vinculado al servicio para Malware Protection for EC2.

importante

Asegúrese de que nadie elimine los permisos del rol vinculado al servicio para Malware Protection for EC2 cuando el análisis de malware aún esté en curso. Este análisis de malware puede ser iniciado por GuardDuty o iniciado bajo demanda. Eliminar el rol vinculado al servicio impedirá que el análisis se complete correctamente y que se obtenga una conclusión definitiva del análisis.

Iniciar análisis de malware bajo demanda

Puede iniciar un análisis de malware bajo demanda en la cuenta a través de la consola de GuardDuty o mediante la AWS CLI. Deberá proporcionar el nombre de recurso de Amazon (ARN) de Amazon EC2 para el que desea iniciar el análisis. Los pasos detallados se proporcionan tanto en la consola como en las instrucciones de la API/AWS CLI en la siguiente sección.

Elija el método de acceso que prefiera para iniciar un análisis de malware bajo demanda.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. Inicie el análisis mediante una de las siguientes opciones:

    1. Utilizar la página Malware Protection for EC2:

      1. En el panel de navegación, en Planes de protección, elija Malware Protection for EC2.

      2. En la página Malware Protection for EC2, proporcione el ARN de la instancia de Amazon EC21 para la que desea iniciar el análisis.

    2. Mediante la página Análisis de malware:

      1. En el panel de navegación, elija Análisis de malware.

      2. Elija Iniciar análisis bajo demanda y proporcione el ARN de la instancia de Amazon EC21 para la que desea iniciar el análisis.

      3. Si se ha vuelto a hacer el análisis, seleccione una ID de instancia de Amazon EC2 en la página Análisis de malware.

        Amplíe el menú desplegable Iniciar análisis bajo demanda y seleccione Volver a analizar la instancia seleccionada.

  3. Después de iniciar correctamente un análisis con cualquiera de los métodos, se genera una ID de análisis. Puede utilizar este ID de análisis para hacer un seguimiento del progreso del análisis. Para obtener más información, consulte Supervisión de los estados y resultados de los análisis de malware.

API/CLI

Invoque StartMalwareScan para que acepte el resourceArn de la instancia de Amazon EC21 para la que desea iniciar un análisis de malware bajo demanda.

aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"

Tras iniciar correctamente un análisis, StartMalwareScan devuelve un scanId. Invoque DescribeMalwareScans para supervisar el progreso del análisis iniciado.

1Para obtener información sobre el formato del ARN de su instancia de Amazon EC2, consulte Nombre de recurso de Amazon (ARN). Para las instancias de Amazon EC2, puede utilizar el siguiente formato de ARN de ejemplo sustituyendo los valores de la partición, la región, la ID de Cuenta de AWS y la ID de la instancia de Amazon EC2. Para obtener información sobre la longitud del ID de instancia, consulte ID de recursos.

arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f

Política de control de servicio de AWS Organizations: acceso denegado

Al utilizar las políticas de control de servicios (SCP) en AWS Organizations, la cuenta de administrador delegado de GuardDuty puede restringir los permisos y denegar acciones, como iniciar un análisis de malware bajo demanda en una instancia de Amazon EC2 propiedad de las cuentas.

Como cuenta de miembro de GuardDuty, al iniciar un análisis de malware bajo demanda para las instancias de Amazon EC2, es posible que reciba un error. Puede conectarse con la cuenta de administración para saber por qué se ha configurado una SCP para su cuenta de miembro. Para más información, consulte Efectos de las SCP en los permisos.