Configuración de las preferencias de habilitación automática de la organización - Amazon GuardDuty

Configuración de las preferencias de habilitación automática de la organización

La característica de habilitación automática de la organización en GuardDuty ayuda a establecer el mismo estado de GuardDuty y planes de protección para ALL las cuentas de miembro existentes o NEW en la organización, en un solo paso. Del mismo modo, también puede especificar cuándo no desea realizar ninguna acción en las cuentas de miembro. Para ello, seleccione NONE. En los siguientes pasos se explica esta configuración y también se indica cuándo conviene utilizar un ajuste específico.

nota

Puede configurar las preferencias de activación automática para todos los planes de protección excepto Protección contra malware para S3.

Elija un método de acceso preferente para actualizar las preferencias de habilitación automática de la organización.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administrador de GuardDuty.

  2. En el panel de navegación, elija Cuentas.

    En la página Cuentas se ofrecen opciones de configuración a la cuenta de administrador de GuardDuty para habilitar automáticamente GuardDuty y los planes de protección opcionales en nombre de las cuentas de miembro que pertenecen a la organización.

  3. Para actualizar la configuración de habilitación automática existente, seleccione Editar.

    Al seleccionar Editar, se actualizarán las preferencias de habilitación automática en nombre de las cuentas de miembro de la organización.

    Este soporte está disponible para configurar GuardDuty y todos los planes de protección opcionales admitidos en la Región de AWS. Puede seleccionar una de las siguientes opciones de configuración para GuardDuty en nombre de sus cuentas de miembro:

    • Habilitar para todas las cuentas (ALL): seleccione esta opción para habilitar la opción correspondiente para todas las cuentas de una organización. Esto incluye las cuentas nuevas que se unen a la organización y las cuentas que pueden haber sido suspendidas o eliminadas de la organización. Esto también incluye la cuenta de administrador delegado de GuardDuty.

      nota

      Es posible que la actualización de la configuración de todas las cuentas de miembro tarde hasta 24 horas.

    • Habilitar automáticamente en cuentas nuevas (NEW): seleccione esta opción para habilitar GuardDuty o los planes de protección opcionales únicamente en cuentas de miembro nuevas de forma automática cuando se unan a la organización.

    • No habilitar (NONE): seleccione esta opción para impedir que se habilite la opción correspondiente en las cuentas de su organización. En este caso, la cuenta de administrador de GuardDuty administrará cada cuenta individualmente.

      Al actualizar la configuración de habilitación automática de ALL o NEW a NONE, esta acción no desactiva la opción correspondiente para las cuentas existentes. Esta configuración se aplicará a las nuevas cuentas que se unan a la organización. Después de actualizar la configuración de habilitación automática, ninguna cuenta nueva tendrá la opción correspondiente como habilitada.

    nota

    Cuando una cuenta de administrador delegado de GuardDuty se excluye de una región incluida, aunque la organización tenga la configuración de habilitación automática de GuardDuty establecida únicamente para nuevas cuentas de miembro (NEW) o para todas las cuentas de miembro (ALL), GuardDuty no se podrá habilitar para ninguna cuenta de miembro de la organización en la que GuardDuty se encuentre desactivado en ese momento. Para obtener información sobre la configuración de sus cuentas de miembro, abra Cuentas en el panel de navegación de la consola de GuardDuty o utilice la API ListMembers.

  4. Seleccione Save changes (Guardar cambios).

  5. (Opcional) si desea utilizar las mismas preferencias en cada región, actualice las preferencias en cada una de las regiones admitidas por separado.

    Es posible que algunos de los planes de protección opcionales no estén disponibles en todas las Regiones de AWS en las que GuardDuty está disponible. Para obtener más información, consulte Regiones y puntos de conexión.

API/CLI

  1. Ejecute UpdateOrganizationConfiguration. Para ello, utilice las credenciales de la cuenta de administrador delegado de GuardDuty, para configurar automáticamente GuardDuty y los planes de protección opcionales en esa región para la organización. Para obtener información sobre las distintas configuraciones de habilitación automática, consulte autoEnableOrganizationMembers.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    Para configurar las preferencias de habilitación automática para cualquiera de los planes de protección opcionales admitidos en su región, siga los pasos que se indican en las secciones de la documentación correspondientes a cada plan de protección.

  2. Puede validar las preferencias de su organización en la región actual. Ejecuta describeOrganizationConfiguration. Asegúrese de especificar el ID de detector de la cuenta de administrador delegado de GuardDuty.

    nota

    La actualización de la configuración de todas las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

  3. También puede ejecutar el siguiente comando de la AWS CLI para configurar las preferencias y activar o desactivar GuardDuty automáticamente en esa región para las nuevas cuentas (NEW) que se unan a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) de la organización. Para obtener más información, consulte autoEnableOrganizationMembers. Según sus preferencias, es posible que deba sustituir NEW por ALL o NONE. Si configura el plan de protección con ALL, este también se habilitará para la cuenta del administrador delegado de GuardDuty. Asegúrese de especificar el ID de detector de la cuenta de administrador delegado de GuardDuty que administra la configuración de la organización.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. Puede validar las preferencias de su organización en la región actual. Ejecute el siguiente comando de la AWS CLI. Para ello, utilice el ID de detector de la cuenta de administrador delegado de GuardDuty.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(Recomendado) repita los pasos anteriores en cada región. Para ello, utilice el ID de detector de la cuenta de administrador delegado de GuardDuty.

nota

Cuando una cuenta de administrador delegado de GuardDuty se excluye de una región incluida, aunque la organización tenga la configuración de habilitación automática de GuardDuty establecida únicamente para nuevas cuentas de miembro (NEW) o para todas las cuentas de miembro (ALL), GuardDuty no se podrá habilitar para ninguna cuenta de miembro de la organización en la que GuardDuty se encuentre desactivado en ese momento. Para obtener información sobre la configuración de sus cuentas de miembro, abra Cuentas en el panel de navegación de la consola de GuardDuty o utilice la API ListMembers.