Como configurar as preferências de habilitação automática da organização - Amazon GuardDuty

Como configurar as preferências de habilitação automática da organização

O atributo de habilitação automática da organização no GuardDuty ajuda a definir o mesmo status do GuardDuty e dos planos de proteção ALL para contas existentes NEW ou membros em sua organização, em uma única etapa. Da mesma forma, é possível especificar quando não se deseja realizar nenhuma ação nas contas de membros, selecionando NONE. As etapas a seguir explicam essas configurações e também indicam quando é necessário usar uma configuração específica.

nota

Você pode definir preferências de habilitação automática para todos os planos de proteção, exceto Proteção contra malware para S3.

Selecione um método de acesso preferencial para atualizar as preferências de habilitação automática da organização.

Console

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Para acessar, use as credenciais da conta de administrador do GuardDuty..

  2. No painel de navegação, selecione Contas.

    A página Contas fornece opções de configuração para que a conta de administrador do GuardDuty habilite automaticamente o GuardDuty e os planos de proteção opcionais em nome das contas-membro que pertencem à organização.

  3. Para atualizar as configurações de habilitação automática em vigor, selecione Editar.

    Selecionar Editar para atualizar as preferências de habilitação automática em nome das contas de membros da organização.

    Esse suporte está disponível para configurar o GuardDuty e todos os planos de proteção opcionais compatíveis em sua Região da AWS. É possível selecionar uma das seguintes opções de configuração para o GuardDuty em nome de suas contas-membro:

    • Habilitar para todas as contas (ALL): selecionar para habilitar a respectiva opção para todas as contas em uma organização. Isso inclui novas contas que ingressam na organização e aquelas contas que podem ter sido suspensas ou removidas da organização. Isso também inclui a conta de administrador delegado do GuardDuty.

      nota

      Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.

    • Habilitação automática para novas contas (NEW): selecionar para habilitar o GuardDuty ou os planos de proteção opcionais somente para contas de novos associados automaticamente quando eles se associarem à sua organização.

    • Não habilitar (NONE): selecionar para impedir a habilitação da respectiva opção para novas contas em sua organização. Nesse caso, a conta de administrador do GuardDuty gerenciará cada conta individualmente.

      Ao atualizar a configuração de habilitar automática de ALL ou NEW para NONE, essa ação não desabilita a respectiva opção para suas contas existentes. Essa configuração será aplicada às novas contas que ingressam na organização. Depois de atualizar as configurações de habilitação automática, nenhuma nova conta terá a respectiva opção habilitada.

    nota

    Quando uma conta de administrador delegado do GuardDuty opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de habilitação automática do GuardDuty definida para somente novas contas-membro (NEW) ou todas as contas-membro (ALL), o GuardDuty não pode ser habilitado para nenhuma conta-membro na organização que atualmente tenha o GuardDuty desabilitado. Para obter informações sobre a configuração de suas contas-membro, abra Contas no painel de navegação do console do GuardDuty ou use a API ListMembers.

  4. Selecione Salvar alterações.

  5. (Opcional) caso queira usar as mesmas preferências em cada região, atualize suas preferências em cada uma das regiões atendidas separadamente.

    Alguns dos planos de proteção opcionais podem não estar disponíveis em todas as Regiões da AWS onde o GuardDuty está disponível. Para obter mais informações, consulte Regiões e endpoints.

API/CLI

  1. Execute UpdateOrganizationConfiguration usando as credenciais da conta de administrador delegado do GuardDuty, para configurar automaticamente o GuardDuty e os planos de proteção opcionais nessa região para a sua organização. Para obter informações sobre as várias configurações de habilitação automática, consulte autoEnableOrganizationMembers.

    Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Para definir preferências de habilitação automática para qualquer um dos planos de proteção opcionais compatíveis em sua região, siga as etapas fornecidas nas seções de documentação correspondentes de cada plano de proteção.

  2. Você pode validar as preferências da sua organização na região atual. Executar describeOrganizationConfiguration. Não esqueça de especificar o ID do detector da conta de administrador delegado do GuardDuty.

    nota

    Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.

  3. Como alternativa, execute o comando AWS CLI a seguir para definir as preferências para habilitar ou desabilitar automaticamente o GuardDuty nessa região para novas contas (NEW) que ingressam na organização, todas as contas (ALL) ou nenhuma das contas (NONE) na organização. Para obter mais informações, consulte autoEnableOrganizationMembers. Com base na sua preferência, talvez seja necessário substituir NEW por ALL ou NONE. Ao configurar o plano de proteção com ALL, o plano de proteção também será habilitado para a conta de administrador delegado do GuardDuty. Lembre-se de especificar o ID do detector da conta do administrador delegado do GuardDuty que gerencia a configuração da organização.

    Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. É possível validar as preferências da sua organização na região atual. Execute o comando da AWS CLI a seguir usando o ID do detector da conta de administrador delegado do GuardDuty.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(Recomendado) repita as etapas anteriores em cada região, utilizando o ID do detector da conta de administrador delegado do GuardDuty.

nota

Quando uma conta de administrador delegado do GuardDuty opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de habilitação automática do GuardDuty definida para somente novas contas-membro (NEW) ou todas as contas-membro (ALL), o GuardDuty não pode ser habilitado para nenhuma conta-membro na organização que atualmente tenha o GuardDuty desabilitado. Para obter informações sobre a configuração de suas contas-membro, abra Contas no painel de navegação do console do GuardDuty ou use a API ListMembers.