Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# GuardDuty-análisis de malware iniciado
<a name="gdu-initiated-malware-scan"></a>

Con el análisis GuardDuty de malware iniciado activado, cada vez que se GuardDuty genere[Hallazgos que invocan un análisis GuardDuty de malware iniciado](gd-findings-initiate-malware-protection-scan.md), se iniciará un análisis de malware sin agentes en los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntos al recurso de Amazon EC2 potencialmente afectado. Antes de que se inicie un análisis, debe preparar la cuenta para cualquier personalización. Las opciones de análisis permiten agregar etiquetas de inclusión para los recursos que desea analizar y etiquetas de exclusión para los recursos que desea omitir durante el proceso de análisis. Al iniciar un análisis automático, siempre se tendrán en cuenta sus opciones de análisis. GuardDuty también admite un par global`GuardDutyExcluded`: `true` etiqueta, clave y valor. Cuando añada esta etiqueta global a un recurso de Amazon EC2, GuardDuty iniciará el escaneo y, a continuación, lo omitirá. También puede optar por activar la configuración de retención de instantáneas para retener las instantáneas de los volúmenes de EBS en los que se detectó potencialmente malware. Para obtener más información sobre las opciones de análisis, la etiqueta de exclusión global y la configuración de instantáneas, consulte [Configure la retención de instantáneas y la cobertura de análisis de EC2](malware-protection-customizations.md).

Cuando GuardDuty genere varios resultados para el mismo recurso de Amazon EC2, solo GuardDuty podrá iniciar un análisis cuando hayan transcurrido 24 horas desde el último análisis GuardDuty de malware iniciado. Para obtener información sobre cómo se analizan los volúmenes de Amazon EBS adjuntos a la instancia o carga de trabajo de contenedor de Amazon EC2, consulte [¿Cómo GuardDuty escanea los volúmenes de EBS para detectar malware](guardduty_malware_protection-ebs-volume-data.md). 

En la siguiente imagen se describe cómo funciona el GuardDuty análisis de malware iniciado. 

![\[Muestra cómo funciona Malware Protection for EC2 y las personalizaciones disponibles en. GuardDuty\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/malwareprotection-diagram.png)


Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulte. [GuardDuty motor de escaneo de detección de malware](guardduty-malware-detection-scan-engine.md)

Cuando se encuentra malware, se GuardDuty genera[Tipos de resultados de la protección contra malware para EC2](findings-malware-protection.md). Si GuardDuty no se detecta la presencia de malware en el mismo recurso, no se realizará ningún análisis de malware GuardDuty iniciado. También puede iniciar un análisis de malware bajo demanda en el mismo recurso. Para obtener más información, consulte [Escanea malware bajo demanda en GuardDuty](on-demand-malware-scan.md).

# Prueba gratuita de 30 días del análisis de malware GuardDuty iniciado
<a name="malware-protection-ec2-guardduty-30-day-free-trial"></a>

Puedes activar o desactivar la detección GuardDuty de malware iniciada o compatible Cuenta de AWS en cualquier Región de AWS momento. Si tiene una organización, cada cuenta de miembro tiene su propia prueba gratuita de 30 días.

Para entender cómo funciona la prueba gratuita de 30 días, considere las siguientes situaciones:
+ Cuando lo habilitas GuardDuty por primera vez ( GuardDuty cuenta nueva), también se habilita el análisis de malware GuardDuty iniciado y está incluido en la prueba gratuita de 30 días asociada al servicio. GuardDuty 
+ Una GuardDuty cuenta existente puede habilitar la detección GuardDuty de malware iniciada por primera vez con una prueba gratuita de 30 días. Cuando se habilita esta característica en una región diferente por primera vez, obtendrá una prueba gratuita de 30 días en esa región.
+ Si ha utilizado Malware Protection para EC2 y Región de AWS anteriormente este plan de protección se dividía en dos tipos de análisis: el análisis de malware GuardDuty iniciado y el análisis de malware a pedido, puede seguir utilizando el análisis de malware GuardDuty iniciado con el mismo modelo de precios y con el mismo precio. Región de AWS Si activas la detección GuardDuty de malware iniciada por primera vez en una nueva región, tu cuenta dispondrá de una prueba gratuita de 30 días. 

**nota**  
Aunque se encuentre en un periodo de prueba gratuito de 30 días, se aplica el costo de uso estándar para la creación de las instantáneas de volúmenes de Amazon EBS y su retención. Para obtener más información, consulte [Precios de Amazon EBS](https://aws.amazon.com/ebs/pricing/).

# Habilitar el análisis GuardDuty de malware iniciado en entornos con varias cuentas
<a name="configure-malware-protection-guardduty-initiated-multi-account"></a>

En un entorno con varias cuentas, solo las cuentas de GuardDuty administrador pueden habilitar el análisis de malware GuardDuty iniciado por ellos en nombre de las cuentas de sus miembros. Además, una cuenta de administrador que gestione las cuentas de los miembros con AWS Organizations asistencia técnica puede optar por activar automáticamente la detección de malware GuardDuty iniciada en todas las cuentas nuevas y existentes de la organización. Para obtener más información, consulte [Administrar GuardDuty cuentas con AWS Organizations](guardduty_organizations.md). 

## Establecer un acceso confiable para permitir la detección GuardDuty de malware iniciada
<a name="delegated-admin-different-management-account"></a>

Si la cuenta de administrador GuardDuty delegado no es la misma que la cuenta de administración de su organización, la cuenta de administración debe habilitar la detección de malware GuardDuty iniciada por la organización. De esta forma, la cuenta de administrador delegado puede crear las cuentas de los miembros [Permisos de rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection.md) mediante las que se administran. AWS Organizations

**nota**  
Antes de designar una cuenta de GuardDuty administrador delegado, consulte. [Recomendaciones y consideraciones](guardduty_organizations.md#delegated_admin_important)

Elija el método de acceso que prefiera para permitir que la cuenta de GuardDuty administrador delegado GuardDuty habilite el análisis de malware iniciado para detectar las cuentas de los miembros de la organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice la cuenta de administración de su AWS Organizations organización.

1. 

   1. Si no ha designado una cuenta de GuardDuty administrador delegado, entonces:

      En la página de **configuración**, en la sección **Cuenta de GuardDuty administrador delegado**, introduzca los 12 dígitos **account ID** que desee designar para administrar la GuardDuty política en su organización. Elija **Delegar**. 

   1. 

      1. Si ya ha designado una cuenta de GuardDuty administrador delegado diferente de la cuenta de administración, haga lo siguiente:

         En la página **Configuración**, en **Administrador delegado**, active la configuración **Permisos**. Esta acción permitirá a la cuenta de GuardDuty administrador delegado adjuntar los permisos pertinentes a las cuentas de los miembros y habilitar la detección de malware GuardDuty iniciada en estas cuentas de los miembros.

      1. Si ya has designado una cuenta de GuardDuty administrador delegado que sea igual a la cuenta de administración, puedes activar directamente la detección de malware GuardDuty iniciada por terceros en las cuentas de los miembros. Para obtener más información, consulte [Habilite automáticamente el análisis GuardDuty de malware iniciado para todas las cuentas de los miembros](#auto-enable-malware-protection-all-organization-member). 
**sugerencia**  
Si la cuenta de GuardDuty administrador delegado es diferente de tu cuenta de administración, debes proporcionar permisos a la cuenta de GuardDuty administrador delegado para permitir la detección de malware GuardDuty iniciada por software malicioso en las cuentas de los miembros.

1. Si quieres permitir que la cuenta de GuardDuty administrador delegado active la detección de cuentas de miembros GuardDuty de otras regiones iniciada por software malicioso, cámbiala y repite los pasos Región de AWS anteriores.

------
#### [ API/CLI ]

1. Con sus credenciales de la cuenta de administración, ejecute el siguiente comando:

   ```
   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
   ```

1. (Opcional) Para activar la detección de malware GuardDuty iniciada en la cuenta de administración que no sea una cuenta de administrador delegado, la cuenta de administración creará primero la detección [Permisos de rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection.md) explícita en su cuenta y, a continuación, habilitará la detección de malware GuardDuty iniciada desde la cuenta de administrador delegado, de forma similar a la de cualquier otra cuenta de miembro.

   ```
   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
   ```

1. Ha designado la cuenta de GuardDuty administrador delegado en la cuenta actualmente seleccionada. Región de AWS Si ha designado una cuenta como cuenta de GuardDuty administrador delegado en una región, esa cuenta debe ser su cuenta de GuardDuty administrador delegado en todas las demás regiones. Repita el paso anterior para el resto de las regiones.

------

## Configuración del análisis GuardDuty de malware iniciado para una cuenta de administrador delegado GuardDuty
<a name="configure-gdu-initiated-malware-pro-delegatedadmin"></a>

Elija el método de acceso que prefiera para activar o desactivar el análisis GuardDuty de malware iniciado por una cuenta de administrador delegado GuardDuty .

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, elija **Malware Protection for EC2**.

1. En la página **Protección contra malware para EC2**, seleccione **Editar** junto a la exploración de **malware GuardDuty iniciada**.

1. Realice una de las siguientes acciones:

**Uso de **Habilitar para todas las cuentas****
   + Elija **Habilitar para todas las cuentas**. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las cuentas nuevas que se unan a la organización.
   + Seleccione **Save**.

**Uso de **Configurar cuentas manualmente****
   + Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija **Configurar las cuentas manualmente**.
   + Seleccione **Activar** en la sección de la **cuenta de GuardDuty administrador delegado (esta cuenta).**
   + Seleccione **Save**.

------
#### [ API/CLI ]

Ejecute la operación de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) con el ID del detector regional propio y transmita el `features` del objeto `name` como `EBS_MALWARE_PROTECTION` y `status` como `ENABLED`.

Puede activar el análisis GuardDuty de malware iniciado mediante la ejecución del siguiente AWS CLI comando. Asegúrese de utilizar una cuenta de GuardDuty administrador delegado válida. *detector ID* 

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

------

## Habilite automáticamente el análisis GuardDuty de malware iniciado para todas las cuentas de los miembros
<a name="auto-enable-malware-protection-all-organization-member"></a>

Elige tu método de acceso preferido para activar la función de detección de malware GuardDuty iniciada en todas las cuentas de los miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

1. Realice una de las siguientes acciones:

**Utilizar la página de **Protección contra malware para EC2****

   1. En el panel de navegación, elija **Protección contra malware para EC2**.

   1. En la página **Protección contra malware para EC2**, seleccione **Editar** en la sección de análisis **GuardDutyde malware iniciado**.

   1. Elija **Habilitar para todas las cuentas**. Esta acción GuardDuty habilita automáticamente el análisis de malware iniciado para las cuentas existentes y nuevas de la organización.

   1. Seleccione **Save**.
**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

**Uso de la página **Cuentas****

   1. En el panel de navegación, elija **Cuentas**.

   1. En la página **Cuentas**, seleccione las preferencias para **Habilitar automáticamente** antes de **Agregar cuentas mediante invitación**.

   1. En la ventana **Administrar preferencias de activación automática**, selecciona **Activar para todas las cuentas sometidas** a un análisis **GuardDutyde malware iniciado**.

   1. En la página **Protección contra malware para EC2**, seleccione **Editar** en la sección de análisis **GuardDutyde malware iniciado**.

   1. Elija **Habilitar para todas las cuentas**. Esta acción GuardDuty habilita automáticamente el análisis de malware iniciado para las cuentas existentes y nuevas de la organización.

   1. Seleccione **Save**.
**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

**Uso de la página **Cuentas****

   1. En el panel de navegación, elija **Cuentas**.

   1. En la página **Cuentas**, seleccione las preferencias para **Habilitar automáticamente** antes de **Agregar cuentas mediante invitación**.

   1. En la ventana **Administrar preferencias de activación automática**, selecciona **Activar para todas las cuentas sometidas** a un análisis **GuardDutyde malware iniciado**.

   1. Seleccione **Save**.

   Si no puede utilizar la opción **Habilitar para todas las cuentas**, consulte [Habilite de forma selectiva el análisis de malware GuardDuty iniciado desde cero para las cuentas de los miembros](#selective-enable-disable-malware-protection-member-accounts).

------
#### [ API/CLI ]
+ Para activar de forma selectiva el análisis GuardDuty de malware iniciado por los usuarios en sus cuentas de miembros, ejecute la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia. *detector ID* 
+ En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. Para deshabilitar una cuenta de miembro, sustituya `ENABLED` por `DISABLED`. 

  Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
  ```

  También puedes pasar una lista de cuentas IDs separadas por un espacio.
+ Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Habilite el análisis GuardDuty de malware iniciado por primera vez para todas las cuentas de miembros activos existentes
<a name="enable-for-all-existing-members-gdu-initiated-malware-scan"></a>

Elige el método de acceso que prefieras para activar el análisis GuardDuty de malware iniciado en todas las cuentas de miembros activos existentes en la organización.

**Para configurar el análisis GuardDuty de malware iniciado para todas las cuentas de miembros activas existentes**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

1. En el panel de navegación, elija **Malware Protection for EC2**.

1. En **Malware Protection for EC2**, puede ver el estado actual de la configuración de análisis de **malware GuardDuty iniciada**. En la sección **Cuentas de miembros activas**, seleccione **Acciones**.

1. En el menú desplegable **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas existentes**.

1. Seleccione **Save**.

## Habilite automáticamente el análisis GuardDuty de malware iniciado para las cuentas de los nuevos miembros
<a name="configure-malware-protection-new-accounts-organization"></a>

Las cuentas de los miembros recién agregadas deben **habilitarse** GuardDuty antes de seleccionar la configuración del análisis GuardDuty de malware iniciado. Las cuentas de los miembros gestionadas mediante invitación pueden configurar manualmente la detección GuardDuty de malware iniciada para sus cuentas. Para obtener más información, consulte [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc).

Elija el método de acceso que prefiera para activar la detección de malware GuardDuty iniciada en busca de nuevas cuentas que se unan a su organización.

------
#### [ Console ]

**La cuenta de GuardDuty administrador delegado puede activar el análisis GuardDuty de software malicioso iniciado para detectar nuevas cuentas de miembros en una organización mediante la página **Protección contra malware para EC2** o la página Cuentas.**

**Para habilitar automáticamente el análisis GuardDuty de malware iniciado para las cuentas de nuevos miembros**

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

1. Realice una de las siguientes acciones:
   + Utilizar la página **Malware Protection for EC2**:

     1. En el panel de navegación, elija **Malware Protection for EC2**.

     1. En la página **Protección contra malware para EC2**, seleccione **Editar** en el análisis **GuardDutyde malware iniciado**.

     1. Elija **Configurar cuentas manualmente**.

     1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**. Este paso garantiza que cada vez que una nueva cuenta se incorpore a su organización, se active automáticamente el análisis de malware GuardDuty iniciado en esa cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

     1. Seleccione **Save**.
   + Mediante la página **Cuentas**:

     1. En el panel de navegación, elija **Cuentas**.

     1. En la página **Cuentas**, seleccione **Habilitar automáticamente** las preferencias.

     1. En la ventana **Administrar preferencias de activación automática**, selecciona **Habilitar cuentas nuevas en el** marco de un análisis **GuardDutyde malware iniciado**.

     1. Seleccione **Save**.

------
#### [ API/CLI ]
+ Para activar o desactivar la detección de malware GuardDuty iniciada por una cuenta de nuevos miembros, invoca la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API con la tuya propia. *detector ID* 
+ En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. Para deshabilitar esta característica, consulte [Habilite de forma selectiva el análisis de malware GuardDuty iniciado desde cero para las cuentas de los miembros](#selective-enable-disable-malware-protection-member-accounts). Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca `AutoEnable` en `NONE`. 

  Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'
  ```

  También puedes pasar una lista de cuentas IDs separadas por un espacio.
+ Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Habilite de forma selectiva el análisis de malware GuardDuty iniciado desde cero para las cuentas de los miembros
<a name="selective-enable-disable-malware-protection-member-accounts"></a>

Elija el método de acceso que prefiera para configurar de forma selectiva el análisis GuardDuty de malware iniciado para las cuentas de los miembros.

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, elija **Cuentas**.

1. En la página de **cuentas**, consulta la columna **GuardDutyde análisis de malware iniciada** para ver el estado de tu cuenta de miembro. 

1. Seleccione la cuenta para la que desee configurar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea. 

1. En el menú **Editar planes de protección**, elija la opción adecuada para **GuardDutyiniciar el análisis de malware**.

------
#### [ API/CLI ]

Para activar o desactivar de forma selectiva el análisis GuardDuty de malware iniciado por sus cuentas de miembros, ejecute la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia. *detector ID* 

En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. 

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Para habilitar de forma selectiva el análisis GuardDuty de malware iniciado por sus cuentas de miembros, ejecute la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia. *detector ID* En el siguiente ejemplo, se muestra cómo activar el análisis GuardDuty de malware iniciado por una cuenta de un solo miembro. 

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Habilite el análisis GuardDuty de malware iniciado previamente para detectar las cuentas existentes en la organización gestionadas mediante invitación
<a name="enable-malware-protection-existing-accounts-organization"></a>

La función vinculada al servicio (SLR) de protección contra GuardDuty malware para EC2 debe crearse en las cuentas de los miembros. La cuenta de administrador no puede habilitar la función de detección de malware GuardDuty iniciada en las cuentas de los miembros que no estén administradas por. AWS Organizations

En este momento, puede realizar los siguientes pasos a través de la GuardDuty consola [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)para activar el análisis GuardDuty de malware iniciado en las cuentas de los miembros existentes.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Inicie sesión con las credenciales de la cuenta de administrador.

1. En el panel de navegación, elija **Cuentas**.

1. Seleccione la cuenta de miembro para la que desee activar el análisis GuardDuty de malware iniciado. Puede seleccionar varias cuentas de manera simultánea. 

1. Elija **Acciones**.

1. Seleccione **Desasociar miembro**.

1. En su cuenta de miembro, seleccione **Protección contra malware** en **Planes de protección**, en el panel de navegación.

1. Selecciona **Activar el análisis GuardDuty de malware iniciado por terceros**. GuardDuty creará una cámara réflex para la cuenta del miembro. Para obtener más información sobre los SLR, consulte [Permisos de rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection.md).

1. En la cuenta de administrador, elija **Cuentas** en el panel de navegación.

1. Elija la cuenta de miembro que debe volver a agregarse a la organización.

1. Seleccione **Acciones** y **Agregar miembro**.

------
#### [ API/CLI ]

1. Utilice la cuenta de administrador para ejecutar la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)API en las cuentas de los miembros que deseen activar el análisis GuardDuty de malware iniciado.

1. Utilice su cuenta de miembro para invocar y [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)activar el análisis GuardDuty de malware iniciado.

   Para encontrar la correspondiente `detectorId` a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
   ```

1. Utilice la cuenta de administrador para ejecutar la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) y volver a agregar al miembro a la organización.

------

# Habilitar el análisis GuardDuty de malware iniciado desde cero para una cuenta independiente
<a name="configure-malware-protection-single-account"></a>

Una cuenta independiente es la que decide habilitar o deshabilitar un plan de protección en un plan específico Cuenta de AWS . Región de AWS

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Habilitar el análisis GuardDuty de malware iniciado en entornos con varias cuentas](configure-malware-protection-guardduty-initiated-multi-account.md).

Después de habilitar el análisis GuardDuty de malware iniciado, GuardDuty se iniciará un análisis de malware del volumen de Amazon EBS adjunto a la instancia de Amazon EC2 que estaba involucrada en un. GuardDuty Para obtener una lista de los resultados que inician el análisis de malware, consulte [Hallazgos que invocan un análisis GuardDuty de malware iniciado](gd-findings-initiate-malware-protection-scan.md).

Elija el método de acceso que prefiera para configurar el análisis GuardDuty de malware iniciado para una cuenta independiente.

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, en **Planes de protección**, elija **Malware Protection for EC2**.

1. El panel Protección contra malware para EC2 muestra el estado actual del análisis GuardDuty de malware iniciado en su cuenta. Seleccione **Activar** para activar el análisis GuardDuty de malware iniciado en esta cuenta.

1. Elija **Guardar** para confirmar la opción seleccionada.

------
#### [ API/CLI ]

Ejecute la operación de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) con el ID de detector regional propio y transmita el objeto `dataSources` con `EbsVolumes` establecido en `true`.

También puede activar el análisis GuardDuty de malware iniciado AWS CLI mediante la ejecución del siguiente AWS CLI comando. Asegúrese de usar su propia validez*detector ID*. 

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
 aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'
```

------

# Hallazgos que invocan un análisis GuardDuty de malware iniciado
<a name="gd-findings-initiate-malware-protection-scan"></a>

Cuando GuardDuty detecte un comportamiento sospechoso que sea indicativo de malware en una instancia de Amazon EC2 o una carga de trabajo de contenedor que se esté ejecutando en una instancia de Amazon EC2 GuardDuty , generará un hallazgo. Si este hallazgo generado pertenece a la siguiente lista de GuardDuty hallazgos, GuardDuty se iniciará automáticamente un análisis de malware en los volúmenes de Amazon EBS adjuntos a la instancia de Amazon EC2 implicada en el hallazgo. Tras el escaneo, si GuardDuty detecta malware, también generará uno o más. [Tipos de resultados de la protección contra malware para EC2](findings-malware-protection.md)

Si se genera alguno de los siguientes GuardDuty hallazgos en su cuenta, GuardDuty se iniciará automáticamente un análisis de malware en el volumen de Amazon EBS de la instancia de Amazon EC2 potencialmente comprometida.
+ [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)
+ [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)
+ [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)
+  [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) 
+  [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) 
+  [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) 
+  [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) 
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) (solo salientes) 
+  [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) 
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) (solo salientes)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) (solo salientes)
+ [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)
+ [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)
+  [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) 
+ [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)
+  [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) 
+  [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) 
+  [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) 
+  [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) 
+  [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) 
+  [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) 
+  [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) 
+  [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) 
+  [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) 
+  [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) 
+  [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) 
+  [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) 
+ [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)
+  [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) 
+ [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)
+  [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) 
+  [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) 
+  [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) 
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
+  [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)