Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Sie können die Security Command Center Enterprise-Stufe mit Ihrer AWS-Umgebung verbinden, können Sie Folgendes tun:

  • Sicherheitslücken und Fehlkonfigurationen in der Software erkennen und beheben in Ihrer AWS-Umgebung
  • Sicherheitsstatus für AWS erstellen und verwalten
  • Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
  • Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks

Durch die Verbindung von Security Command Center mit AWS wird ein zentraler Ort für Ihre Sicherheit geschaffen um Bedrohungen und Schwachstellen Google Cloud und AWS.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung über einen Google Cloud-Dienst-Agent und ein AWS-Konto mit Zugriff auf die Ressourcen, die Sie überwachen möchten. Security Command Center nutzt diese Verbindung, um regelmäßig Daten in allen AWS-Konten und Regionen, die Sie definieren.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Bei der Einrichtung eine Verbindung, konfigurieren Sie Folgendes:

  • Eine Reihe von Konten in AWS, die direkten Zugriff auf AWS haben die Sie überwachen möchten. In der Google Cloud Console werden als Sammlerkonten bezeichnet.
  • Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, die zulässig sind zur Authentifizierung bei Collector-Konten. In der Google Cloud Console Dieses Konto wird als delegiertes Konto bezeichnet. Sowohl das delegierte Konto und die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
  • Ein Dienst-Agent in Google Cloud, der eine Verbindung zum delegierten Netzwerk herstellt für die Authentifizierung.
  • Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
  • (Optional) Berechtigungen für den Schutz sensibler Daten für ein Profil Ihre AWS-Inhalte.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center mit dem Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein Projekt das automatisch erstellt wird und die Pipeline zur Asset-Datenerfassung enthält Instanz.

AWS- und Security Command Center-Konfiguration.

Hinweise

Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center zu aktivieren Enterprise-Stufe

Berechtigungen einrichten

Um die Berechtigungen zu erhalten, die Sie zur Verwendung des AWS-Connectors benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:

Security Command Center konfigurieren

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.

    Zum Einrichtungsleitfaden

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.

  3. Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.

  4. Geben Sie unter Delegierte Konto-ID die AWS-Konto-ID für das AWS-Konto ein. Konto, das Sie als delegiertes Konto verwenden können.

  5. Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, Google Notizen Berechtigungen für den Schutz sensibler Daten gewähren Erkennung ausgewählt. Mit dieser Option werden AWS IAM-Berechtigungen in der CloudFormation-Vorlage für den Collector Rolle.

    Durch diese Option gewährte AWS IAM-Berechtigungen

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. Sehen Sie sich optional die erweiterten Optionen an.

  7. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

  8. Führen Sie einen dieser Schritte aus:

    • CloudFormation-Vorlagen für die delegierte Rolle herunterladen und prüfen und die Collector-Rolle.
    • Wenn Sie die erweiterten Optionen konfiguriert haben oder das Standard-AWS ändern müssen Rollennamen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) wählen Sie AWS-Konten konfigurieren aus. manuell. Dienst-Agent-ID, delegierter Rollenname und Collector kopieren und den Namen der Collector-Rolle für den Schutz sensibler Daten.

    Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.

Klicken Sie nicht auf Erstellen. Stattdessen Konfigurieren Sie Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um AWS einzurichten. zu verbessern.

  1. Melden Sie sich im AWS Delegate-Konto an. Console Achten Sie darauf, dass Sie in dem bevollmächtigten Konto angemeldet sind, über das andere Collector-AWS-Konten (d. h. entweder ein AWS-Verwaltungskonto oder ein beliebiges Mitgliedskonto, das als delegierter Administrator registriert ist).
  2. Rufen Sie AWS CloudFormation auf. Vorlagenkonsole.

  3. Erstellen Sie einen Stack, der die Rolle „Delegieren“ bereitstellt:

    1. Klicken Sie auf der Seite Stacks auf Create Stack > Mit neuen Ressourcen (Standard).
    2. Beim Angeben einer Vorlage die delegierte Rolle hochladen Vorlagendatei.
    3. Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.

    4. Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder Sensitive Data Protection an, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console

    5. Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.

    6. Wählen Sie auf der Seite Prüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation kann IAM-Ressourcen mit benutzerdefinierten Namen erstellen.

    7. Klicken Sie auf Senden, um den Stapel zu erstellen.

    Warten Sie, bis der Stapel erstellt wurde. Wenn ein Problem auftritt, siehe Fehlerbehebung Weitere Informationen Siehe Stapel in AWS CloudFormation erstellen Console finden Sie in der AWS-Dokumentation.

  4. Erstellen Sie einen Stack-Satz, der Collector-Rollen bereitstellt.

    1. Klicken Sie auf der Seite StackSets auf StackSet erstellen.

    2. Klicken Sie auf Dienstverwaltete Berechtigungen.

    3. Wenn Sie eine Vorlage angeben, laden Sie die Collector-Rollenvorlage hoch -Datei.

    4. Geben Sie beim Angeben der StackSet-Details einen Namen für die Stack-Gruppe und Beschreibung.

    5. Geben Sie die ID des delegierten Kontos ein.

    6. Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder Sensitive Data Protection an, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console

    7. Konfigurieren Sie die Optionen für die Stapelgruppe entsprechend den Anforderungen Ihrer Organisation.

    8. Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung in der gesamten AWS-Organisation oder in einer Organisationseinheit (OE), die alle AWS-Konten enthält, die Sie Daten zu sammeln.

    9. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen.

    10. Ändern Sie bei Bedarf weitere Einstellungen.

    11. Prüfen Sie die Änderungen und klicken Sie auf Senden, um die Stapelgruppe zu erstellen. Wenn Sie eine Fehlermeldung erhalten, Weitere Informationen zur Fehlerbehebung Weitere Informationen finden Sie unter Stackset mit Dienstverwaltet erstellen Berechtigungen finden Sie in der AWS-Dokumentation.

  5. Wenn Sie Daten über das Verwaltungskonto erfassen müssen, melden Sie sich im Verwaltungskonto und stellen Sie einen separaten Stack bereit, um den Collector bereitzustellen. Rollen. Wenn Sie die Vorlage angeben, laden Sie die Collector-Rollenvorlage hoch -Datei.

    Dieser Schritt ist erforderlich, da AWS CloudFormation-Stacksets keine Stack-Instanzen in Verwaltungskonten. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.

Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können, z. B. Rollennamen ändern oder die Integration anpassen), können Sie den erforderliche AWS IAM-Richtlinien und AWS IAM-Rollen manuell.

Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto erstellen und die Collector-Konten.

AWS-IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie): führen Sie folgende Schritte aus:

  1. Melden Sie sich in der AWS delegieren Konto-Konsole

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie einen der folgenden Werte ein, je nachdem, die Option Berechtigungen für den Schutz sensibler Daten gewähren Erkennung unter Konfigurieren Security Command Center

    Berechtigungen für den Schutz sensibler Daten gewähren Entdeckung: gelöscht

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen des Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (die Standardwert ist aws-collector-role).

    Berechtigungen für den Schutz sensibler Daten gewähren Erkennung: ausgewählt

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

    • COLLECTOR_ROLE_NAME: der Name des Konfigurationsdaten-Collector-Rolle, die Sie kopiert haben, als Sie Security Command Center konfigurieren (Standardwert ist aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: die Name der Collector-Rolle für den Schutz sensibler Daten, die Sie beim Kopieren kopiert haben Security Command Center konfigurieren (Standardwert ist aws-sensitive-data-protection-role)

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

  6. Klicken Sie auf Richtlinie erstellen.

AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud Diese Rolle verwendet die delegierte Richtlinie, die erstellt wurde in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

  1. Melden Sie sich in der Konsole zum Delegieren von AWS-Konten als AWS-Nutzer, der IAM-Rollen und -Richtlinien erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.

  4. Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.

  5. Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie beim Erstellen der Kampagne kopiert haben. das Security Command Center konfiguriert haben. Klicken Sie auf Weiter.

  6. Um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren, hängen Sie die für die Rolle festlegen. Suchen Sie nach der delegierten Richtlinie, die erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle. und wählen Sie es aus.

  7. Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, die die Sie kopiert haben, Sicherheitsbefehlszentrale konfiguriert (Der Standardname ist aws-delegated-role.)

  8. Klicken Sie auf Rolle erstellen.

AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (ein Collector) entsprechen, führen Sie folgende Schritte aus:

  1. Melden Sie sich in der AWS-Collector-Kontokonsole

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen

Collector-Rolle erstellen, mit der Security Command Center Asset-Konfigurationsdaten abrufen kann von AWS. Diese Rolle verwendet die Collector-Richtlinie, die unter Erstellen der AWS-IAM-Richtlinie für Asset-Konfigurationsdaten erfasst werden.

  1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für die Collector-Konten erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. So gewähren Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten. und wählen Sie es aus.

  6. Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Geben Sie im Abschnitt Rollendetails den Namen der Konfigurationsdaten ein. Collector-Rolle, die Sie bei der Konfiguration Security Command Center.

  8. Klicken Sie auf Rolle erstellen.

  9. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Erkennung unter Konfigurieren Security Command Center und fahren Sie dann mit dem nächsten .

Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren nicht aktiviert haben Discovery-Kästchen und füllen Sie die Integrationsprozess.

AWS-IAM-Richtlinie für Sensitive Data Protection erstellen

Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren

So erstellen Sie eine AWS-IAM-Richtlinie für Sensitive Data Protection (ein Collector) entsprechen, führen Sie folgende Schritte aus:

  1. Melden Sie sich in der AWS-Collector-Kontokonsole

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    }
  ]
}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen

Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren

Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil Inhalte Ihrer AWS-Ressourcen. Diese Rolle verwendet die Collector-Richtlinie, die die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten

  1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für Collector-Konten erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. So gewähren Sie dieser Collector-Rolle Zugriff auf die Inhalte Ihrer AWS-Ressourcen: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie, die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten und wählen Sie es aus.

  6. Geben Sie im Abschnitt Rollendetails den Namen der Rolle für Schutz sensibler Daten, den Sie bei der Konfiguration Security Command Center.

  7. Klicken Sie auf Rolle erstellen.

  8. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.

Integration abschließen

  1. Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector, um zu prüfen, ob Security Command Center eine Verbindung zu Ihre AWS-Umgebung. Wenn die Verbindung hergestellt wurde, hat der Test dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um Collector-Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung. Fehler beim Testen der Verbindung.

  2. Klicken Sie auf Erstellen.

Benutzerdefinierte Konfiguration

In diesem Abschnitt werden einige Möglichkeiten zum Anpassen der Verbindung beschrieben. zwischen Security Command Center und AWS. Diese Optionen sind auf der Seite Erweiterte Optionen (optional) des Amazon Web Services-Connector hinzufügen in der Google Cloud Console.

Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch auf allen AWS-Regionen. Die Verbindung verwendet den Globaler Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst, den Sie des Monitorings. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Option Beschreibung
Angeben, welche AWS-Konten verwendet werden sollen Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann.
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen Wenn Sie Security Command Center automatisch Konten erkennen lassen, können Sie eine Liste von AWS-Konten angeben, die Security Command Center zum Auffinden von Ressourcen nicht verwenden kann.
Geben Sie an, welche AWS-Regionen überwacht werden sollen Sie können eine oder mehrere AWS-Regionen für Security Command Center auswählen, um überwachen. Lassen Sie das Feld AWS regions (AWS-Regionen) leer: überwachen Sie alle Regionen.
Standardabfragen pro Sekunde für AWS-Dienste überschreiben Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Wert ist Standardwert für diesen Dienst und größer oder gleich 1. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können Probleme beim Abrufen von Daten durch Security Command Center auftreten. Es ist daher nicht empfehlenswert, diesen Wert zu ändern.
Endpunkt für AWS Security Token Service ändern Sie können einen bestimmten Endpunkt für AWS angeben Security Token Service (z. B. https://sts.us-east-2.amazonaws.com. AWS verlassen Das Feld Security Token Service (AWS STS) (optional) ist leer. den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com).

Einem vorhandenen AWS-Connector Berechtigungen zur Erkennung sensibler Daten gewähren

Um sensible Daten in Ihren AWS-Inhalten zu ermitteln, benötigen Sie eine AWS-Connector mit dem erforderlichen AWS-IAM Berechtigungen

In diesem Abschnitt wird beschrieben, wie Sie diese Berechtigungen einem vorhandenen AWS-Konto gewähren. Connector. Die erforderlichen Schritte hängen davon ab, ob Sie konfigurierte Ihre AWS-Umgebung mithilfe von CloudFormation-Vorlagen oder manuell.

Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren

Wenn Sie Ihre AWS-Umgebung mit CloudFormation einrichten und führen Sie dann diese Schritte aus, um sensible Daten Erkennungsberechtigungen für Ihren vorhandenen AWS-Connector.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.

    Zum Einrichtungsleitfaden

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.

  3. Klicken Sie auf Schritt 3: Integration von Amazon Web Services (AWS) einrichten. Die Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf AWS.

  5. Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für Sensitive Data Protection gewähren zur besseren Auffindbarkeit.

  6. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

  7. Klicken Sie auf Vorlage für delegierte Rollen herunterladen. Die Vorlage wird auf auf Ihrem Computer.

  8. Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf auf Ihrem Computer.

  9. Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie die Connectors noch nicht verwendet.

  10. Aktualisieren Sie in der CloudFormation-Konsole die Stapelvorlage für die delegierte Rolle:

    1. Melden Sie sich im AWS Delegate-Konto an. Console Vergewissern Sie sich, dass Sie in das delegierte Konto ein, das verwendet wird, um andere Collector-AWS zu übernehmen Konten.
    2. Rufen Sie die AWS CloudFormation-Konsole.

    3. Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte delegierte Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie unter Vorlage eines Stapels aktualisieren (Konsole) finden Sie in der AWS-Dokumentation.

  11. Aktualisieren Sie den Stapelsatz für die Collector-Rolle:

    1. Ein AWS-Verwaltungskonto oder ein anderes Mitgliedskonto zu verwenden, das als einem delegierten Administrator, gehen Sie zu AWS CloudFormation-Konsole.

    2. Ersetzen Sie die Stapelsatzvorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie unter Stackset mit AWS aktualisieren CloudFormation Console finden Sie in der AWS-Dokumentation.

  12. Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, Im Verwaltungskonto anmelden und die Vorlage im Collector ersetzen mit der aktualisierten Collector-Rollenvorlage, die Sie heruntergeladen haben.

    Dieser Schritt ist erforderlich, da AWS CloudFormation-Stacksets keinen Stack erstellen in Verwaltungskonten. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.

  13. Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector Wenn die Verbindung hergestellt wurde, wurde durch den Test festgestellt, dass der delegierte Rolle alle erforderlichen Berechtigungen, um den Collector zu übernehmen Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung bei Testen der Verbindung.

  14. Klicken Sie auf Speichern.

Vorhandenen Connector manuell aktualisieren

Wenn Sie Ihre AWS-Konten manuell konfiguriert haben, während Sie den AWS-Connector erstellt haben, führen Sie dann die folgenden Schritte aus, um sensible Daten zu gewähren. Erkennungsberechtigungen für Ihren vorhandenen AWS-Connector.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.

    Zum Einrichtungsleitfaden

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.

  3. Klicken Sie auf Schritt 3: Integration von Amazon Web Services (AWS) einrichten. Die Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf AWS.

  5. Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für Sensitive Data Protection gewähren zur besseren Auffindbarkeit.

  6. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

  7. Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Funktionen verwenden). Einstellungen oder benutzerdefinierte Rollennamen).

  8. Kopieren Sie die Werte der folgenden Felder:

    • Delegierter Rollenname
    • Collector-Rollenname
    • Name der Collector-Rolle für den Schutz sensibler Daten

  9. Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie die Connectors noch nicht verwendet.

  10. Führen Sie in der AWS Delegate-Konto-Konsole folgende Schritte aus: Aktualisieren Sie die AWS-IAM-Richtlinie für die delegierte Rolle, um die folgende JSON-Datei zu verwenden:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

    • COLLECTOR_ROLE_NAME: der Name der Konfiguration Data-Collector-Rolle kopiert haben (Standardeinstellung ist aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der Collector-Rolle für den Schutz sensibler Daten, die Sie kopiert haben (die Standardwert ist aws-sensitive-data-protection-role)

    Weitere Informationen finden Sie unter Vom Kunden verwaltete Richtlinien bearbeiten (Konsole) finden Sie in der AWS-Dokumentation.

  11. Führen Sie für jedes Collector-Konto die folgenden Schritte aus:

    1. Erstellen Sie die AWS-IAM-Richtlinie für Schutz sensibler Daten

    2. Erstellen Sie jeweils die AWS-IAM-Rolle für Sensitive Data Protection Konto.

  12. Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector Wenn die Verbindung hergestellt wurde, wurde durch den Test festgestellt, dass der delegierte Rolle alle erforderlichen Berechtigungen, um den Collector zu übernehmen Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung bei Testen der Verbindung.

  13. Klicken Sie auf Speichern.

Fehlerbehebung

Dieser Abschnitt enthält einige häufige Probleme, die auftreten können, wenn Sie Security Command Center in AWS integrieren.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, das AWS-IAM zu erstellen Richtlinien und AWS IAM-Rollen. Dieses Problem tritt auf, wenn die Rolle bereits in und versuchen, es erneut zu erstellen.

So beheben Sie das Problem:

  • Prüfen, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
  • Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie den Collector erstellen Rollen, aber die Rolle "Delegieren" ist noch nicht vorhanden.

Um dieses Problem zu beheben, führen Sie die Schritte unter AWS-IAM-Richtlinie erstellen für die delegierte Rolle und warten, bis die Delegatrolle erstellt wird, bevor Sie fortfahren.

Drosselungseinschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region zu verstehen. Damit diese Limits nicht überschritten werden, wenn Security Command Center Daten erhebt Asset-Konfigurationsdaten von AWS erhalten, erfasst Security Command Center die Daten zu einem festen für jeden AWS-Dienst eine maximale Anzahl von Abfragen pro Sekunde, wie in der API-Dokumentation für den AWS-Dienst.

Wenn in Ihrer AWS-Umgebung aufgrund der Abfragen pro Sekunde eine Anfragedrosselung auftritt können Sie das Problem so beheben:

  • In den Einstellungen des AWS-Connectors , legen Sie eine benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst, bei dem Probleme mit der Anfragedrosselung auftreten.

  • Schränken Sie die Berechtigungen der AWS-Collector-Rolle so ein, dass die Daten aus dieser nicht mehr erfasst. Diese Risikominderungstechnik verhindert, dass die Angriffspfadsimulationen für AWS nicht ordnungsgemäß funktionieren.

Durch den Widerruf aller Berechtigungen in AWS wird der Daten-Collector-Prozess angehalten sofort. Durch das Löschen des AWS-Connectors werden die Daten nicht sofort gestoppt Collector-Prozess, aber er startet nach Abschluss nicht wieder.

Fehlerbehebung beim Testen der Verbindung

Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent nicht voraussetzen kann die delegierte Rolle.

Gehen Sie so vor, um dieses Problem zu beheben:

AWS_FAILED_TO_LIST_ACCOUNTS

Die Verbindung ist ungültig, da die automatische Erkennung aktiviert und der delegierte Dienst nicht alle AWS-Konten in den Organisationen abrufen.

Dieses Problem bedeutet, dass die Richtlinie Aktion „organizations:ListAccounts“ für die delegierte Rolle fehlt bei bestimmten Ressourcen. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Zur Bestätigung Die Einstellungen für die delegierte Richtlinie finden Sie unter Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

AWS_INVALID_COLLECTOR_ACCOUNTS

Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die enthält weitere Informationen über mögliche Ursachen, einschließlich Folgendes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle das Ereignis Collector-Rolle im Collector-Konto an.

Gehen Sie so vor, um dieses Problem zu beheben:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da in der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen.

Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:

Nächste Schritte