Ativar a Detecção de ameaças a máquinas virtuais da AWS

Esta página descreve como configurar e usar a Detecção de ameaças de máquina virtual para procurar malware nos discos persistentes das VMs do Amazon Elastic Compute Cloud (EC2).

Para ativar a Detecção de ameaças de VM para a AWS, é necessário criar um papel do IAM da AWS na plataforma da AWS, ativar a Detecção de ameaças de VM para a AWS no Security Command Center e implantar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a VM Threat Detection para uso com a AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração da Detecção de ameaças de VM para a AWS, é necessário receber papéis com as permissões necessárias no Google Cloud e na AWS.

papéisGoogle Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Papéis da AWS

    Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar os verificações.

    Para criar uma função para a VM Threat Detection na AWS, siga estas etapas:

    1. Usando uma conta de usuário administrativo da AWS, acesse a página IAM Roles no AWS Management Console.
    2. No menu Serviço ou caso de uso, selecione lambda.
    3. Adicione as seguintes políticas de permissão:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:
      1. Abra a página a seguir e copie a política: Política de função para a avaliação de vulnerabilidades da AWS e a detecção de ameaças de VM.
      2. No Editor JSON, cole a política.
      3. Especifique um nome para a política.
      4. Salve a política.
    5. Abra a guia Relacionamentos de confiança.

    6. Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Salve a função.

    Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

    Confirmar se o Security Command Center está conectado à AWS

    A Detecção de ameaças de VM exige acesso ao inventário de recursos da AWS mantido pelo Cloud Asset Inventory quando você cria um conector da AWS.

    Se uma conexão ainda não tiver sido estabelecida, será necessário configurar uma ao ativar a Detecção de ameaças de VM para a AWS.

    Para configurar uma conexão, crie um conector da AWS.

    Ativar a VM Threat Detection para a AWS no Security Command Center

    A VM Threat Detection para AWS precisa ser ativada em Google Cloud no nível da organização.

    1. No console do Google Cloud, acesse a página Ativação do serviço de detecção de ameaças de máquina virtual.

      Acessar "Ativação de serviço"

    2. Selecione a organização.

    3. Clique na guia Amazon Web Services.

    4. Na seção Ativação do serviço, no campo Status, selecione Ativar.

    5. Na seção AWS connector, verifique se o status mostra AWS Connector added.

      Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar-se à AWS para configuração e coleta de dados de recursos antes de passar para a próxima etapa.

    6. Se você já tiver ativado a avaliação de vulnerabilidades para o serviço da AWS e implantado o modelo do CloudFormation como parte desse recurso, pule esta etapa. Clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é transferido por download para a estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar.

    Implantar o modelo do AWS CloudFormation

    Siga estas etapas pelo menos seis horas após criar um conector da AWS.

    Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.

    1. Acesse a página AWS CloudFormation Template no console de gerenciamento da AWS.
    2. Clique em Pilhas > Com novos recursos (padrão).
    3. Na página Criar pilha, selecione Escolher um modelo existente e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
    4. Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
    5. Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
    6. Em Permissões, selecione o papel da AWS que você criou anteriormente.
    7. Se necessário, marque a caixa para confirmar.
    8. Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

    O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.

    Depois que as verificações começam a ser executadas, se houver ameaças detectadas, as descobertas correspondentes serão geradas e exibidas na página de descobertas do Security Command Center no console do Google Cloud. Para mais informações, consulte Analisar descobertas no console do Google Cloud.

    Solução de problemas

    Se você ativou o serviço de detecção de ameaças da VM, mas as verificações não estão em execução, verifique o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser CREATION_COMPLETE.

    A seguir