Habilitar Detección de amenazas en VMs para AWS

En esta página se describe cómo configurar y usar Detección de amenazas en máquinas virtuales para buscar malware en los discos persistentes de las máquinas virtuales de Amazon Elastic Compute Cloud (EC2).

Para habilitar Detección de amenazas en VMs para AWS, debe crear un rol de gestión de identidades y accesos (IAM) de AWS en la plataforma de AWS, habilitar Detección de amenazas en VMs para AWS en Security Command Center y, a continuación, implementar una plantilla de CloudFormation en AWS.

Antes de empezar

Para habilitar la detección de amenazas de máquinas virtuales y usarla con AWS, necesitas ciertos permisos de gestión de identidades y accesos, y Security Command Center debe estar conectado a AWS.

Roles y permisos

Para completar la configuración de Detección de amenazas de VM para AWS, debes tener roles con los permisos necesarios tanto enGoogle Cloud como en AWS.

Google Cloud roles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Roles de AWS

    En AWS, un usuario administrativo de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis.

    Para crear un rol para Detección de amenazas de VM en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativo de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. En el menú Service or Use Case (Servicio o caso práctico), selecciona lambda.
    3. Añade las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Añadir permiso > Crear política insertada para crear una política de permisos:
      1. Abre la página siguiente y copia la política: Política de rol para la evaluación de vulnerabilidades de AWS y la detección de amenazas de máquinas virtuales.
      2. En el editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y añádelo a cualquier matriz de instrucciones que ya tengas:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Guarda el rol.

    Asignarás este rol más adelante, cuando instales la plantilla de CloudFormation en AWS.

    Confirmar que Security Command Center está conectado a AWS

    Detección de amenazas en VMs requiere acceso al inventario de recursos de AWS que mantiene Cloud Asset Inventory cuando creas un conector de AWS.

    Si aún no se ha establecido una conexión, debes configurar una cuando habilites la detección de amenazas de máquinas virtuales para AWS.

    Para configurar una conexión, crea un conector de AWS.

    Habilitar Detección de amenazas de VMs para AWS en Security Command Center

    VM Threat Detection para AWS debe habilitarse Google Cloud a nivel de organización.

    Consola

    1. En la Google Cloud consola, ve a la página Habilitación del servicio Virtual Machine Threat Detection.

      Ir a Habilitación de servicios

    2. Selecciona tu organización.

    3. Haz clic en la pestaña Amazon Web Services.

    4. En la sección Habilitación de servicios, en el campo Estado, selecciona Habilitar.

    5. En la sección Conector de AWS, comprueba que el estado sea Conector de AWS añadido.

      Si el estado es No se ha añadido ningún conector de AWS, haz clic en Añadir conector de AWS. Completa los pasos de Conectarse a AWS para recoger datos de configuración y recursos antes de pasar al siguiente paso.

    gcloud

    El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • ORGANIZATION_ID: identificador numérico de la organización
    • NEW_STATE: ENABLED para habilitar la detección de amenazas de VMs en AWS; DISABLED para inhabilitar la detección de amenazas de VMs en AWS

    Ejecuta el comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Deberías recibir una respuesta similar a la siguiente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.patch de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
    • ORGANIZATION_ID: identificador numérico de la organización
    • NEW_STATE: ENABLED para habilitar la detección de amenazas de VMs en AWS; DISABLED para inhabilitar la detección de amenazas de VMs en AWS

    Método HTTP y URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Cuerpo JSON de la solicitud: 

    {
  "intendedEnablementState": "NEW_STATE"
}

    Para enviar tu solicitud, despliega una de estas opciones:

    Deberías recibir una respuesta JSON similar a la siguiente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Si ya has habilitado el servicio Vulnerability Assessment for AWS y has implementado la plantilla de CloudFormation como parte de esa función, ya has terminado de configurar Detección de amenazas de VMs para AWS.

    De lo contrario, espera seis horas y, a continuación, realiza la siguiente tarea: descarga la plantilla de CloudFormation.

    Descargar la plantilla de CloudFormation

    Realiza esta tarea al menos seis horas después de habilitar VM Threat Detection para AWS.

    1. En la Google Cloud consola, ve a la página Habilitación del servicio Virtual Machine Threat Detection.

      Ir a Habilitación de servicios

    2. Selecciona tu organización.

    3. Haz clic en la pestaña Amazon Web Services.

    4. En la sección Deploy CloudFormation template (Implementar plantilla de CloudFormation), haga clic en Download CloudFormation template (Descargar plantilla de CloudFormation). Se descargará una plantilla JSON en tu estación de trabajo. Debe implementar la plantilla en cada cuenta de AWS que quiera analizar.

    Desplegar la plantilla de AWS CloudFormation

    Sigue estos pasos al menos seis horas después de crear un conector de AWS.

    Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta el artículo Crear una pila desde la consola de CloudFormation de la documentación de AWS.

    1. Ve a la página Plantilla de AWS CloudFormation de la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla y Subir un archivo de plantilla para subir la plantilla de CloudFormation.
    4. Cuando se haya completado la subida, introduce un nombre único para el stack. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configurar opciones de pila.
    6. En Permissions (Permisos), selecciona el rol de AWS que creaste anteriormente.
    7. Si se le solicita, marque la casilla de confirmación.
    8. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en empezar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se puede implementar, consulta la sección Solución de problemas.

    Una vez que se hayan iniciado los análisis, si se detecta alguna amenaza, se generarán los resultados correspondientes, que se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud . Para obtener más información, consulta Revisar los resultados en la consola deGoogle Cloud .

    Gestionar módulos

    En esta sección se describe cómo habilitar o inhabilitar módulos y ver su configuración.

    Habilitar o inhabilitar un módulo

    Después de habilitar o inhabilitar un módulo, los cambios pueden tardar hasta una hora en aplicarse.

    Para obtener información sobre todas las detecciones de amenazas de VM y los módulos que las generan, consulta Detecciones de amenazas.

    Consola

    La consola de Google Cloud te permite habilitar o inhabilitar módulos de detección de amenazas de VMs a nivel de organización.

    1. En la Google Cloud consola, ve a la página Módulos.

      Ir a Módulos

    2. Selecciona tu organización.

    3. En la pestaña Módulos, en la columna Estado, seleccione el estado actual del módulo que quiera habilitar o inhabilitar y, a continuación, elija una de las siguientes opciones:

      • Habilitar: habilita el módulo.
      • Inhabilitar: inhabilita el módulo.

    gcloud

    El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • ORGANIZATION_ID: identificador numérico de la organización
    • MODULE_NAME: el nombre del módulo que se va a habilitar o inhabilitar. Por ejemplo, MALWARE_DISK_SCAN_YARA_AWS. Los valores válidos solo incluyen los módulos de hallazgos de amenazas que admiten AWS.
    • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo

    Guarda el siguiente contenido en un archivo llamado request.json: 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Ejecuta el comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Deberías recibir una respuesta similar a la siguiente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.patch de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
    • ORGANIZATION_ID: identificador numérico de la organización
    • MODULE_NAME: el nombre del módulo que se va a habilitar o inhabilitar. Por ejemplo, MALWARE_DISK_SCAN_YARA_AWS. Los valores válidos solo incluyen los módulos de hallazgos de amenazas que admiten AWS.
    • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo

    Método HTTP y URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Cuerpo JSON de la solicitud: 

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    Deberías recibir una respuesta JSON similar a la siguiente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Ver los ajustes de Detección de amenazas de MV para módulos de AWS

    Para obtener información sobre todas las detecciones de amenazas de VM y los módulos que las generan, consulta Detecciones de amenazas.

    Consola

    La consola Google Cloud te permite ver los ajustes de los módulos de detección de amenazas de máquinas virtuales a nivel de organización.

    1. En la Google Cloud consola, ve a la página Módulos.

      Ir a Módulos

    2. Selecciona tu organización.

    gcloud

    El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • ORGANIZATION_ID: identificador numérico de la organización que se va a obtener.

    Ejecuta el comando gcloud scc manage services describe:

    Linux, macOS o Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Deberías recibir una respuesta similar a la siguiente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.get de la API Management de Security Command Center obtiene el estado de un servicio o módulo de Security Command Center.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
    • ORGANIZATION_ID: identificador numérico de la organización que se va a obtener.

    Método HTTP y URL: 

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Para enviar tu solicitud, despliega una de estas opciones:

    Deberías recibir una respuesta JSON similar a la siguiente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Solución de problemas

    Si has habilitado el servicio Detección de amenazas de VMs, pero no se están ejecutando análisis, comprueba lo siguiente:

    • Comprueba que el conector de AWS esté configurado correctamente.
    • Confirme que la pila de la plantilla de CloudFormation se ha implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.

    Siguientes pasos