Esta página foi traduzida pela API Cloud Translation.

Ative a deteção de ameaças de VMs para a AWS

Esta página descreve como configurar e usar a deteção de ameaças de máquinas virtuais para procurar software malicioso nos discos persistentes das VMs do Amazon Elastic Compute Cloud (EC2).

Para ativar a deteção de ameaças de VMs para a AWS, tem de criar uma função do IAM da AWS na plataforma AWS, ativar a deteção de ameaças de VMs para a AWS no Security Command Center e, em seguida, implementar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a deteção de ameaças de VMs para utilização com a AWS, precisa de determinadas autorizações da IAM e o Security Command Center tem de estar ligado à AWS.

Funções e permissões

Para concluir a configuração da Deteção de ameaças de VMs para a AWS, tem de lhe serem concedidas funções com as autorizações necessárias noGoogle Cloud e na AWS.

Google Cloud funções

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Aceder ao IAM
Selecione a organização.
Clique em Conceder acesso.
No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.
Na lista Selecionar uma função, selecione uma função.
Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
Clique em Guardar.

Funções da AWS

Nos Amazon Web Services (AWS), um utilizador administrativo dos AWS tem de criar a conta dos AWS necessária para ativar as análises. Atribui esta função mais tarde quando instala o modelo do CloudFormation na AWS.

Para criar uma função para a Deteção de ameaças de VMs na AWS, siga os passos em Crie uma função para um serviço da AWS (consola).

Tenha em conta o seguinte:
- Para serviço ou exemplo de utilização, selecione lambda.
- Adicione as seguintes políticas de autorização:
  - AmazonSSMManagedInstanceCore
  - AWSLambdaBasicExecutionRole
  - AWSLambdaVPCAccessExecutionRole
- Crie uma política de autorização para a função da AWS:
  1. Siga as instruções para modificar e copiar a política de autorizações: Política de funções para a avaliação de vulnerabilidades para o AWS e a deteção de ameaças de VMs.
  2. Introduza a política no editor JSON na AWS.
- Para relações de confiança, adicione a seguinte entrada JSON a qualquer matriz de declarações existente:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Confirme que o Security Command Center está ligado à AWS

A deteção de ameaças de VMs requer acesso ao inventário de recursos da AWS que o Cloud Asset Inventory mantém quando cria um conector da AWS.

Se ainda não tiver uma ligação estabelecida, tem de configurar uma quando ativa a deteção de ameaças de VMs para a AWS.

Para configurar uma associação, crie um conector da AWS.

Ative a deteção de ameaças de VMs para a AWS no Security Command Center

A Deteção de ameaças de VMs para a AWS tem de estar ativada Google Cloud ao nível da organização.

Consola

Na Google Cloud consola, aceda à página Ativação do serviço de deteção de ameaças da máquina virtual.

Aceda à ativação de serviços
Selecione a sua organização.
Clique no separador Amazon Web Services.
Na secção Ativação de serviços, no campo Estado, selecione Ativar.
Na secção Conetor da AWS, verifique se o estado apresenta Conetor da AWS adicionado.

Se o estado apresentar Nenhum conetor da AWS adicionado, clique em Adicionar conetor da AWS. Conclua os passos em Estabeleça ligação à AWS para configuração e recolha de dados de recursos antes de avançar para o passo seguinte.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ORGANIZATION_ID: o identificador numérico da organização
NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs para o AWS; DISABLED para desativar a Deteção de ameaças de VMs para o AWS

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
ORGANIZATION_ID: o identificador numérico da organização
NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs para o AWS; DISABLED para desativar a Deteção de ameaças de VMs para o AWS

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

Corpo JSON do pedido:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Se já ativou a avaliação de vulnerabilidades para o serviço AWS e implementou o modelo do CloudFormation como parte dessa funcionalidade, concluiu a configuração da deteção de ameaças de VMs para a AWS.

Caso contrário, aguarde seis horas e, em seguida, execute a tarefa seguinte: transfira o modelo do CloudFormation.

Transfira o modelo do CloudFormation

Execute esta tarefa, pelo menos, seis horas após ativar a deteção de ameaças de VMs para a AWS.

Na Google Cloud consola, aceda à página Ativação do serviço de deteção de ameaças da máquina virtual.

Aceda à ativação de serviços
Selecione a sua organização.
Clique no separador Amazon Web Services.
Na secção Implementar modelo do CloudFormation, clique em Transferir modelo do CloudFormation. É transferido um modelo JSON para a sua estação de trabalho. Tem de implementar o modelo em cada conta da AWS que precisa de analisar.

Implemente o modelo do AWS CloudFormation

Implemente o modelo do CloudFormation, pelo menos, seis horas após criar um conetor da AWS.

Para ver informações detalhadas sobre como implementar um modelo do CloudFormation, consulte o artigo Crie uma pilha a partir da consola do CloudFormation na documentação da AWS.

Tenha em atenção o seguinte: * Depois de carregar o modelo do CloudFormation, introduza um nome de conjunto exclusivo. Não modifique outros parâmetros no modelo. * Para Autorizações nas opções da hierarquia, selecione a função da AWS que criou anteriormente. * Depois de implementar o modelo do CloudFormation, a pilha demora alguns minutos a começar a ser executada.

O estado da implementação é apresentado na consola da AWS. Se o modelo do CloudFormation não for implementado, consulte a secção Resolução de problemas.

Depois de as análises começarem a ser executadas, se forem detetadas ameaças, são geradas as conclusões correspondentes e apresentadas na página Conclusões do Security Command Center na Google Cloud consola. Para mais informações, consulte a secção Reveja as conclusões na Google Cloud consola.

Faça a gestão de módulos

Esta secção descreve como ativar ou desativar módulos e ver as respetivas definições.

Ative ou desative um módulo

Depois de ativar ou desativar um módulo, as alterações podem demorar até uma hora a entrar em vigor.

Para obter informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte o artigo Conclusões de ameaças.

Consola

A consola permite-lhe ativar ou desativar módulos de deteção de ameaças de MV ao nível da organização. Google Cloud

Na Google Cloud consola, aceda à página Módulos.

Aceda a Módulos
Selecione a sua organização.
No separador Módulos, na coluna Estado, selecione o estado atual do módulo que quer ativar ou desativar e, de seguida, selecione uma das seguintes opções:
- Ativar: ative o módulo.
- Desativar: desative o módulo.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ORGANIZATION_ID: o identificador numérico da organização
MODULE_NAME: o nome do módulo a ativar ou desativar. Por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Resultados de ameaças que suportam a AWS.
NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

Guarde o seguinte conteúdo num ficheiro denominado request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
ORGANIZATION_ID: o identificador numérico da organização
MODULE_NAME: o nome do módulo a ativar ou desativar. Por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Resultados de ameaças que suportam a AWS.
NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

Corpo JSON do pedido:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Veja as definições da Deteção de ameaças de MV para módulos da AWS

Para obter informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte o artigo Conclusões de ameaças.

Consola

A Google Cloud consola permite-lhe ver as definições dos módulos de deteção de ameaças de VMs ao nível da organização.

Na Google Cloud consola, aceda à página Módulos.

Aceda a Módulos
Selecione a sua organização.

gcloud

O comando gcloud scc manage services describe obtém o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ORGANIZATION_ID: o identificador numérico da organização a obter

Execute o comando gcloud scc manage services describe:

Linux, macOS ou Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.get da API Security Command Center Management obtém o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
ORGANIZATION_ID: o identificador numérico da organização a obter

Método HTTP e URL:

GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Resolução de problemas

Se ativou o serviço de deteção de ameaças de VMs, mas as análises não estão a ser executadas, verifique o seguinte:

Verifique se o conector da AWS está configurado corretamente.
Confirme se a pilha do modelo do CloudFormation foi implementada na totalidade. O respetivo estado na conta da AWS deve ser CREATION_COMPLETE.

O que se segue?

Saiba como usar a deteção de ameaças de VMs.
Saiba como responder a resultados de ameaças do Compute Engine.
Consulte o índice de resultados de ameaças.