Diese Seite wurde von der Cloud Translation API übersetzt.

VM Threat Detection für AWS aktivieren

für Unternehmen

Auf dieser Seite wird beschrieben, wie Sie Virtual Machine Threat Detection einrichten und verwenden, um Malware auf den nichtflüchtigen Speichern von Amazon Elastic Compute Cloud-VMs (EC2) zu scannen.

Wenn Sie die VM-Bedrohungserkennung für AWS aktivieren möchten, müssen Sie eine AWS IAM-Rolle auf der AWS-Plattform erstellen, die VM-Bedrohungserkennung für AWS in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Damit VM Threat Detection mit AWS verwendet werden kann, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Um die Einrichtung von VM Threat Detection für AWS abzuschließen, benötigen Sie Rollen mit den erforderlichen Berechtigungen inGoogle Cloud und AWS.

Google Cloud -Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
IAM aufrufen
Wählen Sie die Organisation aus.
Klicken Sie auf Zugriffsrechte erteilen.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
Klicken Sie auf Speichern.

AWS-Rollen

In Amazon Web Services (AWS) muss ein AWS-Administratornutzer das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen. Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

Wenn Sie eine Rolle für VM Threat Detection in AWS erstellen möchten, folgen Sie der Anleitung unter Rolle für einen AWS-Dienst erstellen (Konsole).

Wichtige Hinweise:
- Wählen Sie für Dienst oder Anwendungsfall die Option Lambda aus.
- Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
  - AmazonSSMManagedInstanceCore
  - AWSLambdaBasicExecutionRole
  - AWSLambdaVPCAccessExecutionRole
- Erstellen Sie eine Berechtigungsrichtlinie für die AWS-Rolle:
  1. Folgen Sie der Anleitung zum Ändern und Kopieren der Berechtigungsrichtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und die VM-Bedrohungserkennung.
  2. Geben Sie die Richtlinie im JSON-Editor in AWS ein.
- Fügen Sie für Vertrauensbeziehungen dem vorhandenen Statement-Array den folgenden JSON-Eintrag hinzu:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Prüfen, ob Security Command Center mit AWS verbunden ist

Für die VM-Bedrohungserkennung ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Sie einen AWS-Connector erstellen.

Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie die VM-Bedrohungserkennung für AWS aktivieren.

Um eine Verbindung einzurichten, erstellen Sie einen AWS-Connector.

VM Threat Detection für AWS in Security Command Center aktivieren

VM Threat Detection für AWS muss auf Google Cloud auf Organisationsebene aktiviert werden.

Console

Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement auf.

Zu „Service Enablement“
Wählen Sie Ihre Organisation aus.
Klicken Sie auf den Tab Amazon Web Services.
Wählen Sie im Abschnitt Service Enablement (Dienstaktivierung) im Feld Status die Option Aktivieren aus.
Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet.

Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erheben aus, bevor Sie mit dem nächsten Schritt fortfahren.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische Kennung der Organisation
NEW_STATE: ENABLED, um VM Threat Detection für AWS zu aktivieren; DISABLED, um VM Threat Detection für AWS zu deaktivieren

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
ORGANIZATION_ID: die numerische Kennung der Organisation
NEW_STATE: ENABLED, um VM Threat Detection für AWS zu aktivieren; DISABLED, um VM Threat Detection für AWS zu deaktivieren

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

JSON-Text anfordern:

{
  "intendedEnablementState": "NEW_STATE"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, ist die Einrichtung von VM Threat Detection für AWS abgeschlossen.

Warten Sie andernfalls sechs Stunden und führen Sie dann die nächste Aufgabe aus: Laden Sie die CloudFormation-Vorlage herunter.

CloudFormation-Vorlage herunterladen

Führen Sie diese Aufgabe mindestens sechs Stunden nach dem Aktivieren von VM Threat Detection für AWS aus.

Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement auf.

Zu „Service Enablement“
Wählen Sie Ihre Organisation aus.
Klicken Sie auf den Tab Amazon Web Services.
Klicken Sie im Bereich CloudFormation-Vorlage bereitstellen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das gescannt werden soll.

AWS CloudFormation-Vorlage bereitstellen

Stellen Sie die CloudFormation-Vorlage mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors bereit.

Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

Beachten Sie Folgendes: * Nachdem die CloudFormation-Vorlage hochgeladen wurde, geben Sie einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage. * Wählen Sie unter Permissions (Berechtigungen) in den Stack-Optionen die AWS-Rolle aus, die Sie zuvor erstellt haben. * Nachdem Sie die CloudFormation-Vorlage bereitgestellt haben, dauert es einige Minuten, bis der Stack ausgeführt wird.

Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Abschnitt Fehlerbehebung.

Wenn nach dem Starten der Scans Bedrohungen erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Seite Ergebnisse von Security Command Center in der Google Cloud Console angezeigt. Weitere Informationen finden Sie unter Ergebnisse in derGoogle Cloud -Konsole ansehen.

Module verwalten

In diesem Abschnitt wird beschrieben, wie Sie Module aktivieren oder deaktivieren und ihre Einstellungen aufrufen.

Modul aktivieren oder deaktivieren

Nachdem Sie ein Modul aktiviert oder deaktiviert haben, kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie VM Bedrohungserkennung-Module auf Organisationsebene aktivieren oder deaktivieren.

Rufen Sie in der Google Cloud Console die Seite Module auf.

Zu den Modulen
Wählen Sie Ihre Organisation aus.
Wählen Sie auf dem Tab Module in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und wählen Sie dann eine der folgenden Optionen aus:
- Aktivieren: Aktivieren Sie das Modul.
- Deaktivieren: Das Modul wird deaktiviert.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische Kennung der Organisation
MODULE_NAME: Der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Gültige Werte sind nur die Module in Threat findings (Bedrohungsergebnisse), die AWS unterstützen.
NEW_STATE: ENABLED zum Aktivieren des Moduls; DISABLED zum Deaktivieren des Moduls

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
ORGANIZATION_ID: die numerische Kennung der Organisation
MODULE_NAME: Der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Gültige Werte sind nur die Module in Threat findings (Bedrohungsergebnisse), die AWS unterstützen.
NEW_STATE: ENABLED zum Aktivieren des Moduls; DISABLED zum Deaktivieren des Moduls

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

JSON-Text anfordern:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Einstellungen der VM Bedrohungserkennung-Module für AWS ansehen

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie die Einstellungen für VM Bedrohungserkennungs-Module auf Organisationsebene ansehen.

Rufen Sie in der Google Cloud Console die Seite Module auf.

Zu den Modulen
Wählen Sie Ihre Organisation aus.

gcloud

Mit dem Befehl gcloud scc manage services describe wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

Führen Sie den Befehl gcloud scc manage services describe aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Fehlerbehebung

Wenn Sie den Dienst „VM Threat Detection“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.

Nächste Schritte

So verwenden Sie VM Threat Detection.
Auf Compute Engine-Bedrohungsbefunde reagieren
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.

VM Threat Detection für AWS aktivieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Rollen und Berechtigungen

Google Cloud -Rollen

Check for the roles

Grant the roles

AWS-Rollen

Prüfen, ob Security Command Center mit AWS verbunden ist

VM Threat Detection für AWS in Security Command Center aktivieren

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

CloudFormation-Vorlage herunterladen

AWS CloudFormation-Vorlage bereitstellen

Module verwalten

Modul aktivieren oder deaktivieren

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Einstellungen der VM Bedrohungserkennung-Module für AWS ansehen

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Fehlerbehebung

Nächste Schritte

VM Threat Detection für AWS aktivieren