VM Threat Detection für AWS aktivieren

Auf dieser Seite wird beschrieben, wie Sie die VM-Gefahrenerkennung einrichten und verwenden, um auf Malware in den nichtflüchtigen Laufwerken von Amazon Elastic Compute Cloud-VMs (EC2) zu prüfen.

Wenn Sie die VM-Bedrohungserkennung für AWS aktivieren möchten, müssen Sie auf der AWS-Plattform eine AWS IAM-Rolle erstellen, die VM-Bedrohungserkennung für AWS in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Wenn Sie VM Threat Detection für die Verwendung mit AWS aktivieren möchten, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Damit Sie die VM-Gefahrenerkennung für AWS einrichten können, müssen Sie sowohl inGoogle Cloud als auch in AWS Rollen mit den erforderlichen Berechtigungen erhalten.

Google Cloud  Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. AWS-Rollen

    In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

    So erstellen Sie eine Rolle für die VM-Bedrohungserkennung in AWS:

    1. Rufen Sie mit einem AWS-Administratorkonto die Seite IAM-Rollen in der AWS-Managementkonsole auf.
    2. Wählen Sie im Menü Dienst oder Anwendungsfall die Option Lambda aus.
    3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:
      1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und die VM-Bedrohungserkennung.
      2. Fügen Sie die Richtlinie in den JSON-Editor ein.
      3. Geben Sie einen Namen für die Richtlinie an.
      4. Speichern Sie die Richtlinie.
    5. Öffnen Sie den Tab Vertrauensstellungen.

    6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Speichern Sie die Rolle.

    Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    Prüfen, ob Security Command Center mit AWS verbunden ist

    Für die VM-Bedrohungserkennung ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Sie einen AWS-Connector erstellen.

    Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie die VM-Gefahrenerkennung für AWS aktivieren.

    Wenn Sie eine Verbindung einrichten möchten, erstellen Sie einen AWS-Connector.

    VM Threat Detection für AWS im Security Command Center aktivieren

    VM Threat Detection für AWS muss auf Google Cloud Organisationsebene aktiviert sein.

    1. Rufen Sie in der Google Cloud Console die Seite Aktivierung des Dienstes zur Erkennung von VM-Bedrohungen auf.

      Zu „Dienstaktivierung“

    2. Wählen Sie Ihre Organisation aus.

    3. Klicken Sie auf den Tab Amazon Web Services.

    4. Wählen Sie im Abschnitt Dienstaktivierung im Feld Status die Option Aktivieren aus.

    5. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet.

      Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erfassen aus, bevor Sie mit dem nächsten Schritt fortfahren.

    6. Wenn Sie die Sicherheitslückenbewertung für den AWS-Dienst bereits aktiviert und die CloudFormation-Vorlage im Rahmen dieser Funktion bereitgestellt haben, überspringen Sie diesen Schritt. Klicken Sie auf CloudFormation-Vorlage herunterladen. Auf Ihre Workstation wird eine JSON-Vorlage heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie scannen möchten.

    AWS CloudFormation-Vorlage bereitstellen

    Führen Sie diese Schritte mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors aus.

    Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

    1. Rufen Sie in der AWS-Managementkonsole die Seite AWS CloudFormation-Vorlage auf.
    2. Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
    3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und dann Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
    4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage.
    5. Wählen Sie Stapeldetails angeben aus. Die Seite Stapeloptionen konfigurieren wird geöffnet.
    6. Wählen Sie unter Berechtigungen die AWS-Rolle aus, die Sie zuvor erstellt haben.
    7. Klicken Sie das Kästchen für die Bestätigung an, wenn Sie dazu aufgefordert werden.
    8. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Die Ausführung des Stacks dauert einige Minuten.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Hilfeartikel Fehlerbehebung.

    Wenn nach Beginn der Scans Bedrohungen erkannt werden, werden die entsprechenden Ergebnisse generiert und in der Google Cloud Console auf der Seite „Ergebnisse“ des Security Command Centers angezeigt. Weitere Informationen finden Sie unter Ergebnisse in der Google Cloud Console überprüfen.

    Fehlerbehebung

    Wenn Sie den Dienst „VM Threat Detection“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstapel vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.

    Nächste Schritte