VM Threat Detection für AWS aktivieren

für Unternehmen

Auf dieser Seite wird beschrieben, wie Sie Virtual Machine Threat Detection einrichten und verwenden, um Malware in den nichtflüchtigen Speichern von Amazon Elastic Compute Cloud-VMs (EC2) zu scannen.

Wenn Sie die VM-Bedrohungserkennung für AWS aktivieren möchten, müssen Sie eine AWS IAM-Rolle auf der AWS-Plattform erstellen, die VM-Bedrohungserkennung für AWS in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Damit VM Threat Detection mit AWS verwendet werden kann, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Um die Einrichtung von VM Threat Detection für AWS abzuschließen, benötigen Sie Rollen mit den erforderlichen Berechtigungen inGoogle Cloud und AWS.

Google Cloud -Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. AWS-Rollen

    In AWS muss ein AWS-Administratornutzer das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

    So erstellen Sie eine Rolle für VM Threat Detection in AWS:

    1. Rufen Sie mit einem AWS-Administratorkonto in der AWS Management Console die Seite IAM Rollen auf.
    2. Wählen Sie im Menü Service oder Anwendungsfall die Option lambda aus.
    3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:
      1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für Vulnerability Assessment for AWS und VM Threat Detection.
      2. Fügen Sie die Richtlinie in den JSON-Editor ein.
      3. Geben Sie einen Namen für die Richtlinie an.
      4. Speichern Sie die Richtlinie.
    5. Öffnen Sie den Tab Vertrauensstellungen.

    6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Speichern Sie die Rolle.

    Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    Prüfen, ob Security Command Center mit AWS verbunden ist

    Für die VM-Bedrohungserkennung ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Sie einen AWS-Connector erstellen.

    Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie die VM-Bedrohungserkennung für AWS aktivieren.

    Um eine Verbindung einzurichten, erstellen Sie einen AWS-Connector.

    VM Threat Detection für AWS in Security Command Center aktivieren

    VM Threat Detection für AWS muss auf Google Cloud auf Organisationsebene aktiviert werden.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement (Aktivierung des Dienstes „Bedrohungserkennung für virtuelle Maschinen“) auf.

      Zu „Service Enablement“

    2. Wählen Sie Ihre Organisation aus.

    3. Klicken Sie auf den Tab Amazon Web Services.

    4. Wählen Sie im Abschnitt Service Enablement (Dienstaktivierung) im Feld Status die Option Aktivieren aus.

    5. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet.

      Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erheben aus, bevor Sie mit dem nächsten Schritt fortfahren.

    gcloud

    Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • ORGANIZATION_ID: die numerische Kennung der Organisation
    • NEW_STATE: ENABLED zum Aktivieren von VM Threat Detection für AWS; DISABLED zum Deaktivieren von VM Threat Detection für AWS

    Führen Sie den Befehl gcloud scc manage services update aus:

    Linux, macOS oder Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
    • ORGANIZATION_ID: die numerische Kennung der Organisation
    • NEW_STATE: ENABLED zum Aktivieren von VM Threat Detection für AWS; DISABLED zum Deaktivieren von VM Threat Detection für AWS

    HTTP-Methode und URL:

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    JSON-Text anfordern:

    {
  "intendedEnablementState": "NEW_STATE"
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, ist die Einrichtung von VM Threat Detection für AWS abgeschlossen.

    Warten Sie andernfalls sechs Stunden und führen Sie dann die nächste Aufgabe aus: Laden Sie die CloudFormation-Vorlage herunter.

    CloudFormation-Vorlage herunterladen

    Führen Sie diese Aufgabe mindestens sechs Stunden nach dem Aktivieren von VM Threat Detection für AWS aus.

    1. Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement (Aktivierung des Dienstes „Bedrohungserkennung für virtuelle Maschinen“) auf.

      Zu „Service Enablement“

    2. Wählen Sie Ihre Organisation aus.

    3. Klicken Sie auf den Tab Amazon Web Services.

    4. Klicken Sie im Bereich CloudFormation-Vorlage bereitstellen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das gescannt werden soll.

    AWS CloudFormation-Vorlage bereitstellen

    Führen Sie diese Schritte mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors aus.

    Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

    1. Rufen Sie in der AWS Management Console die Seite AWS CloudFormation Template (AWS CloudFormation-Vorlage) auf.
    2. Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
    3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
    4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage.
    5. Wählen Sie Stack-Details angeben aus. Die Seite Stapeloptionen konfigurieren wird geöffnet.
    6. Wählen Sie unter Berechtigungen die AWS-Rolle aus, die Sie zuvor erstellt haben.
    7. Klicken Sie das Kästchen an, wenn Sie dazu aufgefordert werden.
    8. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Es dauert einige Minuten, bis der Stack ausgeführt wird.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Abschnitt Fehlerbehebung.

    Wenn nach dem Starten der Scans Bedrohungen erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console angezeigt. Weitere Informationen finden Sie unter Ergebnisse in derGoogle Cloud -Konsole ansehen.

    Module verwalten

    In diesem Abschnitt wird beschrieben, wie Sie Module aktivieren oder deaktivieren und ihre Einstellungen aufrufen.

    Modul aktivieren oder deaktivieren

    Nachdem Sie ein Modul aktiviert oder deaktiviert haben, kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

    Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

    Console

    In der Google Cloud -Konsole können Sie VM Bedrohungserkennung-Module auf Organisationsebene aktivieren oder deaktivieren.

    1. Rufen Sie in der Google Cloud Console die Seite Module auf.

      Zu den Modulen

    2. Wählen Sie Ihre Organisation aus.

    3. Wählen Sie auf dem Tab Module in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und wählen Sie dann eine der folgenden Optionen aus:

      • Aktivieren: Aktivieren Sie das Modul.
      • Deaktivieren: Das Modul wird deaktiviert.

    gcloud

    Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • ORGANIZATION_ID: die numerische Kennung der Organisation
    • MODULE_NAME: Der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Gültige Werte sind nur die Module in Threat findings, die AWS unterstützen.
    • NEW_STATE: ENABLED zum Aktivieren des Moduls; DISABLED zum Deaktivieren des Moduls

    Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json: 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Führen Sie den Befehl gcloud scc manage services update aus:

    Linux, macOS oder Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
    • ORGANIZATION_ID: die numerische Kennung der Organisation
    • MODULE_NAME: Der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Gültige Werte sind nur die Module in Threat findings, die AWS unterstützen.
    • NEW_STATE: ENABLED zum Aktivieren des Moduls; DISABLED zum Deaktivieren des Moduls

    HTTP-Methode und URL:

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    JSON-Text anfordern:

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Einstellungen der VM Bedrohungserkennung-Module für AWS ansehen

    Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

    Console

    In der Google Cloud -Konsole können Sie die Einstellungen für VM Bedrohungserkennungs-Module auf Organisationsebene ansehen.

    1. Rufen Sie in der Google Cloud Console die Seite Module auf.

      Zu den Modulen

    2. Wählen Sie Ihre Organisation aus.

    gcloud

    Mit dem Befehl gcloud scc manage services describe wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

    Führen Sie den Befehl gcloud scc manage services describe aus:

    Linux, macOS oder Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Mit der Methode organizations.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
    • ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

    HTTP-Methode und URL:

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Fehlerbehebung

    Wenn Sie den Dienst „VM Threat Detection“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.

    Nächste Schritte