Habilita VM Threat Detection para AWS

En esta página, se describe cómo configurar y usar la detección de amenazas de máquinas virtuales para buscar software malicioso en los discos persistentes de las VMs de Amazon Elastic Compute Cloud (EC2).

Para habilitar la Detección de amenazas de VM para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar la Detección de amenazas de VM para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar VM Threat Detection para usar con AWS, necesitas ciertos permisos de IAM, y Security Command Center debe estar conectado a AWS.

Funciones y permisos

Para completar la configuración de VM Threat Detection para AWS, debes obtener roles con los permisos necesarios enGoogle Cloud y AWS.

Google Cloud roles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Roles de AWS

    En AWS, un usuario administrador de AWS debe crear la cuenta de AWS que necesitas para habilitar las búsquedas.

    Para crear un rol para VM Threat Detection en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativa de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. En el menú Servicio o caso de uso, selecciona lambda.
    3. Agrega las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Agregar permiso > Crear política intercalada para crear una nueva política de permisos:
      1. Abre la siguiente página y copia la política: Política de roles para la evaluación de vulnerabilidades de AWS y la detección de amenazas de VM.
      2. En el Editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y agrégalo a cualquier array de instrucciones existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Guarda el rol.

    Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.

    Confirma que Security Command Center esté conectado a AWS

    La Detección de amenazas de VM requiere acceso al inventario de recursos de AWS que mantiene el Inventario de activos de Cloud cuando creas un conector de AWS.

    Si aún no se estableció una conexión, debes configurar una cuando habilites la Detección de amenazas de VM para AWS.

    Para configurar una conexión, crea un conector de AWS.

    Habilita VM Threat Detection para AWS en Security Command Center

    VM Threat Detection para AWS debe estar habilitado en Google Cloud a nivel de la organización.

    1. En la consola de Google Cloud, ve a la página Habilitación del servicio de detección de amenazas de máquinas virtuales.

      Ir a Habilitación de servicios

    2. Selecciona tu organización.

    3. Haz clic en la pestaña Amazon Web Services.

    4. En la sección Habilitación de servicios, en el campo Estado, selecciona Habilitar.

    5. En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS.

      Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Cómo conectarse a AWS para la configuración y la recopilación de datos de recursos antes de continuar con el siguiente paso.

    6. Si ya habilitaste el servicio de Evaluación de vulnerabilidades para AWS y ya implementaste la plantilla de CloudFormation como parte de esa función, omite este paso. Haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar.

    Implementa la plantilla de AWS CloudFormation

    Realiza estos pasos al menos seis horas después de crear un conector de AWS.

    Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta Crea una pila desde la consola de CloudFormation en la documentación de AWS.

    1. Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Create stack, selecciona Choose an existing template y Upload a template file para subir la plantilla de CloudFormation.
    4. Una vez completada la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configure stack options.
    6. En Permisos, selecciona el rol de AWS que creaste anteriormente.
    7. Si se te solicita, marca la casilla de acuse de recibo.
    8. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en comenzar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

    Después de que se inicien los análisis, si se detecta alguna amenaza, se generarán los resultados correspondientes y se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud. Para obtener más información, consulta Revisa los resultados en la consola de Google Cloud.

    Soluciona problemas

    Si habilitaste el servicio de VM Threat Detection, pero no se ejecutan los análisis, verifica lo siguiente:

    • Verifica que el conector de AWS esté configurado correctamente.
    • Confirma que la pila de plantillas de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.

    ¿Qué sigue?