Activer VM Threat Detection pour AWS

Cette page explique comment configurer et utiliser la détection des menaces sur les machines virtuelles pour rechercher des logiciels malveillants sur les disques persistants des VM Amazon Elastic Compute Cloud (EC2).

Pour activer VM Threat Detection pour AWS, vous devez créer un rôle IAM AWS sur la plate-forme AWS, activer VM Threat Detection pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer VM Threat Detection pour l'utiliser avec AWS, vous avez besoin de certaines autorisations IAM, et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration de la détection des menaces pour les VM pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dansGoogle Cloud et AWS.

Google Cloud  rôles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Rôles AWS

    Dans AWS, un utilisateur administrateur AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

    Pour créer un rôle pour VM Threat Detection dans AWS, procédez comme suit:

    1. À l'aide d'un compte utilisateur administrateur AWS, accédez à la page Rôles IAM dans la console de gestion AWS.
    2. Dans le menu Service ou cas d'utilisation, sélectionnez lambda.
    3. Ajoutez les règles d'autorisation suivantes :
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Cliquez sur Ajouter une autorisation > Créer une règle intégrée pour créer une règle d'autorisation :
      1. Ouvrez la page suivante et copiez la stratégie : Stratégie de rôle pour l'évaluation des failles pour AWS et VM Threat Detection.
      2. Dans l'Éditeur JSON, collez la stratégie.
      3. Spécifiez un nom pour la règle.
      4. Enregistrez la stratégie.
    5. Ouvrez l'onglet Relations d'approbation.

    6. Collez l'objet JSON suivant, en l'ajoutant à un tableau d'instructions existant:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Enregistrez le rôle.

    Vous attribuerez ce rôle plus tard lorsque vous installerez le modèle CloudFormation sur AWS.

    Vérifier que Security Command Center est connecté à AWS

    La détection des menaces sur les VM nécessite l'accès à l'inventaire des ressources AWS géré par Cloud Asset Inventory lorsque vous créez un connecteur AWS.

    Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez la détection des menaces pour les VM pour AWS.

    Pour configurer une connexion, créez un connecteur AWS.

    Activer VM Threat Detection pour AWS dans Security Command Center

    VM Threat Detection pour AWS doit être activé sur Google Cloud au niveau de l'organisation.

    1. Dans la console Google Cloud, accédez à la page Virtual Machine Threat Detection Service Enablement (Activation du service de détection des menaces sur les machines virtuelles).

      Accéder à "Activation des services"

    2. Sélectionnez votre organisation.

    3. Cliquez sur l'onglet Amazon Web Services.

    4. Dans la section Activation du service, dans le champ État, sélectionnez Activer.

    5. Dans la section Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté.

      Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Suivez les étapes de la section Se connecter à AWS pour la configuration et la collecte des données de ressources avant de passer à l'étape suivante.

    6. Si vous avez déjà activé l'évaluation des failles pour le service AWS et déployé le modèle CloudFormation dans le cadre de cette fonctionnalité, ignorez cette étape. Cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre poste de travail. Vous devez déployer le modèle dans chaque compte AWS que vous devez analyser.

    Déployer le modèle AWS CloudFormation

    Suivez ces étapes au moins six heures après avoir créé un connecteur AWS.

    Pour en savoir plus sur le déploiement d'un modèle CloudFormation, consultez la section Créer une pile à partir de la console CloudFormation dans la documentation AWS.

    1. Accédez à la page Modèle AWS CloudFormation dans la console AWS Management Console.
    2. Cliquez sur Stacks > With new resources (standard) (Piles > Avec de nouvelles ressources (standard)).
    3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant et Importer un fichier de modèle pour importer le modèle CloudFormation.
    4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle.
    5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de pile s'ouvre.
    6. Sous Autorisations, sélectionnez le rôle AWS que vous avez créé précédemment.
    7. Si vous y êtes invité, cochez la case de confirmation.
    8. Cliquez sur Envoyer pour déployer le modèle. Le démarrage de la pile prend quelques minutes.

    L'état du déploiement s'affiche dans la console AWS. Si le déploiement du modèle CloudFormation échoue, consultez la section Dépannage.

    Une fois les analyses lancées, si des menaces sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud. Pour en savoir plus, consultez la section Examiner les résultats dans la console Google Cloud.

    Dépannage

    Si vous avez activé le service VM Threat Detection, mais que les analyses ne s'exécutent pas, vérifiez les points suivants:

    • Vérifiez que le connecteur AWS est correctement configuré.
    • Vérifiez que la pile de modèles CloudFormation a été entièrement déployée. Son état dans le compte AWS doit être CREATION_COMPLETE.

    Étape suivante