Halaman ini menjelaskan cara menyiapkan dan menggunakan Deteksi Ancaman Mesin Virtual untuk memindai malware di persistent disk VM Amazon Elastic Compute Cloud (EC2).
Untuk mengaktifkan Deteksi Ancaman VM untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, mengaktifkan Deteksi Ancaman VM untuk AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.
Sebelum memulai
Untuk mengaktifkan VM Threat Detection agar dapat digunakan dengan AWS, Anda memerlukan izin IAM tertentu dan Security Command Center harus terhubung ke AWS.
Peran dan izin
Untuk menyelesaikan penyiapan Deteksi Ancaman VM untuk AWS, Anda harus diberi peran dengan izin yang diperlukan diGoogle Cloud dan AWS.
Google Cloud peran
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
- Dengan menggunakan akun pengguna administratif AWS, buka halaman IAM Roles di AWS Management Console.
- Dari menu Service or Use Case, pilih lambda.
- Tambahkan kebijakan izin berikut:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
- Klik Tambahkan Izin > Buat kebijakan inline untuk membuat kebijakan izin baru:
- Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS dan Deteksi Ancaman VM.
- Di JSON Editor, tempelkan kebijakan.
- Tentukan nama untuk kebijakan.
- Simpan kebijakan.
- Buka tab Trust Relationships.
Tempelkan objek JSON berikut, dan tambahkan ke array pernyataan yang ada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Simpan peran.
Di konsol Google Cloud , buka halaman Virtual Machine Threat Detection Service Enablement.
Pilih organisasi Anda.
Klik tab Amazon Web Services.
Di bagian Service Enablement, di kolom Status, pilih Enable.
Di bagian AWS connector, pastikan statusnya menampilkan AWS Connector added.
Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource sebelum Anda melanjutkan ke langkah berikutnya.
-
ORGANIZATION_ID
: ID numerik organisasi -
NEW_STATE
:ENABLED
untuk mengaktifkan Deteksi Ancaman VM untuk AWS;DISABLED
untuk menonaktifkan Deteksi Ancaman VM untuk AWS -
QUOTA_PROJECT
: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
ORGANIZATION_ID
: ID numerik organisasi -
NEW_STATE
:ENABLED
untuk mengaktifkan Deteksi Ancaman VM untuk AWS;DISABLED
untuk menonaktifkan Deteksi Ancaman VM untuk AWS Di konsol Google Cloud , buka halaman Virtual Machine Threat Detection Service Enablement.
Pilih organisasi Anda.
Klik tab Amazon Web Services.
Di bagian Deploy template CloudFormation, klik Download template CloudFormation. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy template di setiap akun AWS yang perlu Anda pindai.
- Buka halaman AWS CloudFormation Template di AWS Management Console.
- Klik Stacks > With new resources (standard).
- Di halaman Create stack, pilih Choose an existing template dan Upload a template file untuk mengupload template CloudFormation.
- Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
- Pilih Tentukan detail stack. Halaman Konfigurasi opsi stack akan terbuka.
- Di bagian Permissions, pilih peran AWS yang sebelumnya Anda buat.
- Jika diminta, centang kotak untuk mengonfirmasi.
- Klik Kirim untuk men-deploy template. Stack memerlukan waktu beberapa menit untuk mulai berjalan.
Di konsol Google Cloud , buka halaman Modules.
Pilih organisasi Anda.
Di tab Modules, di kolom Status, pilih status saat ini modul yang ingin Anda aktifkan atau nonaktifkan, lalu pilih salah satu berikut:
- Aktifkan: Aktifkan modul.
- Nonaktifkan: Nonaktifkan modul.
-
ORGANIZATION_ID
: ID numerik organisasi -
MODULE_NAME
: nama modul yang akan diaktifkan atau dinonaktifkan—misalnya,MALWARE_DISK_SCAN_YARA_AWS
. Nilai yang valid hanya mencakup modul dalam Threat findings yang mendukung AWS. -
NEW_STATE
:ENABLED
untuk mengaktifkan modul;DISABLED
untuk menonaktifkan modul -
QUOTA_PROJECT
: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
ORGANIZATION_ID
: ID numerik organisasi -
MODULE_NAME
: nama modul yang akan diaktifkan atau dinonaktifkan—misalnya,MALWARE_DISK_SCAN_YARA_AWS
. Nilai yang valid hanya mencakup modul dalam Threat findings yang mendukung AWS. -
NEW_STATE
:ENABLED
untuk mengaktifkan modul;DISABLED
untuk menonaktifkan modul Di konsol Google Cloud , buka halaman Modules.
Pilih organisasi Anda.
-
ORGANIZATION_ID
: ID numerik organisasi yang akan didapatkan -
QUOTA_PROJECT
: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
ORGANIZATION_ID
: ID numerik organisasi yang akan didapatkan - Pastikan konektor AWS disiapkan dengan benar.
- Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus
CREATION_COMPLETE
. - Pelajari cara menggunakan Deteksi Ancaman VM.
- Pelajari cara menyelidiki temuan Deteksi Ancaman VM.
Peran AWS
Di AWS, pengguna administratif AWS harus membuat akun AWS yang Anda perlukan untuk mengaktifkan pemindaian.
Untuk membuat peran bagi VM Threat Detection di AWS, ikuti langkah-langkah berikut:
Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.
Konfirmasi bahwa Security Command Center terhubung ke AWS
Deteksi Ancaman VM memerlukan akses ke inventaris resource AWS yang dikelola Cloud Asset Inventory saat Anda membuat konektor AWS.
Jika koneksi belum dibuat, Anda harus menyiapkannya saat mengaktifkan Deteksi Ancaman VM untuk AWS.
Untuk menyiapkan koneksi, buat konektor AWS.
Mengaktifkan Deteksi Ancaman VM untuk AWS di Security Command Center
VM Threat Detection untuk AWS harus diaktifkan di Google Cloud pada tingkat organisasi.
Konsol
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
Jalankan perintah
gcloud scc manage services update
:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection-aws \ --organization=ORGANIZATION_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection-aws ` --organization=ORGANIZATION_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection-aws ^ --organization=ORGANIZATION_ID ^ --enablement-state=NEW_STATE
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
Metode
organizations.locations.securityCenterServices.patch
Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState
Meminta isi JSON:
{ "intendedEnablementState": "NEW_STATE" }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Jika Anda telah mengaktifkan layanan Penilaian Kerentanan untuk AWS dan telah men-deploy template CloudFormation sebagai bagian dari fitur tersebut, Anda telah selesai menyiapkan Deteksi Ancaman VM untuk AWS.
Jika tidak, tunggu enam jam, lalu lakukan tugas berikutnya: download template CloudFormation.
Download template CloudFormation
Lakukan tugas ini setidaknya enam jam setelah mengaktifkan Deteksi Ancaman VM untuk AWS.
Deploy template AWS CloudFormation
Lakukan langkah-langkah ini setidaknya enam jam setelah membuat konektor AWS.
Untuk mengetahui informasi mendetail tentang cara men-deploy template CloudFormation, lihat Membuat stack dari konsol CloudFormation dalam dokumentasi AWS.
Status deployment ditampilkan di konsol AWS. Jika template CloudFormation gagal di-deploy, lihat bagian Pemecahan masalah.
Setelah pemindaian mulai berjalan, jika ada ancaman yang terdeteksi, temuan yang sesuai akan dibuat dan ditampilkan di halaman Temuan Security Command Center di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Meninjau temuan di Google Cloud konsol.
Mengelola modul
Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan modul dan melihat setelannya.
Mengaktifkan atau menonaktifkan modul
Setelah Anda mengaktifkan atau menonaktifkan modul, perubahan Anda memerlukan waktu hingga satu jam agar diterapkan.
Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda mengaktifkan atau menonaktifkan modul VM Threat Detection di tingkat organisasi.
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
Simpan konten berikut ini dalam file yang bernama request.json
:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Jalankan perintah
gcloud scc manage services update
:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection-aws \ --organization=ORGANIZATION_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection-aws ` --organization=ORGANIZATION_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection-aws ^ --organization=ORGANIZATION_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
Metode
organizations.locations.securityCenterServices.patch
Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules
Meminta isi JSON:
{ "modules": { "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Melihat setelan modul VM Threat Detection untuk AWS
Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda melihat setelan untuk modul VM Threat Detection di tingkat organisasi.
gcloud
Perintah
gcloud scc manage services describe
mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
Jalankan perintah
gcloud scc manage services describe
:
Linux, macOS, atau Cloud Shell
gcloud scc manage services describe vm-threat-detection-aws \ --organization=ORGANIZATION_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection-aws ` --organization=ORGANIZATION_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection-aws ^ --organization=ORGANIZATION_ID
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
Metode
organizations.locations.securityCenterServices.get
Security Command Center Management API mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
Metode HTTP dan URL:
GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Pemecahan masalah
Jika Anda mengaktifkan layanan Deteksi Ancaman VM, tetapi pemindaian tidak berjalan, periksa hal berikut: