Attivare il rilevamento delle minacce per le VM per AWS

Questa pagina descrive come configurare e utilizzare Rilevamento minacce per le macchine virtuali per eseguire la ricerca di malware nei dischi permanenti delle VM Amazon Elastic Compute Cloud (EC2).

Per attivare Virtual Machine Threat Detection per AWS, devi creare un ruolo IAM AWS sulla piattaforma AWS, attivare Virtual Machine Threat Detection per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per attivare il rilevamento delle minacce VM per l'utilizzo con AWS, sono necessarie determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione di VM Threat Detection per AWS, devi disporre dei ruoli con le autorizzazioni necessarie sia in Google Cloud che in AWS.

Google Cloud ruoli

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.

  4. Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Ruoli AWS

    In AWS, un utente amministrativo AWS deve creare l'account AWS necessario per attivare le analisi.

    Per creare un ruolo per il rilevamento delle minacce VM in AWS, segui questi passaggi:

    1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli IAM nella Console di gestione AWS.
    2. Dal menu Servizio o caso d'uso, seleziona lambda.
    3. Aggiungi i seguenti criteri di autorizzazione:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Fai clic su Aggiungi autorizzazione > Crea criterio inline per creare un nuovo criterio di autorizzazione:
      1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per il rilevamento delle minacce per AWS e VM.
      2. In Editor JSON, incolla il criterio.
      3. Specifica un nome per il criterio.
      4. Salva il criterio.
    5. Apri la scheda Relazioni di attendibilità.

    6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi array di istruzioni esistente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Salva il ruolo.

    Assegnerai questo ruolo in un secondo momento quando installerai il modello CloudFormation su AWS.

    Verifica che Security Command Center sia connesso ad AWS

    Il rilevamento delle minacce VM richiede l'accesso all'inventario delle risorse AWS gestito da Cloud Asset Inventory quando crei un connettore AWS.

    Se una connessione non è già stabilita, devi configurarne una quando attivi il rilevamento delle minacce VM per AWS.

    Per configurare una connessione, crea un connettore AWS.

    Attivare il rilevamento delle minacce per le VM per AWS in Security Command Center

    Il rilevamento delle minacce per le VM per AWS deve essere abilitato su Google Cloud a livello di organizzazione.

    1. Nella console Google Cloud, vai alla pagina Abilitazione del servizio di rilevamento delle minacce per le VM.

      Vai all'abilitazione del servizio

    2. Seleziona la tua organizzazione.

    3. Fai clic sulla scheda Amazon Web Services.

    4. Nella sezione Abilitazione del servizio, nel campo Stato, seleziona Attiva.

    5. Nella sezione Connettore AWS, verifica che lo stato visualizzato sia Connettore AWS aggiunto.

      Se lo stato visualizzato è Nessun connettore AWS aggiunto, fai clic su Aggiungi connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per la raccolta di dati di configurazione e risorse prima di procedere con il passaggio successivo.

    6. Se hai già attivato il servizio di valutazione delle vulnerabilità per AWS e hai eseguito il deployment del modello CloudFormation nell'ambito di questa funzionalità, salta questo passaggio. Fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment del modello in ogni account AWS da eseguire la scansione.

    Esegui il deployment del modello AWS CloudFormation

    Esegui questi passaggi almeno sei ore dopo aver creato un connettore AWS.

    Per informazioni dettagliate su come eseguire il deployment di un modello CloudFormation, consulta Creare uno stack dalla console CloudFormation nella documentazione di AWS.

    1. Vai alla pagina Modello AWS CloudFormation nella console di gestione AWS.
    2. Fai clic su Pile > Con nuove risorse (standard).
    3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
    4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare nessun altro parametro nel modello.
    5. Seleziona Specifica i dettagli della pila. Si apre la pagina Configura le opzioni dell'elenco filtri.
    6. In Autorizzazioni, seleziona il ruolo AWS che hai creato in precedenza.
    7. Se richiesto, seleziona la casella di conferma.
    8. Fai clic su Invia per eseguire il deployment del modello. L'esecuzione dello stack richiede alcuni minuti.

    Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non va a buon fine, consulta la sezione Risoluzione dei problemi.

    Dopo l'avvio delle scansioni, se vengono rilevate minacce, i risultati corrispondenti vengono generati e visualizzati nella pagina Risultati di Security Command Center nella console Google Cloud. Per ulteriori informazioni, consulta Esaminare i risultati nella console Google Cloud.

    Risoluzione dei problemi

    Se hai attivato il servizio di rilevamento delle minacce per le VM, ma le analisi non vengono eseguite, controlla quanto segue:

    • Verifica che il connettore AWS sia configurato correttamente.
    • Verifica che lo stack del modello CloudFormation sia stato disegnato completamente. Il suo stato nell'account AWS deve essere CREATION_COMPLETE.

    Passaggi successivi