AWS の VM Threat Detection を有効にする

このページでは、仮想マシンの脅威検出を設定して使用し、Amazon Elastic Compute Cloud(EC2)VM の永続ディスクでマルウェアをスキャンする方法について説明します。

VM Threat Detection for AWS を有効にするには、AWS プラットフォームで AWS IAM ロールを作成し、Security Command Center で VM Threat Detection for AWS を有効にして、AWS に CloudFormation テンプレートをデプロイする必要があります。

始める前に

AWS で使用するために VM Threat Detection を有効にするには、特定の IAM 権限が必要であり、Security Command Center が AWS に接続されている必要があります。

ロールと権限

VM Threat Detection for AWS の設定を完了するには、Google Cloud と AWS の両方で必要な権限を持つロールが付与されている必要があります。

Google Cloud ロール

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. AWS のロール

    AWS では、スキャンを有効にするために必要な AWS アカウントを AWS 管理ユーザーが作成する必要があります。

    AWS で VM Threat Detection のロールを作成する手順は次のとおりです。

    1. AWS 管理ユーザー アカウントを使用して、AWS Management Console の IAM ロールページに移動します。
    2. [サービスまたはユースケース] メニューから [lambda] を選択します。
    3. 次の権限ポリシーを追加します。
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. [権限を追加] > [インライン ポリシーを作成] をクリックして、新しい権限ポリシーを作成します。
      1. 次のページを開き、AWS の脆弱性評価と VM Threat Detection のロールポリシーをコピーします。
      2. [JSON エディタ] にポリシーを貼り付けます。
      3. ポリシーの名前を指定します。
      4. ポリシーを保存します。
    5. [Trust Relationships] タブを開きます。

    6. 次の JSON オブジェクトを貼り付けて、既存のステートメント配列に追加します。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. ロールを保存します。

    このロールは、後で AWS に CloudFormation テンプレートをインストールするときに割り当てます。

    Security Command Center が AWS に接続されていることを確認する

    VM 脅威検出では、AWS コネクタの作成時に Cloud Asset Inventory が維持する AWS リソースのインベントリにアクセスする必要があります。

    接続がまだ確立されていない場合は、AWS の VM 脅威検出を有効にするときに接続を設定する必要があります。

    接続を設定するには、AWS コネクタを作成します。

    Security Command Center で AWS の VM Threat Detection を有効にする

    AWS 向けの VM Threat Detection は、組織レベルで有効にする必要があります。 Google Cloud

    1. Google Cloud コンソールで、[Virtual Machine Threat Detection サービス有効化] ページに移動します。

      [サービス有効化] に移動

    2. 組織を選択する。

    3. [Amazon Web Services] タブをクリックします。

    4. [サービスの有効化] セクションの [ステータス] フィールドで、[有効にする] を選択します。

    5. [AWS コネクタ] セクションで、ステータスに [AWS コネクタが追加されている] と表示されていることを確認します。

      ステータスに [AWS コネクタが追加されていない] と表示された場合は、[AWS コネクタを追加] をクリックします。次のステップに進む前に、AWS に接続して構成とリソースデータの収集を行うの手順を完了します。

    6. AWS の脆弱性評価サービスをすでに有効にして、その機能の一部として CloudFormation テンプレートをデプロイしている場合は、この手順をスキップします。[CloudFormation テンプレートをダウンロード] をクリックします。JSON テンプレートがワークステーションにダウンロードされます。スキャンする必要がある各 AWS アカウントにテンプレートをデプロイする必要があります。

    AWS CloudFormation テンプレートをデプロイする

    AWS コネクタを作成してから少なくとも 6 時間後に、次の手順を実施します。

    CloudFormation テンプレートをデプロイする方法の詳細については、AWS ドキュメントの CloudFormation コンソールからスタックを作成するをご覧ください。

    1. AWS Management Console の [AWS CloudFormation テンプレート] ページに移動します。
    2. [Stacks] > [With new resources (standard)] をクリックします。
    3. [Create stack] ページで、[Choose an existing template] を選択し、[Upload a template file] をクリックして CloudFormation テンプレートをアップロードします。
    4. アップロードが完了したら、一意のスタック名を入力します。テンプレートの他のパラメータは変更しないでください。
    5. [スタックの詳細を指定] を選択します。[Configure stack options] ページが開きます。
    6. [権限] で、前に作成した AWS ロールを選択します。
    7. メッセージが表示されたら、確認のチェックボックスをオンにします。
    8. [送信] をクリックしてテンプレートをデプロイします。スタックの実行が開始されるまでに数分かかります。

    デプロイのステータスが AWS コンソールに表示されます。CloudFormation テンプレートのデプロイに失敗した場合は、トラブルシューティングをご覧ください。

    スキャンの実行が開始され、脅威が検出されると、対応する検出結果が生成され、Google Cloud コンソールの Security Command Center の [検出結果] ページに表示されます。詳細については、Google Cloud コンソールで検出結果を確認するをご覧ください。

    トラブルシューティング

    VM Threat Detection サービスを有効にしてもスキャンが実行されない場合は、次の点を確認します。

    • AWS コネクタが正しく設定されていることを確認します。
    • CloudFormation テンプレート スタックが完全にデプロイされていることを確認します。AWS アカウントでのステータスは CREATION_COMPLETE になります。

    次のステップ