Modifica o inhabilita la configuración de AWS para las vulnerabilidades

Después de conectar Security Command Center a Amazon Web Services (AWS) para la administración de vulnerabilidades, puedes modificar lo siguiente:

• Configuración de la conexión de AWS

• Configuración de análisis de la evaluación de vulnerabilidades para AWS.

Antes de comenzar

Completa estas tareas antes de completar las restantes en esta página.

Configura los permisos

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de recursos de Cloud (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea cuentas de AWS

Asegúrate de que creaste los siguientes recursos de AWS:

• Un usuario de IAM de AWS con acceso a IAM de AWS para las consolas de las cuentas de AWS del delegado y del recopilador

• El ID de la cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. Si deseas que Security Command Center descubra automáticamente cuentas de AWS para encontrar recursos, la cuenta delegada debe estar adjunta a una organización de AWS y ser una de las siguientes:

  • Una cuenta de administración de AWS

  • Un administrador delegado de AWS

  • Una cuenta de AWS con una política de delegación basada en recursos que proporciona el permiso organizations:ListAccounts Para ver un ejemplo de política, consulta Crea una política de delegación basada en recursos con AWS Organizations en la documentación de AWS.

Modifica la conexión de AWS

Modificar una conexión de AWS existente cuando cambia la configuración de tu entorno de AWS Por ejemplo, quieres supervisar diferentes regiones de AWS o cambiar la lista de cuentas de AWS que usa Security Command Center. No puedes modificar los nombres del rol delegado ni del rol de recopilador. Si necesitas cambiar estos nombres de roles, debes borrar el conector de AWS y configurar una conexión nueva.

1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

   Ir a Security Command Center

2. Selecciona la organización en la que activaste Security Command Center Enterprise.

3. Haz clic en settings Configuración.

4. Haz clic en la pestaña Conectores.

5. Haz clic en Editar junto a la conexión que deseas actualizar.

6. En la página Editar conector de Amazon Web Services, realiza los cambios que desees. En la siguiente tabla, se describen las opciones.

   Opción	Descripción
   Agrega cuentas de conectores de AWS	Selecciona el campo Agregar cuentas automáticamente (recomendado) para permitir que Security Command Center descubra las cuentas de AWS automáticamente o selecciona Agregar cuentas de forma individual y proporciona una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos.
   Cómo excluir cuentas de conectores de AWS	Si seleccionaste el campo Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
   Selecciona regiones para recopilar datos	Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
   Cantidad máxima de consultas por segundo (QPS) para los servicios de AWS	Puedes cambiar el QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y superior o igual a 1. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
   Extremo del servicio de tokens de seguridad de AWS	Puedes especificar un extremo específico para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com).

7. Si cambiaste el ID de la cuenta delegada o la lista de cuentas de AWS para incluir o excluir, debes actualizar tu entorno de AWS. Si cambias el ID de la cuenta delegada, deberás volver a configurar tu cuenta de AWS. Para realizar un cambio en la lista de cuentas de AWS, debes agregar o quitar roles de recopilador. Si quieres quitar cuentas de AWS de la lista de exclusiones para incluirlas, debes agregar los roles de recopilador a esas cuentas. Completa lo siguiente:

   1. Haz clic en Continuar.

   2. En la página Crear conexión con AWS, completa una de las siguientes opciones:

      • Descarga las plantillas de CloudFormation para el rol delegado y el rol de recopilador. Para obtener instrucciones sobre el uso de las plantillas, consulta Cómo usar las plantillas de CloudFormation para configurar tu entorno de AWS.

      • Si quieres cambiar la configuración de AWS de forma manual, selecciona Usar la consola de AWS. Copia el ID del agente de servicio, el nombre del rol delegado y el nombre del rol del recopilador. Para obtener instrucciones sobre cómo actualizar AWS de forma manual, consulta Cómo configurar cuentas de AWS de forma manual.

8. Si agregaste una cuenta de AWS a la lista de cuentas de AWS que se excluirán, te recomendamos que quites el rol de recopilador de la cuenta.

9. Haz clic en Probar conector para verificar que Security Command Center se pueda conectar a tu entorno de AWS. Si la conexión se realiza correctamente, el agente de servicio Google Cloudpuede asumir el rol delegado, que tiene todos los permisos necesarios para asumir el rol de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar problemas cuando se prueba la conexión.

10. Haz clic en Guardar.

Modifica un análisis existente de la evaluación de vulnerabilidades para AWS

En la siguiente sección, se describe cómo modificar la configuración de un análisis de la evaluación de vulnerabilidades para AWS.

1. Asegúrate de tener los permisos y roles definidos en Habilita y usa la evaluación de vulnerabilidades para AWS.

2. Ve a la página Configuración en Security Command Center:

   Ir a la configuración

3. Selecciona la organización en la que necesitas modificar la evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.

4. Selecciona Configuración.

5. En la tarjeta del servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.

6. Selecciona la pestaña Amazon Web Services.

7. En la sección Parámetros de configuración de análisis para procesamiento y almacenamiento de AWS, haz clic en Editar configuración de análisis para modificar el alcance de los recursos que se analizan.

   Puedes definir un máximo de 50 etiquetas de AWS y IDs de instancias de Amazon EC2. Los cambios en la configuración de análisis no afectan a la plantilla de AWS CloudFormation. No es necesario volver a implementar la plantilla. Si el valor de una etiqueta o un ID de instancia no es correcto (por ejemplo, el valor tiene un error ortográfico) y el recurso especificado no existe, el valor se ignora durante el análisis.

   Opción	Descripción
   Intervalo de análisis	Ingresa la cantidad de horas entre cada análisis. Los valores válidos varían de 6 a 24. El valor predeterminado es 6. Los análisis más frecuentes pueden causar un aumento en el uso de recursos y, posiblemente, un aumento en los cargos de facturación.
   Regiones de AWS	Elige un subconjunto de regiones para incluir en el análisis de evaluación de vulnerabilidades. Solo se analizan las instancias de las regiones seleccionadas. Selecciona una o más regiones de AWS para incluirlas en el análisis. Si configuraste regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas aquí sean las mismas o un subconjunto de las definidas cuando configuraste la conexión a AWS.
   Etiquetas de AWS	Especifica etiquetas que identifiquen el subconjunto de instancias que se analizan. Solo se analizan las instancias con estas etiquetas. Ingresa el par clave-valor de cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta Etiqueta tus recursos de Amazon EC2 y Cómo agregar y quitar etiquetas de recursos de Amazon EC2.
   Excluir según el ID de instancia	Para excluir instancias de EC2 de cada análisis, especifica el ID de la instancia de EC2. Puedes especificar un máximo de 50 IDs de instancia. Si se especifican valores no válidos, se ignorarán. Si defines varios IDs de instancia, se combinarán con el operador AND. Si seleccionas Excluir instancia por ID, ingresa cada ID de instancia manualmente. Para ello, haz clic en Agregar instancia de AWS EC2 y, luego, escribe el valor. Si seleccionas Copiar y pegar una lista de IDs de instancias que deben excluirse en formato JSON, haz una de las siguientes acciones: Ingresa un array de IDs de instancia. Por ejemplo: [ "instance-id-1", "instance-id-2" ] Sube un archivo con la lista de IDs de instancia. El contenido del archivo debe ser un array de IDs de instancias, por ejemplo: [ "instance-id-1", "instance-id-2" ]
   Cómo analizar la instancia SC1	Selecciona Scan SC1 instance para incluir estas instancias. Las instancias de SC1 se excluyen de forma predeterminada. Obtén más información sobre las instancias de SC1.
   Cómo analizar una instancia ST1	Selecciona Scan ST1 instance para incluir estas instancias. Las instancias de ST1 se excluyen de forma predeterminada. Obtén más información sobre las instancias ST1.
   Cómo analizar Elastic Container Registry (ECR)	Selecciona Scan Elastic Container Registry instance para analizar las imágenes de contenedor almacenadas en ECR y sus paquetes instalados. Obtén más información sobre Elastic Container Registry.

8. Haz clic en Guardar.

Inhabilita el análisis de la evaluación de vulnerabilidades para AWS

Para inhabilitar el servicio de evaluación de vulnerabilidades para AWS, debes inhabilitarlo en Security Command Center y, luego, borrar la pila que contiene la plantilla de CloudFormation en AWS. Si no se borra la pila, seguirá generando costos en AWS.

Completa los siguientes pasos para inhabilitar la Evaluación de vulnerabilidades para AWS:

1. Ve a la página Configuración en Security Command Center:

   Ir a la configuración

2. Selecciona la organización en la que debes inhabilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.

3. En la tarjeta del servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración.

4. Selecciona la pestaña Amazon Web Services.

5. En el campo Estado, en Habilitación de servicios, selecciona Inhabilitar.

6. Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.

7. Borra la pila que contiene la plantilla de CloudFormation para la evaluación de vulnerabilidades de AWS.

   Si no borras la plantilla, es posible que incurras en costos innecesarios.

¿Qué sigue?

• Para obtener información sobre la solución de problemas, consulta Cómo conectar Security Command Center a AWS.