Habilita y usa la evaluación de vulnerabilidades para AWS

En esta página, se describe cómo configurar y usar el servicio de evaluación de vulnerabilidades de Amazon Web Services (AWS).

Para habilitar la evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar el servicio de evaluación de vulnerabilidades para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar el servicio de Evaluación de vulnerabilidades para AWS, necesitas ciertos permisos de IAM, y Security Command Center debe estar conectado a AWS.

Funciones y permisos

Para completar la configuración del servicio de evaluación de vulnerabilidades para AWS, debes tener roles con los permisos necesarios en Google Cloud y AWS.

Roles de Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.
  8. Roles de AWS

    En AWS, un usuario administrador de AWS debe crear la cuenta de AWS que necesitas para habilitar las búsquedas.

    Para crear un rol de evaluación de vulnerabilidades en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrador de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. Selecciona lambda en el menú Service or Use Case.
    3. Agrega las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Agregar permiso > Crear política intercalada para crear una nueva política de permisos:
      1. Abre la siguiente página y copia la política: Política de roles para la evaluación de vulnerabilidades de AWS.
      2. En el Editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.
    6. Pega el siguiente objeto JSON y agrégalo a cualquier array de instrucciones existente:

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "Statement1 or replace with a unique statementId",
            "Effect": "Allow",
            "Principal": {
              "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      
    7. Guarda el rol.

    Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.

    Recopila información sobre los recursos de AWS que se analizarán

    Durante los pasos para habilitar la Evaluación de vulnerabilidades para AWS, puedes personalizar la configuración para analizar regiones específicas de AWS, etiquetas específicas que identifican recursos de AWS y volúmenes de discos duros (HDD) específicos (SC1 y ST1).

    Es útil tener esta información disponible antes de configurar la Evaluación de vulnerabilidades para AWS.

    Confirma que Security Command Center esté conectado a AWS

    El servicio de Evaluación de vulnerabilidades para AWS requiere acceso al inventario de recursos de AWS que mantiene Cloud Asset Inventory cuando Security Command Center está conectado a AWS para la detección de vulnerabilidades.

    Si aún no se estableció una conexión, debes configurar una cuando habilites el servicio de evaluación de vulnerabilidades para AWS.

    Para configurar una conexión, consulta Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos.

    Habilita la evaluación de vulnerabilidades para AWS en Security Command Center

    La evaluación de vulnerabilidades para AWS debe estar habilitada en Google Cloud a nivel de la organización.

    1. Ve a la página Resumen de riesgos en Security Command Center:

      Ir a la descripción general de riesgos

    2. Selecciona la organización en la que deseas habilitar la Evaluación de vulnerabilidades para AWS.

    3. Haz clic en Configuración.

    4. En la tarjeta Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.

    5. Selecciona la pestaña Amazon Web Services.

    6. En la sección Habilitación del servicio, cambia el campo Estado a Habilitar.

    7. En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS. Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos antes de continuar con el siguiente paso.

    8. Configura los parámetros de configuración de análisis para el procesamiento y el almacenamiento de AWS. Para cambiar la configuración predeterminada, haz clic en Editar configuración de análisis. Para obtener información sobre cada opción, consulta Cómo personalizar la configuración de análisis para el procesamiento y el almacenamiento de AWS.

    9. En la sección Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar en busca de vulnerabilidades.

    Personaliza la configuración de análisis para el procesamiento y el almacenamiento de AWS

    En esta sección, se describen las opciones disponibles para personalizar el análisis de recursos de AWS. Estas opciones personalizadas se encuentran en la sección Configuración de análisis para procesamiento y almacenamiento de AWS cuando editas un análisis de la Evaluación de vulnerabilidades para AWS.

    Puedes definir un máximo de 50 etiquetas de AWS y IDs de instancias de Amazon EC2. Los cambios en la configuración del análisis no afectan a la plantilla de AWS CloudFormation. No es necesario volver a implementar la plantilla. Si el valor de una etiqueta o un ID de instancia no es correcto (por ejemplo, el valor tiene un error ortográfico) y el recurso especificado no existe, el valor se ignora durante el análisis.
    Opción Descripción
    Intervalo de análisis Ingresa la cantidad de horas entre cada análisis. Los valores válidos varían de 6 a 24. El valor predeterminado es 6. Los análisis más frecuentes pueden causar un aumento en el uso de recursos y, posiblemente, un aumento en los cargos de facturación.
    Regiones de AWS

    Elige un subconjunto de regiones para incluir en el análisis de evaluación de vulnerabilidades.

    Solo se analizan las instancias de las regiones seleccionadas. Selecciona una o más regiones de AWS para incluirlas en el análisis.

    Si configuraste regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas aquí sean las mismas o un subconjunto de las que definiste cuando configuraste la conexión a AWS.

    Etiquetas de AWS Especifica etiquetas que identifiquen el subconjunto de instancias que se analizan. Solo se analizan las instancias con estas etiquetas. Ingresa el par clave-valor de cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta Etiqueta tus recursos de Amazon EC2 y Cómo agregar y quitar etiquetas de recursos de Amazon EC2.
    Excluir según el ID de instancia

    Para excluir instancias de EC2 de cada análisis, especifica el ID de la instancia de EC2. Puedes especificar un máximo de 50 IDs de instancia. Si se especifican valores no válidos, se ignorarán. Si defines varios IDs de instancia, se combinarán con el operador AND.

    • Si seleccionas Excluir instancia por ID, ingresa cada ID de instancia manualmente. Para ello, haz clic en Agregar instancia de AWS EC2 y, luego, escribe el valor.
    • Si seleccionas Copiar y pegar una lista de IDs de instancias que deben excluirse en formato JSON, haz una de las siguientes acciones:

      • Ingresa un array de IDs de instancia. Por ejemplo:

        [ "instance-id-1", "instance-id-2" ]
      • Sube un archivo con la lista de IDs de instancia. El contenido del archivo debe ser un array de IDs de instancias, por ejemplo:

        [ "instance-id-1", "instance-id-2" ]
    Cómo analizar la instancia SC1 Selecciona Scan SC1 instance para incluir estas instancias. Las instancias de SC1 se excluyen de forma predeterminada. Obtén más información sobre las instancias de SC1.
    Cómo analizar una instancia ST1 Selecciona Scan ST1 instance para incluir estas instancias. Las instancias de ST1 se excluyen de forma predeterminada. Obtén más información sobre las instancias ST1.

    Implementa la plantilla de AWS CloudFormation

    1. Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla existente y Subir un archivo de plantilla para subir la plantilla de CloudFormation.
    4. Una vez completada la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro en la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configure stack options.
    6. En Permisos, selecciona el IAM Vulnerability Assessment Role que creaste antes.
    7. Haz clic en Siguiente.
    8. Marca la casilla de confirmación.
    9. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en comenzar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

    Después de que se inicien los análisis, si se detectan vulnerabilidades, se generarán los resultados correspondientes y se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud.

    Revisa los resultados en la consola

    Puedes ver los resultados de la evaluación de vulnerabilidades para AWS en la consola de Google Cloud. El rol mínimo de IAM que se requiere para ver los hallazgos es Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).

    Para revisar los resultados de la evaluación de vulnerabilidades de AWS en la consola de Google Cloud, sigue estos pasos:

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

      Ir a hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.
    3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona EC2 Vulnerability Assessment. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
    4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
    5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
    6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

    Consola de operaciones de seguridad

    1. En la consola de Security Operations, ve a la página Resultados.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
    3. Selecciona Evaluación de vulnerabilidades de EC2. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
    4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
    5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
    6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

    Soluciona problemas

    Si habilitaste el servicio de evaluación de vulnerabilidades para AWS, pero no se ejecutan los análisis, verifica lo siguiente:

    • Verifica que el conector de AWS esté configurado correctamente.
    • Confirma que la pila de plantillas de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.