Esta página descreve como configurar e usar a avaliação de vulnerabilidade para o serviço Amazon Web Services (AWS).
Para ativar a avaliação de vulnerabilidades da AWS, você precisa criar uma função do AWS IAM na plataforma da AWS, ativar a avaliação de vulnerabilidades da AWS no Security Command Center e implantar um modelo do CloudFormation na AWS.
Antes de começar
Para ativar a Vulnerability Assessment para o serviço da AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.
Papéis e permissões
Para concluir a configuração da avaliação de vulnerabilidades do serviço da AWS, é necessário receber funções com as permissões necessárias no Google Cloud e na AWS.
Funções do Google Cloud
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Acessar o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
-
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Salvar.
- Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no AWS Management Console.
- Selecione
lambda
no menuService or Use Case
. - Adicione as seguintes políticas de permissão:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
- Clique em Adicionar permissão > Criar política inline para criar uma nova política de
permissão:
- Abra a página a seguir e copie a política: Política de função para a avaliação de vulnerabilidades da AWS.
- No Editor JSON, cole a política.
- Especifique um nome para a política.
- Salve a política.
- Abra a guia Relacionamentos de confiança.
Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução existente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Salve a função.
Acesse a página Visão geral de riscos no Security Command Center:
Selecione a organização em que você quer ativar a avaliação de vulnerabilidades da AWS.
Clique em Configurações.
No card Avaliação de vulnerabilidade, clique em Gerenciar configurações. A página Vulnerability Assessment é aberta.
Selecione a guia Amazon Web Services.
Na seção Ativação do serviço, mude o campo Status para Ativar.
Na seção AWS connector, verifique se o status mostra AWS Connector added. Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Siga as etapas em Conectar-se à AWS para detecção de vulnerabilidades e avaliação de riscos antes de prosseguir para a próxima etapa.
Defina as configurações de verificação de computação e armazenamento da AWS. Para mudar a configuração padrão, clique em Editar configurações de verificação. Para saber mais sobre cada opção, consulte Personalizar as configurações de verificação de computação e armazenamento da AWS.
Na seção Configurações da verificação, clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é transferido por download para a estação de trabalho. Você precisa implantar o modelo em cada conta da AWS que precisa ser verificada quanto a vulnerabilidades.
- Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e digitando o valor.
-
Se você selecionar Copiar e colar uma lista de IDs de instância para excluir no formato JSON, faça o seguinte:
-
Insira uma matriz de IDs de instância. Exemplo:
[ "instance-id-1", "instance-id-2" ]
-
Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo:
[ "instance-id-1", "instance-id-2" ]
-
- Acesse a página AWS CloudFormation Template no console de gerenciamento da AWS.
- Clique em Pilhas > Com novos recursos (padrão).
- Na página Criar pilha, selecione Escolher um modelo existente e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
- Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
- Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
- Em Permissões, selecione o
IAM Vulnerability Assessment Role
que você criou anteriormente. - Clique em Próxima.
- Marque a caixa de confirmação.
- Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.
- No console do Google Cloud, acesse a página Descobertas do Security Command Center.
- Selecione a organização ou o projeto do Google Cloud.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidade do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
-
No console de operações de segurança, acesse a página Descobertas.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente. - Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione Avaliação de vulnerabilidade do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
- Verifique se o conector da AWS está configurado corretamente.
- Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser
CREATION_COMPLETE
.
Funções da AWS
Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar as verificações.
Para criar uma função de avaliação de vulnerabilidade na AWS, siga estas etapas:
Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.
Coletar informações sobre os recursos da AWS a serem verificados
Durante as etapas para ativar a Vulnerability Assessment para a AWS, é possível personalizar a configuração para verificar regiões específicas da AWS, tags específicas que identificam recursos da AWS e volumes de disco rígido (HDD) (SC1 e ST1).
É útil ter essas informações disponíveis antes de configurar a avaliação de vulnerabilidades da AWS.
Confirmar se o Security Command Center está conectado à AWS
A avaliação de vulnerabilidades do serviço AWS exige acesso ao inventário de recursos da AWS mantido pelo Inventário de recursos do Cloud quando o Security Command Center está conectado à AWS para a detecção de vulnerabilidades.
Se uma conexão ainda não tiver sido estabelecida, será necessário configurá-la ao ativar a avaliação de vulnerabilidade para o serviço da AWS.
Para configurar uma conexão, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Ativar a avaliação de vulnerabilidades da AWS no Security Command Center
A avaliação de vulnerabilidades da AWS precisa ser ativada no Google Cloud no nível da organização.
Personalizar as configurações de verificação de computação e armazenamento da AWS
Esta seção descreve as opções disponíveis para personalizar a verificação de recursos da AWS. Essas opções personalizadas estão na seção Configurações de verificação de computação e armazenamento da AWS ao editar uma verificação da avaliação de vulnerabilidades da AWS.
É possível definir no máximo 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se o valor de uma tag ou de um ID de instância não estiver correto (por exemplo, se o valor estiver com erro de ortografia) e o recurso especificado não existir, o valor será ignorado durante a verificação.Opção | Descrição |
---|---|
Intervalo de verificação | Insira o número de horas entre cada verificação. Os valores válidos variam de 6 a 24. O valor padrão é 6. Verificações mais frequentes podem aumentar o uso de recursos e possivelmente o faturamento. |
Regiões da AWS |
Escolha um subconjunto de regiões para incluir na verificação de vulnerabilidades. Somente instâncias das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para serem incluídas na verificação. Se você configurou regiões específicas no conector da Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são as mesmas ou um subconjunto das definidas quando você configurou a conexão com a AWS. |
Tags da AWS | Especifique tags que identificam o subconjunto de instâncias que são verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Adicionar tags aos seus recursos do Amazon EC2 e Adicionar e remover tags dos recursos do Amazon EC2. |
Excluir por ID da instância |
Excluir instâncias do EC2 de cada verificação especificando o
ID da instância do EC2.
É possível especificar até 50 IDs de instância. Se valores inválidos forem especificados, eles serão
ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador |
Verificar instância SC1 | Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias SC1 são excluídas por padrão. Saiba mais sobre as instâncias SC1. |
Verificar instância ST1 | Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão. Saiba mais sobre as instâncias ST1. |
Implantar o modelo do AWS CloudFormation
O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.
Depois que as verificações começam a ser executadas, se alguma vulnerabilidade for detectada, as descobertas correspondentes serão geradas e exibidas na página Descobertas do Security Command Center no console do Google Cloud.
Analisar descobertas no console
É possível conferir os resultados da Avaliação de vulnerabilidade para a AWS no console do Google Cloud.
O papel mínimo do IAM necessário para visualizar as descobertas é o
Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer
).
Para analisar as descobertas da Avaliação de vulnerabilidade para AWS no console do Google Cloud, siga estas etapas:
Console do Google Cloud
Console de operações de segurança
Solução de problemas
Se você ativou a avaliação de vulnerabilidades para o serviço da AWS, mas as verificações não estão sendo executadas, verifique o seguinte: