Ativar e usar a avaliação de vulnerabilidades para a AWS

Esta página descreve como configurar e usar a avaliação de vulnerabilidades para a Amazon Web Services (AWS) serviço.

Para ativar a avaliação de vulnerabilidades da AWS, você precisa criar uma função do IAM da AWS na plataforma da AWS, ativar a avaliação de vulnerabilidades da AWS no Security Command Center e implantar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a avaliação de vulnerabilidades do serviço AWS, você precisa de determinados As permissões do IAM e o Security Command Center precisam estar conectados AWS.

Papéis e permissões

Para concluir a configuração da avaliação de vulnerabilidades para o serviço AWS, você precisa receber papéis com as permissões necessárias em ambos Google Cloud e AWS.

Funções do Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.
  8. Papéis da AWS

    Na AWS, um usuário administrativo precisa criar a conta da AWS necessária para ativar as verificações.

    Para criar uma função de avaliação de vulnerabilidade na AWS, siga estas etapas:

    1. Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no console de gerenciamento da AWS.
    2. Selecione lambda no menu Service or Use Case.
    3. Adicione as seguintes políticas de permissões:

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:

      1. Abra a página a seguir e copie a política: Política de papéis para a avaliação de vulnerabilidades da AWS.
      2. No Editor do JSON, cole a política.
      3. Especifique um nome para a política.
      4. Salve a política.
    5. Abra a guia Relacionamentos de confiança.

    6. Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução existente:

      {
        "Version": "2012-10-17",
        "Statement": [
           {
                 "Sid": "Statement1 or replace with a unique statementId",
                 "Effect": "Allow",
                 "Principal": {
                    "Service": "cloudformation.amazonaws.com"
                 },
                 "Action": "sts:AssumeRole"
           }
        ]
      }
      
    7. Salve a função.

    Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

    Coletar informações sobre os recursos da AWS que serão verificados

    Durante as etapas para ativar a Vulnerability Assessment para a AWS, é possível personalizar a configuração para verificar regiões específicas da AWS, tags específicas que identificam recursos da AWS e volumes de disco rígido (HDD) (SC1 e ST1).

    É útil ter essas informações disponíveis antes de configurar a avaliação de vulnerabilidades para a AWS.

    Confirme se o Security Command Center está conectado à AWS

    A avaliação de vulnerabilidades do serviço AWS exige acesso ao inventário de recursos da AWS mantido pelo Cloud Asset Inventory quando o Security Command Center está conectado à AWS para a detecção de vulnerabilidades.

    Se uma conexão ainda não tiver sido estabelecida, você terá que configurar uma quando você ativa a avaliação de vulnerabilidades para o serviço AWS.

    Para configurar uma conexão, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

    Ativar a avaliação de vulnerabilidades da AWS no Security Command Center

    A avaliação de vulnerabilidades da AWS precisa ser ativada no Google Cloud no nível da organização.

    1. Acesse a página Configurações no Security Command Center:

      Acesse configurações

    2. Selecione a organização em que você precisa ativar a avaliação de vulnerabilidades da AWS. A guia Serviços da página Configurações é aberta.

    3. No card do serviço Avaliação de vulnerabilidades, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.

    4. Selecione a guia Amazon Web Services.

    5. No campo Status, em Ativação do serviço, selecione Ativar.

    6. Em Conector da AWS, verifique se o status exibe Conector da AWS adicionado. Se o status exibir Nenhum conector da AWS adicionado, clique em Adicionar conector AWS. Conclua as etapas em Conectar-se à AWS para detecção de vulnerabilidades e avaliação de riscos antes de prosseguir para a próxima etapa.

    7. Defina as configurações de verificação de computação e armazenamento da AWS. Para mudar a configuração padrão, clique em Editar configurações de verificação. Para informações sobre cada opção, consulte Personalize as configurações de verificação para computação e armazenamento da AWS.

    8. Em Configurações de verificação, clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é transferido para a estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar quanto a vulnerabilidades.

    Personalizar as configurações de verificação de computação e armazenamento da AWS

    Esta seção descreve as opções disponíveis para personalizar a verificação dos recursos da AWS. Essas opções personalizadas estão nas Configurações de verificação para computação e armazenamento da AWS. ao editar uma avaliação de vulnerabilidade para verificação da AWS.

    Defina no máximo 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se um valor de ID de tag ou instância estiver incorreto (por exemplo, o valor tem um erro de ortografia) e o recurso especificado não existir, o valor será ignorado durante a verificação.
    Opção Descrição
    Intervalo de verificação Defina o número de horas entre cada verificação. Insira um valor entre 6 e 24. O valor padrão é 6. O valor máximo é 24. Verificações mais frequentes podem causar um aumento no uso de recursos e possivelmente um aumento nas cobranças de faturamento.
    Regiões da AWS Escolha um subconjunto de regiões para incluir na verificação de vulnerabilidades. Somente instâncias
    das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para incluir na verificação.
    Se você configurou regiões específicas no conector da Amazon Web Services (AWS), verifique se as regiões selecionadas são os mesmos ou um subconjunto deles definidos configurou a conexão com a AWS.
    Tags da AWS Especifique tags que identifiquem o subconjunto de instâncias verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Inclua tags nos seus recursos do Amazon EC2 e Adicione e remova tags de recursos do Amazon EC2.
    Excluir por ID da instância Exclua instâncias do EC2 de cada verificação especificando a ID da instância do EC2. É possível especificar até 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador AND.
    • Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e digitando o valor.
    • Se você selecionar Copiar e colar uma lista de IDs de instâncias a serem excluídas no formato JSON, siga um destes procedimentos:
      • Insira uma matriz de IDs de instâncias. Por exemplo:
        [ "instance-id-1", "instance-id-2" ]
      • Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo:
        [ "instance-id-1", "instance-id-2" ]
    Verificar instância SC1 Selecione Verificar instância do SC1 para incluir essas instâncias. As instâncias do SC1 são excluídas por padrão.
    Saiba mais sobre as instâncias SC1.
    Verificar instância ST1 Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão.
    Saiba mais sobre instâncias ST1.

    Implantar o modelo do AWS CloudFormation

    1. Acesse a página AWS CloudFormation Template no AWS Management Console.
    2. Clique em Pilhas > Com novos recursos (padrão).
    3. Na página Criar pilha, selecione Escolher um modelo existente. e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
    4. Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modificar quaisquer outros parâmetros no modelo.
    5. Selecione Especificar detalhes da pilha. A página Configurar opções da pilha é aberta.
    6. Em Permissões, selecione IAM Vulnerability Assessment Role que você criou anteriormente.
    7. Clique em Próxima.
    8. Marque a caixa de confirmação.
    9. Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

    O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.

    Depois que as verificações começarem a ser executadas, se alguma vulnerabilidade for detectada, o as descobertas correspondentes são geradas e exibidas no Descobertas no console do Google Cloud.

    Analisar descobertas no console

    É possível conferir os resultados da Avaliação de vulnerabilidade para a AWS no console do Google Cloud. O papel mínimo do IAM necessário para ver as descobertas é Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer).

    Para analisar as descobertas da Avaliação de vulnerabilidade para AWS no console do Google Cloud, siga estas etapas:

    Console do Google Cloud

    1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

      Acesse Descobertas

    2. Selecione a organização ou o projeto do Google Cloud.
    3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades do EC2. Os resultados da consulta de descobertas são atualizados para mostrar descobertas desta fonte.
    4. Para conferir os detalhes de uma descoberta específica, clique no nome dela em Categoria. O O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
    5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser tomadas para corrigir a descoberta.
    6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

    Console de operações de segurança

    1. No console de operações de segurança, acesse a página Descobertas.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

    2. Na seção Agregações, clique para expandir o Nome de exibição da origem. na subseção.
    3. Selecione Avaliação de vulnerabilidade do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
    4. Para conferir os detalhes de uma descoberta específica, clique no nome dela em Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
    5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser tomadas para corrigir a descoberta.
    6. Opcional: para conferir a definição JSON completa da descoberta, clique em a guia JSON.

    Solução de problemas

    Se você ativou a avaliação de vulnerabilidades para o serviço AWS, mas as verificações não estão em execução, verifique o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha de modelos do CloudFormation foi totalmente implantada. O status na conta da AWS precisa ser CREATION_COMPLETE.