Esta página foi traduzida pela API Cloud Translation.

Ativar e usar a avaliação de vulnerabilidades da AWS

Esta página descreve como configurar e usar a avaliação de vulnerabilidade para o serviço Amazon Web Services (AWS).

Para ativar a avaliação de vulnerabilidades da AWS, você precisa criar uma função do AWS IAM na plataforma da AWS, ativar a avaliação de vulnerabilidades da AWS no Security Command Center e implantar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a Vulnerability Assessment para o serviço da AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração da avaliação de vulnerabilidades do serviço da AWS, é necessário receber funções com as permissões necessárias no Google Cloud e na AWS.

Funções do Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Acessar o IAM
Selecionar uma organização.
Clique em CONCEDER ACESSO.
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Na lista Selecionar um papel, escolha um.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Salvar.

Funções da AWS

Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar as verificações.

Para criar uma função de avaliação de vulnerabilidade na AWS, siga estas etapas:

Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no console de gerenciamento da AWS.
Selecione lambda no menu Service or Use Case.
Adicione as seguintes políticas de permissão:
- AmazonSSMManagedInstanceCore
- AWSLambdaBasicExecutionRole
- AWSLambdaVPCAccessExecutionRole
Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:
1. Abra a página a seguir e copie a política: Política de função para a avaliação de vulnerabilidades da AWS.
2. No Editor JSON, cole a política.
3. Especifique um nome para a política.
4. Salve a política.
Abra a guia Relacionamentos de confiança.

Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução existente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Salve a função.

Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

Coletar informações sobre os recursos da AWS a serem verificados

Durante as etapas para ativar a Vulnerability Assessment para a AWS, é possível personalizar a configuração para verificar regiões específicas da AWS, tags específicas que identificam recursos da AWS e volumes de disco rígido (HDD) (SC1 e ST1).

É útil ter essas informações disponíveis antes de configurar a avaliação de vulnerabilidades da AWS.

Confirmar se o Security Command Center está conectado à AWS

A avaliação de vulnerabilidades do serviço AWS exige acesso ao inventário de recursos da AWS mantido pelo Inventário de recursos do Cloud quando o Security Command Center está conectado à AWS para a detecção de vulnerabilidades.

Se uma conexão ainda não tiver sido estabelecida, será necessário configurá-la ao ativar a avaliação de vulnerabilidade para o serviço da AWS.

Para configurar uma conexão, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.

Ativar a avaliação de vulnerabilidades da AWS no Security Command Center

A avaliação de vulnerabilidades da AWS precisa ser ativada no Google Cloud no nível da organização.

Acesse a página Visão geral de riscos no Security Command Center:

Acessar "Visão geral do risco"
Selecione a organização em que você quer ativar a avaliação de vulnerabilidades da AWS.
Clique em Configurações.
No card Avaliação de vulnerabilidade, clique em Gerenciar configurações. A página Vulnerability Assessment é aberta.
Selecione a guia Amazon Web Services.
Na seção Ativação do serviço, mude o campo Status para Ativar.
Na seção AWS connector, verifique se o status mostra AWS Connector added. Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar-se à AWS para detecção de vulnerabilidades e avaliação de riscos antes de passar para a próxima etapa.
Defina as configurações de verificação de computação e armazenamento da AWS. Para mudar a configuração padrão, clique em Editar configurações de verificação. Para saber mais sobre cada opção, consulte Personalizar as configurações de verificação de computação e armazenamento da AWS.
Na seção Configurações da verificação, clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é transferido por download para a estação de trabalho. Você precisa implantar o modelo em cada conta da AWS que precisa verificar vulnerabilidades.

Personalizar as configurações de verificação de computação e armazenamento da AWS

Esta seção descreve as opções disponíveis para personalizar a verificação de recursos da AWS. Essas opções personalizadas estão na seção Configurações de verificação de computação e armazenamento da AWS ao editar uma verificação da avaliação de vulnerabilidades da AWS.

Opção	Descrição
Intervalo de verificação	Insira o número de horas entre cada verificação. Os valores válidos variam de 6 a 24. O valor padrão é 6. Verificações mais frequentes podem aumentar o uso de recursos e possivelmente o faturamento.
Regiões da AWS	Escolha um subconjunto de regiões para incluir na verificação de vulnerabilidade. Somente instâncias das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para serem incluídas na verificação. Se você configurou regiões específicas no conector da Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são as mesmas ou um subconjunto das definidas quando você configurou a conexão com a AWS.
Tags da AWS	Especifique tags que identifiquem o subconjunto de instâncias que serão verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Adicionar tags aos seus recursos do Amazon EC2 e Adicionar e remover tags dos recursos do Amazon EC2.
Excluir por ID da instância	Excluir instâncias do EC2 de cada verificação especificando o ID da instância do EC2. É possível especificar até 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador `AND`. Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e digitando o valor. Se você selecionar Copiar e colar uma lista de IDs de instância para excluir no formato JSON, faça o seguinte: Insira uma matriz de IDs de instância. Exemplo: [ "instance-id-1", "instance-id-2" ] Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo: [ "instance-id-1", "instance-id-2" ]
Verificar instância SC1	Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias SC1 são excluídas por padrão. Saiba mais sobre as instâncias SC1.
Verificar instância ST1	Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão. Saiba mais sobre as instâncias ST1.

Implantar o modelo do AWS CloudFormation

Acesse a página AWS CloudFormation Template no console de gerenciamento da AWS.
Clique em Pilhas > Com novos recursos (padrão).
Na página Criar pilha, selecione Escolher um modelo existente e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
Em Permissões, selecione o IAM Vulnerability Assessment Role que você criou anteriormente.
Clique em Próxima.
Marque a caixa de confirmação.
Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.

Depois que as verificações começam a ser executadas, se alguma vulnerabilidade for detectada, as descobertas correspondentes serão geradas e exibidas na página Descobertas do Security Command Center no console do Google Cloud.

Analisar descobertas no console

É possível conferir os resultados da Avaliação de vulnerabilidade para a AWS no console do Google Cloud. O papel mínimo do IAM necessário para visualizar as descobertas é o Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer).

Para analisar as descobertas da Avaliação de vulnerabilidade para AWS no console do Google Cloud, siga estas etapas:

Console do Google Cloud

No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione a organização ou o projeto do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidade do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Console de operações de segurança

No console de operações de segurança, acesse a página Descobertas.
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.
Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
Selecione Avaliação de vulnerabilidade do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Solução de problemas

Se você ativou a avaliação de vulnerabilidades para o serviço da AWS, mas as verificações não estão sendo executadas, verifique o seguinte:

Verifique se o conector da AWS está configurado corretamente.
Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser CREATION_COMPLETE.