VM Threat Detection für AWS aktivieren

für Unternehmen

Auf dieser Seite wird beschrieben, wie Sie Virtual Machine Threat Detection einrichten und verwenden, um Malware in den nichtflüchtigen Speichern von Amazon Elastic Compute Cloud-VMs (EC2) zu scannen.

Wenn Sie die VM-Bedrohungserkennung für AWS aktivieren möchten, müssen Sie eine AWS IAM-Rolle auf der AWS-Plattform erstellen, die VM-Bedrohungserkennung für AWS in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweis

Damit VM Threat Detection mit AWS verwendet werden kann, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Um die Einrichtung von VM Threat Detection für AWS abzuschließen, benötigen Sie Rollen mit den erforderlichen Berechtigungen sowohl inGoogle Cloud als auch in AWS.

Google Cloud -Rollen

Sie benötigen die folgende Rolle oder die folgenden Rollen für die Organisation: Sicherheitscenter-Admin-Bearbeiter (roles/securitycenter.adminEditor)

Rollen prüfen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.

  3. Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.

  4. Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

  5. Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
  6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
  7. Klicken Sie auf Speichern.

AWS-Rollen

In Amazon Web Services (AWS) muss ein AWS-Administratornutzer das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen. Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

  • Wenn Sie eine Rolle für VM Threat Detection in AWS erstellen möchten, folgen Sie der Anleitung unter Rolle für einen AWS-Dienst erstellen (Konsole).

    Wichtige Hinweise:

    • Wählen Sie für Dienst oder Anwendungsfall die Option Lambda aus.
    • Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Speichern Sie die Richtlinie und öffnen Sie sie dann wieder. Klicken Sie auf „Berechtigung hinzufügen“ > Inline-Richtlinie erstellen.
    • Erstellen Sie eine Berechtigungsrichtlinie für die AWS-Rolle:
      1. Folgen Sie der Anleitung zum Ändern und Kopieren der Berechtigungsrichtlinie: Rollenrichtlinie für Vulnerability Assessment for AWS und VM Threat Detection.
      2. Geben Sie die Richtlinie im JSON-Editor in AWS ein.

    • Fügen Sie für Vertrauensstellungen den folgenden JSON-Eintrag in ein vorhandenes Statement-Array ein:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Prüfen, ob Security Command Center mit AWS verbunden ist

Für die VM-Bedrohungserkennung ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Sie einen AWS-Connector erstellen.

Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie die VM-Bedrohungserkennung für AWS aktivieren.

Um eine Verbindung einzurichten, erstellen Sie einen AWS-Connector.

VM Threat Detection für AWS in Security Command Center aktivieren

VM Threat Detection für AWS muss auf Google Cloud auf Organisationsebene aktiviert werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement auf.

    Zur Dienstaktivierung

  2. Wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf den Tab Amazon Web Services.

  4. Wählen Sie im Abschnitt Service Enablement (Dienstaktivierung) im Feld Status die Option Aktivieren aus.

  5. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet.

    Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erheben aus, bevor Sie mit dem nächsten Schritt fortfahren.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • NEW_STATE: ENABLED, um VM Threat Detection für AWS zu aktivieren; DISABLED, um VM Threat Detection für AWS zu deaktivieren

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • NEW_STATE: ENABLED, um VM Threat Detection für AWS zu aktivieren; DISABLED, um VM Threat Detection für AWS zu deaktivieren

HTTP-Methode und URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

JSON-Text anfordern:

{
  "intendedEnablementState": "NEW_STATE"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, ist die Einrichtung von VM Threat Detection für AWS abgeschlossen.

Warten Sie andernfalls sechs Stunden und führen Sie dann die nächste Aufgabe aus: Laden Sie die CloudFormation-Vorlage herunter.

CloudFormation-Vorlage herunterladen

Führen Sie diese Aufgabe mindestens sechs Stunden nach der Aktivierung von VM Threat Detection für AWS aus.

  1. Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement auf.

    Zur Dienstaktivierung

  2. Wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf den Tab Amazon Web Services.

  4. Klicken Sie im Bereich CloudFormation-Vorlage bereitstellen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das gescannt werden soll.

AWS CloudFormation-Vorlage bereitstellen

Stellen Sie die CloudFormation-Vorlage mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors bereit.

Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

Beachten Sie Folgendes: * Nachdem die CloudFormation-Vorlage hochgeladen wurde, geben Sie einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage. * Wählen Sie unter Permissions (Berechtigungen) in den Stack-Optionen die AWS-Rolle aus, die Sie zuvor erstellt haben. * Nachdem Sie die CloudFormation-Vorlage bereitgestellt haben, dauert es einige Minuten, bis der Stack ausgeführt wird.

Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Abschnitt Fehlerbehebung.

Wenn nach dem Starten der Scans Bedrohungen erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console angezeigt. Weitere Informationen finden Sie unter Ergebnisse in derGoogle Cloud -Konsole ansehen.

Module verwalten

In diesem Abschnitt wird beschrieben, wie Sie Module aktivieren oder deaktivieren und ihre Einstellungen aufrufen.

Modul aktivieren oder deaktivieren

Nachdem Sie ein Modul aktiviert oder deaktiviert haben, kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

Wenn Virtual Machine Threat Detection für AWS aktiviert ist, können Sie den Aktivierungsstatus der einzelnen Module auf Organisationsebene festlegen.

  1. Rufen Sie in der Google Cloud Console die Seite Module auf.

    Zu den Modulen

  2. Wählen Sie Ihre Organisation aus.

  3. Wählen Sie auf dem Tab Module in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und wählen Sie dann eine der folgenden Optionen aus:

    • Aktivieren: Aktivieren Sie das Modul.
    • Deaktivieren: Das Modul wird deaktiviert.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization, folder oder project).
  • RESOURCE_ID: Die numerische Kennzeichnung der zu aktualisierenden Organisation, des Ordners oder des Projekts. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Bedrohungsbefunde, die AWS unterstützen.
  • NEW_STATE: ENABLED, um das Modul zu aktivieren; DISABLED, um das Modul zu deaktivieren; oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig).

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: der Ressourcentyp, der aktualisiert werden soll (organizations, folders oder projects).
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
  • RESOURCE_ID: Die numerische Kennzeichnung der zu aktualisierenden Organisation, des Ordners oder des Projekts. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Bedrohungsbefunde, die AWS unterstützen.
  • NEW_STATE: ENABLED, um das Modul zu aktivieren; DISABLED, um das Modul zu deaktivieren; oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig).

HTTP-Methode und URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

JSON-Text anfordern:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Einstellungen der VM Bedrohungserkennung für AWS-Module ansehen

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie die Einstellungen für VM Bedrohungserkennungs-Module auf Organisationsebene ansehen.

  1. Rufen Sie in der Google Cloud Console die Seite Module auf.

    Zu den Modulen

  2. Wählen Sie Ihre Organisation aus.

gcloud

Mit dem Befehl gcloud scc manage services describe wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der abzurufende Ressourcentyp (organization, folder oder project)
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

Führen Sie den Befehl gcloud scc manage services describe aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der abzurufende Ressourcentyp (organizations, folders oder projects).
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

HTTP-Methode und URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Fehlerbehebung

Wenn Sie den Dienst „VM Threat Detection“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

  • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
  • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.

Nächste Schritte