Habilita VM Threat Detection para AWS

En esta página, se describe cómo configurar y usar la Detección de amenazas en máquinas virtuales para analizar en busca de software malicioso los discos persistentes de las VMs de Amazon Elastic Compute Cloud (EC2).

Para habilitar la Detección de amenazas en VMs para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar la Detección de amenazas en VMs para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar VM Threat Detection para usarlo con AWS, necesitas ciertos permisos de IAM y Security Command Center debe estar conectado a AWS.

Roles y permisos

Para completar la configuración de la Detección de amenazas en VMs para AWS, debes tener roles con los permisos necesarios enGoogle Cloud y AWS.

Roles deGoogle Cloud

Asegúrate de tener los siguientes roles en la organización: Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)

Verifica los roles

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que se te incluya. Para saber en qué grupos estás incluido, comunícate con tu administrador.

  4. Para todas las filas en las que se te especifique o se te incluya, verifica la columna Rol para ver si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. Haz clic en Seleccionar un rol y, luego, busca el rol.
  6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
  7. Haz clic en Guardar.

Roles de AWS

En Amazon Web Services (AWS), un usuario administrador de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis. Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.

  • Para crear un rol para VM Threat Detection en AWS, sigue los pasos que se indican en Crea un rol para un servicio de AWS (consola).

    Ten en cuenta lo siguiente:

    • En servicio o caso de uso, selecciona lambda.
    • Agrega las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Guarda la política y, luego, vuelve a abrirla. Haz clic en Agregar permiso > Crear política intercalada.
    • Crea una política de permisos para el rol de AWS:
      1. Sigue las instrucciones para modificar y copiar la política de permisos: Política de roles para la Evaluación de vulnerabilidades para AWS y la Detección de amenazas en VMs.
      2. Ingresa la política en el editor de JSON de AWS.

    • Para las relaciones de confianza, agrega la siguiente entrada JSON a cualquier array de instrucciones existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Confirma que Security Command Center esté conectado a AWS

La Detección de amenazas en VMs requiere acceso al inventario de recursos de AWS que Cloud Asset Inventory mantiene cuando creas un conector de AWS.

Si aún no se estableció una conexión, deberás configurar una cuando habilites la Detección de amenazas en VMs para AWS.

Para configurar una conexión, crea un conector de AWS.

Habilita VM Threat Detection para AWS en Security Command Center

VM Threat Detection para AWS debe habilitarse en Google Cloud a nivel de la organización.

Console

  1. En la consola de Google Cloud , ve a la página Habilitación del servicio de detección de amenazas en máquinas virtuales.

    Ir a Habilitación de servicios

  2. Selecciona tu organización.

  3. Haz clic en la pestaña Amazon Web Services.

  4. En la sección Habilitación de servicios, en el campo Estado, selecciona Habilitar.

  5. En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS.

    Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Conéctate a AWS para recopilar datos de configuración y recursos antes de continuar con el siguiente paso.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • ORGANIZATION_ID: Es el identificador numérico de la organización.
  • NEW_STATE: ENABLED para habilitar VM Threat Detection para AWS; DISABLED para inhabilitar VM Threat Detection para AWS

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

El método organizations.locations.securityCenterServices.patch de la API de Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • ORGANIZATION_ID: Es el identificador numérico de la organización.
  • NEW_STATE: ENABLED para habilitar VM Threat Detection para AWS; DISABLED para inhabilitar VM Threat Detection para AWS

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

Cuerpo JSON de la solicitud:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Si ya habilitaste el servicio de Evaluación de vulnerabilidades para AWS y ya implementaste la plantilla de CloudFormation como parte de esa función, ya terminaste de configurar la Detección de amenazas en VMs para AWS.

De lo contrario, espera seis horas y, luego, realiza la siguiente tarea: descarga la plantilla de CloudFormation.

Descarga la plantilla de CloudFormation

Realiza esta tarea al menos seis horas después de habilitar VM Threat Detection para AWS.

  1. En la consola de Google Cloud , ve a la página Habilitación del servicio de detección de amenazas en máquinas virtuales.

    Ir a Habilitación de servicios

  2. Selecciona tu organización.

  3. Haz clic en la pestaña Amazon Web Services.

  4. En la sección Implementa la plantilla de CloudFormation, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar.

Implementa la plantilla de AWS CloudFormation

Implementa la plantilla de CloudFormation al menos seis horas después de crear un conector de AWS.

Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta Crea una pila desde la consola de CloudFormation en la documentación de AWS.

Ten en cuenta lo siguiente: * Después de subir la plantilla de CloudFormation, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla. * En Permissions, en las opciones de la pila, selecciona el rol de AWS que creaste anteriormente. * Después de implementar la plantilla de CloudFormation, la pila tarda unos minutos en comenzar a ejecutarse.

El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

Después de que se ejecuten los análisis, si se detecta alguna amenaza, se generarán los hallazgos correspondientes y se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud . Para obtener más información, consulta Revisa los resultados en la consola deGoogle Cloud .

Administra módulos

En esta sección, se describe cómo habilitar o inhabilitar módulos y ver su configuración.

Cómo habilitar o inhabilitar un módulo

Después de habilitar o inhabilitar un módulo, los cambios pueden tardar hasta una hora en aplicarse.

Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta Resultados de amenazas.

Console

Si Virtual Machine Threat Detection para AWS está habilitado, puedes establecer el estado de habilitación de sus módulos individuales a nivel de la organización.

  1. En la consola de Google Cloud , ve a la página Módulos.

    Ve a Módulos

  2. Selecciona tu organización.

  3. En la pestaña Modules, en la columna Status, selecciona el estado actual del módulo que deseas habilitar o inhabilitar y, luego, selecciona una de las siguientes opciones:

    • Habilitar: Habilita el módulo.
    • Inhabilitar: Inhabilita el módulo.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se actualizará (organization, folder o project).
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para conocer los valores válidos, consulta Descubrimientos de amenazas que admiten AWS.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).

Guarda el siguiente código en un archivo llamado request.json. 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se actualizará (organizations, folders o projects).
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para conocer los valores válidos, consulta Descubrimientos de amenazas que admiten AWS.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

Cuerpo JSON de la solicitud:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Visualiza la configuración de los módulos de VM Threat Detection para AWS

Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta Resultados de amenazas.

Console

La consola de Google Cloud te permite ver la configuración de los módulos de VM Threat Detection a nivel de la organización.

  1. En la consola de Google Cloud , ve a la página Módulos.

    Ve a Módulos

  2. Selecciona tu organización.

gcloud

El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organization, folder o project).
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc manage services describe:

Linux, macOS o Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.get de la API de Security Command Center Management obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Soluciona problemas

Si habilitaste el servicio de VM Threat Detection, pero no se ejecutan los análisis, verifica lo siguiente:

  • Verifica que el conector de AWS esté configurado correctamente.
  • Confirma que la pila de la plantilla de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.

¿Qué sigue?