Mengaktifkan VM Threat Detection untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan Deteksi Ancaman Mesin Virtual untuk memindai malware di persistent disk VM Amazon Elastic Compute Cloud (EC2).

Untuk mengaktifkan VM Threat Detection untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, mengaktifkan VM Threat Detection untuk AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Sebelum memulai

Untuk mengaktifkan VM Threat Detection agar dapat digunakan dengan AWS, Anda memerlukan izin IAM tertentu dan Security Command Center harus terhubung ke AWS.

Peran dan izin

Untuk menyelesaikan penyiapan Deteksi Ancaman VM untuk AWS, Anda harus diberi peran dengan izin yang diperlukan diGoogle Cloud dan AWS.

Google Cloud peran

Pastikan Anda memiliki peran berikut di organisasi: Security Center Admin Editor (roles/securitycenter.adminEditor)

Memeriksa peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.

  4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Pilih peran, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
  7. Klik Simpan.

Peran AWS

Di Amazon Web Services (AWS), pengguna administratif AWS harus membuat akun AWS yang Anda perlukan untuk mengaktifkan pemindaian. Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

  • Untuk membuat peran bagi VM Threat Detection di AWS, ikuti langkah-langkah dalam Membuat peran untuk layanan AWS (konsol).

    Perhatikan hal berikut:

    • Untuk layanan atau kasus penggunaan, pilih lambda.
    • Tambahkan kebijakan izin berikut:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Simpan kebijakan, lalu buka kembali. Klik Tambahkan Izin > Buat kebijakan Inline.
    • Buat kebijakan izin untuk peran AWS:
      1. Ikuti petunjuk untuk mengubah dan menyalin kebijakan izin: Kebijakan peran untuk Penilaian Kerentanan untuk AWS dan Deteksi Ancaman VM.
      2. Masukkan kebijakan ke editor JSON di AWS.

    • Untuk hubungan tepercaya, tambahkan entri JSON berikut ke array pernyataan yang ada:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Konfirmasi bahwa Security Command Center terhubung ke AWS

Deteksi Ancaman VM memerlukan akses ke inventaris resource AWS yang dikelola Cloud Asset Inventory saat Anda membuat konektor AWS.

Jika koneksi belum dibuat, Anda harus menyiapkannya saat mengaktifkan Deteksi Ancaman VM untuk AWS.

Untuk menyiapkan koneksi, buat konektor AWS.

Mengaktifkan Deteksi Ancaman VM untuk AWS di Security Command Center

Deteksi Ancaman VM untuk AWS harus diaktifkan di Google Cloud pada tingkat organisasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Pengaktifan Layanan Deteksi Ancaman Virtual Machine.

    Buka Pengaktifan Layanan

  2. Pilih organisasi Anda.

  3. Klik tab Amazon Web Services.

  4. Di bagian Service Enablement, di kolom Status, pilih Enable.

  5. Di bagian AWS connector, pastikan statusnya menampilkan AWS Connector added.

    Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource sebelum Anda melanjutkan ke langkah berikutnya.

gcloud

Perintah gcloud scc manage services update memperbarui status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi
  • NEW_STATE: ENABLED untuk mengaktifkan Deteksi Ancaman VM untuk AWS; DISABLED untuk menonaktifkan Deteksi Ancaman VM untuk AWS

Jalankan perintah gcloud scc manage services update:

Linux, macOS, atau Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Anda akan melihat respons seperti berikut:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Metode organizations.locations.securityCenterServices.patch Security Command Center Management API memperbarui status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • ORGANIZATION_ID: ID numerik organisasi
  • NEW_STATE: ENABLED untuk mengaktifkan Deteksi Ancaman VM untuk AWS; DISABLED untuk menonaktifkan Deteksi Ancaman VM untuk AWS

Metode HTTP dan URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

Meminta isi JSON: 

{
  "intendedEnablementState": "NEW_STATE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Jika Anda telah mengaktifkan layanan Vulnerability Assessment for AWS dan telah men-deploy template CloudFormation sebagai bagian dari fitur tersebut, Anda telah selesai menyiapkan VM Threat Detection for AWS.

Jika tidak, tunggu selama enam jam, lalu lakukan tugas berikutnya: download template CloudFormation.

Download template CloudFormation

Lakukan tugas ini setidaknya enam jam setelah mengaktifkan Deteksi Ancaman VM untuk AWS.

  1. Di konsol Google Cloud , buka halaman Pengaktifan Layanan Deteksi Ancaman Virtual Machine.

    Buka Pengaktifan Layanan

  2. Pilih organisasi Anda.

  3. Klik tab Amazon Web Services.

  4. Di bagian Deploy template CloudFormation, klik Download template CloudFormation. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy template di setiap akun AWS yang perlu Anda pindai.

Deploy template AWS CloudFormation

Deploy template CloudFormation setidaknya enam jam setelah membuat konektor AWS.

Untuk mengetahui informasi mendetail tentang cara men-deploy template CloudFormation, lihat Membuat stack dari konsol CloudFormation dalam dokumentasi AWS.

Perhatikan hal-hal berikut: * Setelah template CloudFormation diupload, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template. * Untuk Permissions di opsi stack, pilih peran AWS yang Anda buat sebelumnya. * Setelah Anda men-deploy template CloudFormation, stack memerlukan waktu beberapa menit untuk mulai berjalan.

Status deployment ditampilkan di konsol AWS. Jika template CloudFormation gagal di-deploy, lihat bagian Pemecahan masalah.

Setelah pemindaian mulai berjalan, jika ada ancaman yang terdeteksi, temuan yang sesuai akan dibuat dan ditampilkan di halaman Temuan Security Command Center di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Meninjau temuan di Google Cloud konsol.

Mengelola modul

Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan modul dan melihat setelannya.

Mengaktifkan atau menonaktifkan modul

Setelah Anda mengaktifkan atau menonaktifkan modul, perubahan Anda memerlukan waktu hingga satu jam agar diterapkan.

Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat Temuan ancaman.

Konsol

Jika Virtual Machine Threat Detection untuk AWS diaktifkan, Anda dapat menetapkan status pengaktifan modul individualnya di tingkat organisasi.

  1. Di konsol Google Cloud , buka halaman Modules.

    Buka Modul

  2. Pilih organisasi Anda.

  3. Di tab Modules, di kolom Status, pilih status saat ini modul yang ingin Anda aktifkan atau nonaktifkan, lalu pilih salah satu berikut:

    • Aktifkan: Aktifkan modul.
    • Nonaktifkan: Nonaktifkan modul.

gcloud

Perintah gcloud scc manage services update memperbarui status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan diupdate (organization, folder, atau project).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan diupdate. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan. Untuk nilai yang valid, lihat Temuan ancaman yang mendukung AWS.
  • NEW_STATE: ENABLED untuk mengaktifkan modul; DISABLED untuk menonaktifkan modul; atau INHERITED untuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder).

Simpan konten berikut ini dalam file yang bernama request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Jalankan perintah gcloud scc manage services update:

Linux, macOS, atau Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Anda akan melihat respons seperti berikut:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Metode RESOURCE_TYPE.locations.securityCenterServices.patch Security Command Center Management API memperbarui status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan diperbarui (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan diupdate. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan. Untuk nilai yang valid, lihat Temuan ancaman yang mendukung AWS.
  • NEW_STATE: ENABLED untuk mengaktifkan modul; DISABLED untuk menonaktifkan modul; atau INHERITED untuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder).

Metode HTTP dan URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

Meminta isi JSON: 

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Melihat setelan modul VM Threat Detection untuk AWS

Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat Temuan ancaman.

Konsol

Konsol Google Cloud memungkinkan Anda melihat setelan untuk modul VM Threat Detection di tingkat organisasi.

  1. Di konsol Google Cloud , buka halaman Modules.

    Buka Modul

  2. Pilih organisasi Anda.

gcloud

Perintah gcloud scc manage services describe mendapatkan status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan didapatkan (organization, folder, atau project)
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Jalankan perintah gcloud scc manage services describe:

Linux, macOS, atau Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Metode RESOURCE_TYPE.locations.securityCenterServices.get Security Command Center Management API mendapatkan status layanan atau modul Security Command Center.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan didapatkan (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Metode HTTP dan URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Pemecahan masalah

Jika Anda mengaktifkan layanan Deteksi Ancaman VM, tetapi pemindaian tidak berjalan, periksa hal berikut:

  • Pastikan konektor AWS disiapkan dengan benar.
  • Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus CREATION_COMPLETE.

Langkah berikutnya