Ative a deteção de ameaças de VMs para a AWS

Esta página descreve como configurar e usar a deteção de ameaças de máquinas virtuais para procurar software malicioso nos discos persistentes das VMs do Amazon Elastic Compute Cloud (EC2).

Para ativar a deteção de ameaças de VMs para a AWS, tem de criar uma função do IAM da AWS na plataforma AWS, ativar a deteção de ameaças de VMs para a AWS no Security Command Center e, em seguida, implementar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a deteção de ameaças de VMs para utilização com a AWS, precisa de determinadas autorizações da IAM e o Security Command Center tem de estar ligado à AWS.

Funções e permissões

Para concluir a configuração da Deteção de ameaças de VMs para a AWS, tem de lhe serem concedidas funções com as autorizações necessárias noGoogle Cloud e na AWS.

Google Cloud funções

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Aceder ao IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

  5. Na lista Selecionar uma função, selecione uma função.
  6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
  7. Clique em Guardar.

    8. Funções da AWS

    Nos Amazon Web Services (AWS), um utilizador administrativo dos AWS tem de criar a conta dos AWS necessária para ativar as análises. Atribui esta função mais tarde quando instala o modelo do CloudFormation na AWS.

    • Para criar uma função para a Deteção de ameaças de VMs na AWS, siga os passos em Crie uma função para um serviço da AWS (consola).

      Tenha em conta o seguinte:

      • Para serviço ou exemplo de utilização, selecione lambda.
      • Adicione as seguintes políticas de autorização:
        • AmazonSSMManagedInstanceCore
        • AWSLambdaBasicExecutionRole
        • AWSLambdaVPCAccessExecutionRole
      • Crie uma política de autorização para a função da AWS:
        1. Siga as instruções para modificar e copiar a política de autorizações: Política de funções para a avaliação de vulnerabilidades para o AWS e a deteção de ameaças de VMs.
        2. Introduza a política no editor JSON na AWS.

      • Para relações de confiança, adicione a seguinte entrada JSON a qualquer matriz de declarações existente:

        {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Confirme que o Security Command Center está ligado à AWS

    A deteção de ameaças de VMs requer acesso ao inventário de recursos da AWS que o Cloud Asset Inventory mantém quando cria um conector da AWS.

    Se ainda não tiver uma ligação estabelecida, tem de configurar uma quando ativa a deteção de ameaças de VMs para a AWS.

    Para configurar uma associação, crie um conector da AWS.

    Ative a deteção de ameaças de VMs para a AWS no Security Command Center

    A Deteção de ameaças de VMs para a AWS tem de estar ativada Google Cloud ao nível da organização.

    Consola

    1. Na Google Cloud consola, aceda à página Ativação do serviço de deteção de ameaças da máquina virtual.

      Aceda à ativação de serviços

    2. Selecione a sua organização.

    3. Clique no separador Amazon Web Services.

    4. Na secção Ativação de serviços, no campo Estado, selecione Ativar.

    5. Na secção Conetor da AWS, verifique se o estado apresenta Conetor da AWS adicionado.

      Se o estado apresentar Nenhum conetor da AWS adicionado, clique em Adicionar conetor da AWS. Conclua os passos em Estabeleça ligação à AWS para configuração e recolha de dados de recursos antes de avançar para o passo seguinte.

    gcloud

    O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • ORGANIZATION_ID: o identificador numérico da organização
    • NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs para o AWS; DISABLED para desativar a Deteção de ameaças de VMs para o AWS

    Execute o comando gcloud scc manage services update:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Deve receber uma resposta semelhante à seguinte:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
    • ORGANIZATION_ID: o identificador numérico da organização
    • NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs para o AWS; DISABLED para desativar a Deteção de ameaças de VMs para o AWS

    Método HTTP e URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Corpo JSON do pedido: 

    {
  "intendedEnablementState": "NEW_STATE"
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Se já ativou a avaliação de vulnerabilidades para o serviço AWS e implementou o modelo do CloudFormation como parte dessa funcionalidade, concluiu a configuração da deteção de ameaças de VMs para a AWS.

    Caso contrário, aguarde seis horas e, em seguida, execute a tarefa seguinte: transfira o modelo do CloudFormation.

    Transfira o modelo do CloudFormation

    Execute esta tarefa, pelo menos, seis horas após ativar a deteção de ameaças de VMs para a AWS.

    1. Na Google Cloud consola, aceda à página Ativação do serviço de deteção de ameaças da máquina virtual.

      Aceda à ativação de serviços

    2. Selecione a sua organização.

    3. Clique no separador Amazon Web Services.

    4. Na secção Implementar modelo do CloudFormation, clique em Transferir modelo do CloudFormation. É transferido um modelo JSON para a sua estação de trabalho. Tem de implementar o modelo em cada conta da AWS que precisa de analisar.

    Implemente o modelo do AWS CloudFormation

    Implemente o modelo do CloudFormation, pelo menos, seis horas após criar um conetor da AWS.

    Para ver informações detalhadas sobre como implementar um modelo do CloudFormation, consulte o artigo Crie uma pilha a partir da consola do CloudFormation na documentação da AWS.

    Tenha em atenção o seguinte: * Depois de carregar o modelo do CloudFormation, introduza um nome de conjunto exclusivo. Não modifique outros parâmetros no modelo. * Para Autorizações nas opções da hierarquia, selecione a função da AWS que criou anteriormente. * Depois de implementar o modelo do CloudFormation, a pilha demora alguns minutos a começar a ser executada.

    O estado da implementação é apresentado na consola da AWS. Se o modelo do CloudFormation não for implementado, consulte a secção Resolução de problemas.

    Depois de as análises começarem a ser executadas, se forem detetadas ameaças, são geradas as conclusões correspondentes e apresentadas na página Conclusões do Security Command Center na Google Cloud consola. Para mais informações, consulte a secção Reveja as conclusões na Google Cloud consola.

    Faça a gestão de módulos

    Esta secção descreve como ativar ou desativar módulos e ver as respetivas definições.

    Ative ou desative um módulo

    Depois de ativar ou desativar um módulo, as alterações podem demorar até uma hora a entrar em vigor.

    Para obter informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte o artigo Conclusões de ameaças.

    Consola

    A consola permite-lhe ativar ou desativar módulos de deteção de ameaças de MV ao nível da organização. Google Cloud

    1. Na Google Cloud consola, aceda à página Módulos.

      Aceda a Módulos

    2. Selecione a sua organização.

    3. No separador Módulos, na coluna Estado, selecione o estado atual do módulo que quer ativar ou desativar e, de seguida, selecione uma das seguintes opções:

      • Ativar: ative o módulo.
      • Desativar: desative o módulo.

    gcloud

    O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • ORGANIZATION_ID: o identificador numérico da organização
    • MODULE_NAME: o nome do módulo a ativar ou desativar. Por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Resultados de ameaças que suportam a AWS.
    • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

    Guarde o seguinte conteúdo num ficheiro denominado request.json: 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Execute o comando gcloud scc manage services update:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Deve receber uma resposta semelhante à seguinte:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
    • ORGANIZATION_ID: o identificador numérico da organização
    • MODULE_NAME: o nome do módulo a ativar ou desativar. Por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Resultados de ameaças que suportam a AWS.
    • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

    Método HTTP e URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Corpo JSON do pedido: 

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Veja as definições da Deteção de ameaças de MV para módulos da AWS

    Para obter informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte o artigo Conclusões de ameaças.

    Consola

    A Google Cloud consola permite-lhe ver as definições dos módulos de deteção de ameaças de VMs ao nível da organização.

    1. Na Google Cloud consola, aceda à página Módulos.

      Aceda a Módulos

    2. Selecione a sua organização.

    gcloud

    O comando gcloud scc manage services describe obtém o estado de um serviço ou um módulo do Security Command Center.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • ORGANIZATION_ID: o identificador numérico da organização a obter

    Execute o comando gcloud scc manage services describe:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Deve receber uma resposta semelhante à seguinte:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    O método organizations.locations.securityCenterServices.get da API Security Command Center Management obtém o estado de um serviço ou módulo do Security Command Center.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
    • ORGANIZATION_ID: o identificador numérico da organização a obter

    Método HTTP e URL: 

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Resolução de problemas

    Se ativou o serviço de deteção de ameaças de VMs, mas as análises não estão a ser executadas, verifique o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha do modelo do CloudFormation foi implementada na totalidade. O respetivo estado na conta da AWS deve ser CREATION_COMPLETE.

    O que se segue?