Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ativar e usar a avaliação de vulnerabilidades da AWS

Esta página descreve como configurar e usar o serviço de avaliação de vulnerabilidades para Amazon Web Services (AWS).

Para ativar a Avaliação de Vulnerabilidades para AWS, crie um papel do IAM da AWS na plataforma da AWS, ative o serviço Avaliação de Vulnerabilidades para AWS no Security Command Center e implante um modelo do CloudFormation na AWS.

Antes de começar

Para ativar o serviço Avaliação de Vulnerabilidades para AWS, você precisa de determinadas permissões do IAM e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração do serviço de avaliação de vulnerabilidades da AWS, você precisa receber papéis com as permissões necessárias no Google Cloud e na AWS. Google Cloud

Google Cloud papéis

Verifique se você tem o seguinte papel ou papéis na organização: Central de segurança Editor de administrador (roles/securitycenter.adminEditor)

Verificar os papéis

No Google Cloud console, acesse a página IAM.
Acessar IAM
Selecione a organização.
Na coluna Principal, encontre todas as linhas que identificam você ou um grupo no qual você está incluído. Para saber em quais grupos você está incluído, entre em contato com seu administrador.
Em todas as linhas que especificam ou incluem você, verifique a coluna Papel para ver se a lista de papéis inclui os papéis necessários.

Conceder os papéis

No Google Cloud console, acesse a página IAM.
Acessar IAM
Selecione a organização.
Clique em Conceder acesso.
No campo Novos principais, digite seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
Clique em Selecionar um papel e pesquise o papel.
Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
Clique em Salvar.

Papéis da AWS

No Amazon Web Services (AWS), um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar as verificações. Você atribui esse papel mais tarde ao instalar o modelo do CloudFormation na AWS.

Para criar um papel para a avaliação de vulnerabilidades na AWS, siga as etapas em Criar um papel para um serviço da AWS (console).

Observe o seguinte:
- Em Serviço ou caso de uso, selecione lambda.
- Adicione as seguintes políticas de permissão:
  - AmazonSSMManagedInstanceCore
  - AWSLambdaBasicExecutionRole
  - AWSLambdaVPCAccessExecutionRole
- Salve a política e reabra-a. Clique em Adicionar permissão > Criar política inline.
- Crie uma política de permissão para o papel da AWS:
  1. Siga as instruções para modificar e copiar a política de permissões: Política de papéis para Avaliação de Vulnerabilidades para AWS e VM Threat Detection.
  2. Insira a política no editor JSON na AWS.
- Para relações de confiança, adicione a seguinte entrada JSON a qualquer matriz de declaração existente:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Coletar informações sobre os recursos da AWS a serem verificados

Durante as etapas para ativar a Avaliação de Vulnerabilidades para AWS, você pode personalizar a configuração para verificar regiões específicas da AWS, tags específicas que identificam recursos da AWS e volumes específicos de unidade de disco rígido (HDD, na sigla em inglês) (SC1 e ST1).

É útil ter essas informações disponíveis antes de configurar a Avaliação de Vulnerabilidades para AWS.

Confirmar se o Security Command Center está conectado à AWS

O serviço Avaliação de Vulnerabilidades para AWS exige acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando o Security Command Center está conectado à AWS.

Se uma conexão ainda não estiver estabelecida, você precisará configurar uma ao ativar o serviço Avaliação de Vulnerabilidades para AWS.

Para configurar uma conexão, consulte Conectar-se à AWS para configuração e coleta de dados de recursos.

Ativar a Avaliação de Vulnerabilidades para AWS no Security Command Center

A Avaliação de Vulnerabilidades para AWS precisa ser ativada no nível da organização. Google Cloud

Acesse a página Visão geral de riscos no Security Command Center:

Acessar visão geral de riscos
Selecione a organização em que você quer ativar a Avaliação de Vulnerabilidades para AWS.
Clique em Configurações.
No card Avaliação de vulnerabilidades, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.
Selecione a guia Amazon Web Services.
Na seção Ativação do serviço, mude o campo Status para Ativar.
Na seção Conector da AWS, verifique se o status mostra Conector da AWS adicionado. Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar-se à AWS para configuração e coleta de dados de recursos antes de passar para a próxima etapa.
Configure as Configurações de verificação de computação e armazenamento da AWS. Para mudar a configuração padrão, clique em Editar configurações de verificação. Para informações sobre cada opção, consulte Personalizar as configurações de verificação de computação e armazenamento da AWS.
Se você já ativou a VM Threat Detection para a AWS e implantou o modelo do CloudFormation como parte desse recurso, pule esta etapa. Na seção Configurações de verificação, clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é transferido por download para sua estação de trabalho. Você precisa implantar o modelo em cada conta da AWS que precisa verificar vulnerabilidades.

Personalizar as configurações de verificação de computação e armazenamento da AWS

Esta seção descreve as opções disponíveis para personalizar a verificação de recursos da AWS. Essas opções personalizadas estão na seção Configurações de verificação de computação e armazenamento da AWS ao editar uma avaliação de vulnerabilidades para a verificação da AWS.

É possível definir um máximo de 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se um valor de tag ou ID de instância não estiver correto (por exemplo, o valor estiver incorreto) e o recurso especificado não existir, o valor será ignorado durante a verificação.

Opção	Descrição
Intervalo de verificação	Insira o número de horas entre cada verificação. Os valores válidos variam de 6 a 24. O valor padrão é 6. Verificações mais frequentes podem causar um aumento no uso de recursos e, possivelmente, um aumento nas cobranças de faturamento.
Regiões da AWS	Escolha um subconjunto de regiões para incluir na verificação de avaliação de vulnerabilidades. Somente instâncias das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para serem incluídas na verificação. Se você configurou regiões específicas no conector do Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são as mesmas ou um subconjunto das definidas ao configurar a conexão com a AWS.
Tags da AWS	Especifique as tags que identificam o subconjunto de instâncias verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Marcar seus recursos do Amazon EC2 e Adicionar e remover tags para recursos do Amazon EC2.
Excluir por ID de instância	Exclua instâncias do EC2 de cada verificação especificando o ID da instância do EC2. É possível especificar no máximo 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o `AND` operador. Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância AWS EC2 e digitando o valor. Se você selecionar Copiar e colar uma lista de IDs de instância para excluir no formato JSON, faça uma das seguintes ações: Insira uma matriz de IDs de instância. Exemplo: [ "instance-id-1", "instance-id-2" ] Faça o upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo: [ "instance-id-1", "instance-id-2" ]
Verificar instância SC1	Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias SC1 são excluídas por padrão. Saiba mais sobre as instâncias SC1.
Verificar instância ST1	Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão. Saiba mais sobre as instâncias ST1.
Verificar Elastic Container Registry (ECR)	Selecione Verificar instância do Elastic Container Registry para verificar imagens de contêiner armazenadas no ECR e os pacotes instalados. Saiba mais sobre o Elastic Container Registry.

Implantar o modelo do AWS CloudFormation

Implante o modelo do CloudFormation pelo menos seis horas após criar um conector da AWS.

Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.

Tenha em mente o seguinte: * Depois que o modelo do CloudFormation for enviado, insira um nome de pilha exclusivo. Não modifique nenhum outro parâmetro no modelo. * Em Permissões nas opções de pilha, selecione o papel da AWS que você criou anteriormente. * Depois de implantar o modelo do CloudFormation, a pilha leva alguns minutos para começar a ser executada.

O status da implantação é mostrado no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.

Depois que as verificações começarem a ser executadas, se alguma vulnerabilidade for detectada, as descobertas correspondentes serão geradas e mostradas na página Descobertas do Security Command Center Findings no Google Cloud console.

Analisar descobertas no console

É possível conferir a Avaliação de Vulnerabilidades para AWS para descobertas no Google Cloud console. O papel mínimo do IAM necessário para conferir descobertas é o Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer).

Para analisar a Avaliação de Vulnerabilidades para AWS no Google Cloud console, siga estas etapas:

No Google Cloud console do, acesse a página Descobertas do Security Command Center.

Acessar descobertas
Selecioneo seu Google Cloud projeto ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Solução de problemas

Se você ativou o serviço de avaliação de vulnerabilidades, mas as verificações não estão sendo executadas, verifique o seguinte:

Verifique se o conector da AWS está configurado corretamente.
Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status dela na conta da AWS precisa ser CREATION_COMPLETE.