VM Threat Detection für AWS aktivieren

Auf dieser Seite wird beschrieben, wie Sie die VM-Gefahrenerkennung einrichten und verwenden, um auf Malware in den nichtflüchtigen Laufwerken von Amazon Elastic Compute Cloud-VMs (EC2) zu prüfen.

Wenn Sie die VM-Bedrohungserkennung für AWS aktivieren möchten, müssen Sie auf der AWS-Plattform eine AWS-IAM-Rolle erstellen, die VM-Bedrohungserkennung für AWS in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Wenn Sie VM Threat Detection für die Verwendung mit AWS aktivieren möchten, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Damit Sie die VM-Gefahrenerkennung für AWS einrichten können, müssen Sie sowohl inGoogle Cloud als auch in AWS Rollen mit den erforderlichen Berechtigungen erhalten.

Google Cloud  Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

AWS-Rollen

In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

So erstellen Sie eine Rolle für die VM-Bedrohungserkennung in AWS:

  1. Rufen Sie mit einem AWS-Administratorkonto die Seite IAM-Rollen in der AWS-Managementkonsole auf.
  2. Wählen Sie im Menü Dienst oder Anwendungsfall die Option Lambda aus.
  3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole
  4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:
    1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und die VM-Bedrohungserkennung.
    2. Fügen Sie die Richtlinie in den JSON-Editor ein.
    3. Geben Sie einen Namen für die Richtlinie an.
    4. Speichern Sie die Richtlinie.
  5. Öffnen Sie den Tab Vertrauensstellungen.

  6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Speichern Sie die Rolle.

Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

Prüfen, ob Security Command Center mit AWS verbunden ist

Für die VM-Bedrohungserkennung ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das Cloud Asset Inventory verwaltet, wenn Sie einen AWS-Connector erstellen.

Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie die VM-Gefahrenerkennung für AWS aktivieren.

Wenn Sie eine Verbindung einrichten möchten, erstellen Sie einen AWS-Connector.

VM Threat Detection für AWS im Security Command Center aktivieren

VM Threat Detection für AWS muss auf Google Cloud Organisationsebene aktiviert sein.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Bedrohungserkennung für virtuelle Maschinen auf.

    Zu „Dienstaktivierung“

  2. Wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf den Tab Amazon Web Services.

  4. Wählen Sie im Abschnitt Dienstaktivierung im Feld Status die Option Aktivieren aus.

  5. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet.

    Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erfassen aus, bevor Sie mit dem nächsten Schritt fortfahren.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • NEW_STATE: ENABLED, um die VM-Bedrohungserkennung für AWS zu aktivieren, oder DISABLED, um sie zu deaktivieren

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • NEW_STATE: ENABLED, um die VM-Bedrohungserkennung für AWS zu aktivieren, oder DISABLED, um sie zu deaktivieren

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

JSON-Text anfordern:

{
  "intendedEnablementState": "NEW_STATE"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ bereits aktiviert und die CloudFormation-Vorlage im Rahmen dieser Funktion bereitgestellt haben, ist die Einrichtung der VM-Gefahrenerkennung für AWS abgeschlossen.

Andernfalls warten Sie sechs Stunden und führen Sie dann die nächste Aufgabe aus: Laden Sie die CloudFormation-Vorlage herunter.

CloudFormation-Vorlage herunterladen

Führen Sie diese Aufgabe mindestens sechs Stunden nach dem Aktivieren der VM-Bedrohungserkennung für AWS aus.

  1. Rufen Sie in der Google Cloud Console die Seite Bedrohungserkennung für virtuelle Maschinen auf.

    Zu „Dienstaktivierung“

  2. Wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf den Tab Amazon Web Services.

  4. Klicken Sie im Bereich CloudFormation-Vorlage bereitstellen auf CloudFormation-Vorlage herunterladen. Auf Ihre Workstation wird eine JSON-Vorlage heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie scannen möchten.

AWS CloudFormation-Vorlage bereitstellen

Führen Sie diese Schritte mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors aus.

Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

  1. Rufen Sie in der AWS-Managementkonsole die Seite AWS CloudFormation-Vorlage auf.
  2. Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
  3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und dann Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
  4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage.
  5. Wählen Sie Stapeldetails angeben aus. Die Seite Stapeloptionen konfigurieren wird geöffnet.
  6. Wählen Sie unter Berechtigungen die AWS-Rolle aus, die Sie zuvor erstellt haben.
  7. Klicken Sie das Kästchen für die Bestätigung an, wenn Sie dazu aufgefordert werden.
  8. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Die Ausführung des Stacks dauert einige Minuten.

Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Hilfeartikel Fehlerbehebung.

Wenn nach Beginn der Scans Bedrohungen erkannt werden, werden die entsprechenden Ergebnisse generiert und in der Google Cloud Console auf der Seite „Ergebnisse“ des Security Command Centers angezeigt. Weitere Informationen finden Sie unter Ergebnisse in derGoogle Cloud Console ansehen.

Module verwalten

In diesem Abschnitt wird beschrieben, wie Sie Module aktivieren oder deaktivieren und ihre Einstellungen aufrufen.

Module aktivieren oder deaktivieren

Nachdem Sie ein Modul aktiviert oder deaktiviert haben, kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Informationen zu allen Bedrohungsergebnissen der VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie VM-Bedrohungserkennungsmodule auf Organisationsebene aktivieren oder deaktivieren.

  1. Rufen Sie in der Google Cloud Console die Seite Module auf.

    Zu den Modulen

  2. Wählen Sie Ihre Organisation aus.

  3. Wählen Sie auf dem Tab Module in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und dann eine der folgenden Optionen:

    • Aktivieren: Das Modul wird aktiviert.
    • Deaktivieren: Deaktivieren Sie das Modul.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Zulässige Werte sind nur die Module unter Sicherheitsbedrohungen, die AWS unterstützen.
  • NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren des Moduls

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • ORGANIZATION_ID: die numerische Kennung der Organisation
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll, z. B. MALWARE_DISK_SCAN_YARA_AWS. Zulässige Werte sind nur die Module unter Sicherheitsbedrohungen, die AWS unterstützen.
  • NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

JSON-Text anfordern:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Einstellungen der VM Threat Detection for AWS-Module ansehen

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud Console können Sie die Einstellungen für VM Threat Detection-Module auf Organisationsebene aufrufen.

  1. Rufen Sie in der Google Cloud Console die Seite Module auf.

    Zu den Modulen

  2. Wählen Sie Ihre Organisation aus.

gcloud

Mit dem Befehl gcloud scc manage services describe wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

Führen Sie den Befehl gcloud scc manage services describe aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Mit der Methode organizations.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • ORGANIZATION_ID: die numerische Kennung der Organisation, die abgerufen werden soll

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Fehlerbehebung

Wenn Sie den Dienst „VM Threat Detection“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

  • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
  • Prüfen Sie, ob der CloudFormation-Vorlagenstapel vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.

Nächste Schritte