Habilita VM Threat Detection para AWS

En esta página, se describe cómo configurar y usar la Detección de amenazas en máquinas virtuales para analizar en busca de software malicioso los discos persistentes de las VMs de Amazon Elastic Compute Cloud (EC2).

Para habilitar la detección de amenazas en VMs para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar la detección de amenazas en VMs para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar VM Threat Detection para usarlo con AWS, necesitas ciertos permisos de IAM y Security Command Center debe estar conectado a AWS.

Funciones y permisos

Para completar la configuración de la Detección de amenazas en VMs para AWS, debes tener roles con los permisos necesarios enGoogle Cloud y AWS.

Roles deGoogle Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Roles de AWS

    En AWS, un usuario administrativo de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis.

    Para crear un rol para VM Threat Detection en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativo de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. En el menú Servicio o caso de uso, selecciona lambda.
    3. Agrega las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Agregar permiso > Crear política intercalada para crear una nueva política de permisos:
      1. Abre la siguiente página y copia la política: Política de roles para la evaluación de vulnerabilidades de AWS y la detección de amenazas de VM.
      2. En el Editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y agrégalo a cualquier array de instrucciones existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Guarda el rol.

    Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.

    Confirma que Security Command Center esté conectado a AWS

    La Detección de amenazas en VMs requiere acceso al inventario de recursos de AWS que Cloud Asset Inventory mantiene cuando creas un conector de AWS.

    Si aún no se estableció una conexión, deberás configurar una cuando habilites la Detección de amenazas en VMs para AWS.

    Para configurar una conexión, crea un conector de AWS.

    Habilita VM Threat Detection para AWS en Security Command Center

    VM Threat Detection para AWS debe habilitarse en Google Cloud a nivel de la organización.

    Console

    1. En la consola de Google Cloud , ve a la página Habilitación del servicio de VM Threat Detection.

      Ir a Habilitación de servicios

    2. Selecciona tu organización.

    3. Haz clic en la pestaña Amazon Web Services.

    4. En la sección Habilitación de servicios, en el campo Estado, selecciona Habilitar.

    5. En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS.

      Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Conéctate a AWS para recopilar datos de configuración y recursos antes de continuar con el siguiente paso.

    gcloud

    El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • ORGANIZATION_ID: Es el identificador numérico de la organización.
    • NEW_STATE: ENABLED para habilitar VM Threat Detection para AWS; DISABLED para inhabilitar VM Threat Detection para AWS

    Ejecuta el comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Deberías recibir una respuesta similar a la que figura a continuación:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
    • ORGANIZATION_ID: Es el identificador numérico de la organización.
    • NEW_STATE: ENABLED para habilitar VM Threat Detection para AWS; DISABLED para inhabilitar VM Threat Detection para AWS

    Método HTTP y URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Cuerpo JSON de la solicitud:

    {
  "intendedEnablementState": "NEW_STATE"
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Si ya habilitaste el servicio de Evaluación de vulnerabilidades para AWS y ya implementaste la plantilla de CloudFormation como parte de esa función, ya terminaste de configurar la Detección de amenazas en VMs para AWS.

    De lo contrario, espera seis horas y, luego, realiza la siguiente tarea: descarga la plantilla de CloudFormation.

    Descarga la plantilla de CloudFormation

    Realiza esta tarea al menos seis horas después de habilitar VM Threat Detection para AWS.

    1. En la consola de Google Cloud , ve a la página Habilitación del servicio de VM Threat Detection.

      Ir a Habilitación de servicios

    2. Selecciona tu organización.

    3. Haz clic en la pestaña Amazon Web Services.

    4. En la sección Implementa la plantilla de CloudFormation, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar.

    Implementa la plantilla de AWS CloudFormation

    Realiza estos pasos al menos seis horas después de crear un conector de AWS.

    Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta Crea una pila desde la consola de CloudFormation en la documentación de AWS.

    1. Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla existente y Subir un archivo de plantilla para subir la plantilla de CloudFormation.
    4. Una vez que se complete la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configure stack options.
    6. En Permisos, selecciona el rol de AWS que creaste anteriormente.
    7. Si se te solicita, marca la casilla de confirmación.
    8. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en comenzar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

    Después de que se ejecuten los análisis, si se detecta alguna amenaza, se generarán los resultados correspondientes y se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud . Para obtener más información, consulta Revisa los resultados en la consola deGoogle Cloud .

    Administrar módulos

    En esta sección, se describe cómo habilitar o inhabilitar módulos y ver su configuración.

    Cómo habilitar o inhabilitar un módulo

    Después de habilitar o inhabilitar un módulo, los cambios pueden tardar hasta una hora en aplicarse.

    Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta Resultados de amenazas.

    Console

    La consola de Google Cloud te permite habilitar o inhabilitar los módulos de VM Threat Detection a nivel de la organización.

    1. En la consola de Google Cloud , ve a la página Módulos.

      Ir a Módulos

    2. Selecciona tu organización.

    3. En la pestaña Modules, en la columna Status, selecciona el estado actual del módulo que deseas habilitar o inhabilitar y, luego, selecciona una de las siguientes opciones:

      • Habilitar: Habilita el módulo.
      • Inhabilitar: Inhabilita el módulo.

    gcloud

    El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • ORGANIZATION_ID: Es el identificador numérico de la organización.
    • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará, por ejemplo, MALWARE_DISK_SCAN_YARA_AWS. Los valores válidos solo incluyen los módulos de Threat findings que admiten AWS.
    • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo

    Guarda el siguiente código en un archivo llamado request.json. 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Ejecuta el comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Deberías recibir una respuesta similar a la que figura a continuación:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
    • ORGANIZATION_ID: Es el identificador numérico de la organización.
    • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará, por ejemplo, MALWARE_DISK_SCAN_YARA_AWS. Los valores válidos solo incluyen los módulos de Threat findings que admiten AWS.
    • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo

    Método HTTP y URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Cuerpo JSON de la solicitud:

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Visualiza la configuración de los módulos de VM Threat Detection para AWS

    Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta Resultados de amenazas.

    Console

    La consola de Google Cloud te permite ver la configuración de los módulos de VM Threat Detection a nivel de la organización.

    1. En la consola de Google Cloud , ve a la página Módulos.

      Ir a Módulos

    2. Selecciona tu organización.

    gcloud

    El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • ORGANIZATION_ID: Es el identificador numérico de la organización que se obtendrá.

    Ejecuta el comando gcloud scc manage services describe:

    Linux, macOS o Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Deberías recibir una respuesta similar a la que figura a continuación:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    El método organizations.locations.securityCenterServices.get de la API de Security Command Center Management obtiene el estado de un servicio o módulo de Security Command Center.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
    • ORGANIZATION_ID: Es el identificador numérico de la organización que se obtendrá.

    Método HTTP y URL: 

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Soluciona problemas

    Si habilitaste el servicio de VM Threat Detection, pero no se ejecutan los análisis, verifica lo siguiente:

    • Verifica que el conector de AWS esté configurado correctamente.
    • Confirma que la pila de la plantilla de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.

    ¿Qué sigue?