Activer VM Threat Detection pour AWS

Cette page explique comment configurer et utiliser la détection des menaces sur les machines virtuelles pour rechercher les logiciels malveillants dans les disques persistants des VM Amazon Elastic Compute Cloud (EC2).

Pour activer VM Threat Detection pour AWS, vous devez créer un rôle IAM AWS sur la plate-forme AWS, activer VM Threat Detection pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer VM Threat Detection avec AWS, vous avez besoin de certaines autorisations IAM et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration de la détection des menaces sur les VM pour AWS, vous devez disposer de rôles avec les autorisations nécessaires à la fois dansGoogle Cloud et dans AWS.

Google Cloud  rôles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Rôles AWS

    Dans AWS, un utilisateur administratif AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

    Pour créer un rôle pour VM Threat Detection dans AWS, procédez comme suit :

    1. À l'aide d'un compte d'utilisateur administratif AWS, accédez à la page Rôles IAM dans la console AWS Management Console.
    2. Dans le menu Service ou cas d'utilisation, sélectionnez lambda.
    3. Ajoutez les règles d'autorisation suivantes :
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Cliquez sur Ajouter une autorisation > Créer une règle intégrée pour créer une règle d'autorisation :
      1. Ouvrez la page suivante et copiez la stratégie : Stratégie de rôle pour l'évaluation des failles pour AWS et VM Threat Detection.
      2. Dans l'éditeur JSON, collez la stratégie.
      3. Spécifiez un nom pour la règle.
      4. Enregistrez la règle.
    5. Ouvrez l'onglet Relations d'approbation.

    6. Collez l'objet JSON suivant en l'ajoutant à n'importe quel tableau d'instructions existant :

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Enregistrez le rôle.

    Vous attribuerez ce rôle ultérieurement lorsque vous installerez le modèle CloudFormation sur AWS.

    Vérifier que Security Command Center est connecté à AWS

    La détection des menaces sur les VM nécessite d'accéder à l'inventaire des ressources AWS que inventaire des éléments cloud gère lorsque vous créez un connecteur AWS.

    Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez la détection des menaces sur les VM pour AWS.

    Pour configurer une connexion, créez un connecteur AWS.

    Activer VM Threat Detection pour AWS dans Security Command Center

    VM Threat Detection pour AWS doit être activé sur Google Cloud au niveau de l'organisation.

    Console

    1. Dans la console Google Cloud , accédez à la page Activation du service VM Threat Detection.

      Accéder à l'activation des services

    2. Sélectionnez votre organisation.

    3. Cliquez sur l'onglet Amazon Web Services.

    4. Dans la section Activation du service, dans le champ État, sélectionnez Activer.

    5. Dans la section Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté.

      Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Suivez les étapes décrites dans Se connecter à AWS pour la collecte des données de configuration et de ressources avant de passer à l'étape suivante.

    gcloud

    La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • ORGANIZATION_ID : identifiant numérique de l'organisation
    • NEW_STATE : ENABLED pour activer VM Threat Detection pour AWS ; DISABLED pour désactiver VM Threat Detection pour AWS

    Exécutez la commande gcloud scc manage services update  :

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Vous devriez obtenir un résultat semblable à celui-ci :

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    La méthode organizations.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
    • ORGANIZATION_ID : identifiant numérique de l'organisation
    • NEW_STATE : ENABLED pour activer VM Threat Detection pour AWS ; DISABLED pour désactiver VM Threat Detection pour AWS

    Méthode HTTP et URL : 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Corps JSON de la requête :

    {
  "intendedEnablementState": "NEW_STATE"
}

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Si vous avez déjà activé le service d'évaluation des failles pour AWS et déployé le modèle CloudFormation dans le cadre de cette fonctionnalité, vous avez terminé de configurer VM Threat Detection pour AWS.

    Sinon, attendez six heures, puis effectuez la tâche suivante : téléchargez le modèle CloudFormation.

    Télécharger le modèle CloudFormation

    Effectuez cette tâche au moins six heures après avoir activé VM Threat Detection pour AWS.

    1. Dans la console Google Cloud , accédez à la page Activation du service VM Threat Detection.

      Accéder à l'activation des services

    2. Sélectionnez votre organisation.

    3. Cliquez sur l'onglet Amazon Web Services.

    4. Dans la section Déployer le modèle CloudFormation, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre poste de travail. Vous devez déployer le modèle dans chaque compte AWS que vous devez analyser.

    Déployer le modèle AWS CloudFormation

    Effectuez ces étapes au moins six heures après avoir créé un connecteur AWS.

    Pour en savoir plus sur le déploiement d'un modèle CloudFormation, consultez Créer une pile à partir de la console CloudFormation dans la documentation AWS.

    1. Accédez à la page Modèle AWS CloudFormation dans la console AWS Management Console.
    2. Cliquez sur Stacks > With new resources (standard) (Piles > Avec de nouvelles ressources (standard)).
    3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant et Importer un fichier de modèle pour importer le modèle CloudFormation.
    4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle.
    5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de la pile s'ouvre.
    6. Sous Autorisations, sélectionnez le rôle AWS que vous avez créé précédemment.
    7. Si vous y êtes invité, cochez la case pour confirmer.
    8. Cliquez sur Envoyer pour déployer le modèle. Le démarrage de la pile prend quelques minutes.

    L'état du déploiement s'affiche dans la console AWS. Si le modèle CloudFormation ne parvient pas à se déployer, consultez la section Dépannage.

    Une fois les analyses lancées, si des menaces sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud . Pour en savoir plus, consultez Examiner les résultats dans la consoleGoogle Cloud .

    Gérer les modules

    Cette section explique comment activer ou désactiver des modules et afficher leurs paramètres.

    Activer ou désactiver un module

    Une fois que vous avez activé ou désactivé un module, un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées.

    Pour en savoir plus sur tous les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez Résultats de menaces.

    Console

    La console Google Cloud vous permet d'activer ou de désactiver les modules VM Threat Detection au niveau de l'organisation.

    1. Dans la console Google Cloud , accédez à la page Modules.

      Accéder aux modules

    2. Sélectionnez votre organisation.

    3. Dans l'onglet Modules, dans la colonne État, sélectionnez l'état actuel du module que vous souhaitez activer ou désactiver, puis sélectionnez l'une des options suivantes :

      • Activer : activez le module.
      • Désactiver : désactivez le module.

    gcloud

    La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • ORGANIZATION_ID : identifiant numérique de l'organisation
    • MODULE_NAME : nom du module à activer ou à désactiver, par exemple MALWARE_DISK_SCAN_YARA_AWS. Les valeurs valides n'incluent que les modules de Résultats de menace compatibles avec AWS.
    • NEW_STATE : ENABLED pour activer le module ; DISABLED pour désactiver le module

    Enregistrez le code suivant dans un fichier nommé request.json : 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Exécutez la commande gcloud scc manage services update  :

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Vous devriez obtenir un résultat semblable à celui-ci :

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    La méthode organizations.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
    • ORGANIZATION_ID : identifiant numérique de l'organisation
    • MODULE_NAME : nom du module à activer ou à désactiver, par exemple MALWARE_DISK_SCAN_YARA_AWS. Les valeurs valides n'incluent que les modules de Résultats de menace compatibles avec AWS.
    • NEW_STATE : ENABLED pour activer le module ; DISABLED pour désactiver le module

    Méthode HTTP et URL : 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Corps JSON de la requête :

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Afficher les paramètres des modules VM Threat Detection pour AWS

    Pour en savoir plus sur tous les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez Résultats de menaces.

    Console

    La console Google Cloud vous permet d'afficher les paramètres des modules VM Threat Detection au niveau de l'organisation.

    1. Dans la console Google Cloud , accédez à la page Modules.

      Accéder aux modules

    2. Sélectionnez votre organisation.

    gcloud

    La commande gcloud scc manage services describe permet d'obtenir l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

    • ORGANIZATION_ID : identifiant numérique de l'organisation à obtenir

    Exécutez la commande gcloud scc manage services describe  :

    Linux, macOS ou Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Vous devriez obtenir un résultat semblable à celui-ci :

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    La méthode organizations.locations.securityCenterServices.get de l'API Security Command Center Management permet d'obtenir l'état d'un service ou d'un module Security Command Center.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
    • ORGANIZATION_ID : identifiant numérique de l'organisation à obtenir

    Méthode HTTP et URL : 

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Dépannage

    Si vous avez activé le service VM Threat Detection, mais que les analyses ne sont pas en cours d'exécution, vérifiez les points suivants :

    • Vérifiez que le connecteur AWS est correctement configuré.
    • Vérifiez que la pile du modèle CloudFormation a été déployée complètement. Son état dans le compte AWS doit être CREATION_COMPLETE.

    Étapes suivantes