AWS の VM Threat Detection を有効にする

このページでは、VM Threat Detection を設定して使用し、Amazon Elastic Compute Cloud(EC2)VM をスキャンする方法について説明します。

AWS 向け VM Threat Detection を有効にするには、AWS プラットフォームで AWS IAM ロールを作成し、Security Command Center で AWS 向け VM Threat Detection を有効にして、AWS に CloudFormation テンプレートをデプロイする必要があります。

始める前に

AWS で使用するために VM Threat Detection を有効にするには、特定の IAM 権限が必要であり、Security Command Center が AWS に接続されている必要があります。

ロールと権限

AWS 向け VM Threat Detection の設定を完了するには、Google Cloud と AWS の両方で必要な権限を持つロールが付与されている必要があります。

Google Cloud のロール

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

AWS のロール

AWS では、スキャンを有効にするために必要な AWS アカウントを AWS 管理ユーザーが作成する必要があります。

AWS で VM Threat Detection のロールを作成する手順は次のとおりです。

  1. AWS 管理ユーザー アカウントを使用して、AWS Management Console の IAM ロールページに移動します。
  2. [サービスまたはユースケース] メニューから [lambda] を選択します。
  3. 次の権限ポリシーを追加します。
    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole
  4. [権限を追加] > [インライン ポリシーを作成] をクリックして、新しい権限ポリシーを作成します。
    1. 次のページを開き、AWS の脆弱性評価と VM Threat Detection のロールポリシーをコピーします。
    2. [JSON エディタ] にポリシーを貼り付けます。
    3. ポリシーの名前を指定します。
    4. ポリシーを保存します。
  5. [Trust Relationships] タブを開きます。

  6. 次の JSON オブジェクトを貼り付けて、既存のステートメント配列に追加します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. ロールを保存します。

このロールは、後で AWS に CloudFormation テンプレートをインストールするときに割り当てます。

Security Command Center が AWS に接続されていることを確認する

VM Threat Detection では、AWS コネクタの作成時に Cloud Asset Inventory が維持する AWS リソースのインベントリにアクセスする必要があります。

接続がまだ確立されていない場合は、AWS 向け VVM Threat Detection を有効にするときに接続を設定する必要があります。

接続を設定するには、AWS コネクタを作成します。

Security Command Center で AWS 向け VM Threat Detection を有効にする

AWS 向け VM Threat Detection は、 Google Cloud で組織レベルで有効にする必要があります。

  1. Google Cloud コンソールで、[Virtual Machine Threat Detection サービス有効化] ページに移動します。

    [サービス有効化] に移動

  2. 組織を選択する。

  3. [Amazon Web Services] タブをクリックします。

  4. [サービスの有効化] セクションの [ステータス] フィールドで、[有効にする] を選択します。

  5. [AWS コネクタ] セクションで、ステータスに [AWS コネクタが追加されている] と表示されていることを確認します。ステータスに [AWS コネクタが追加されていない] と表示される場合は、[AWS コネクタを追加] をクリックします。次のステップに進む前に、AWS に接続して構成データとリソースデータの収集を行うの手順を完了します。

  6. AWS の脆弱性評価サービスをすでに有効にして、その機能の一部として CloudFormation テンプレートをデプロイしている場合は、この手順をスキップします。[CloudFormation テンプレートをダウンロード] をクリックします。JSON テンプレートがワークステーションにダウンロードされます。スキャンする必要がある各 AWS アカウントにテンプレートをデプロイする必要があります。

AWS CloudFormation テンプレートをデプロイする

AWS コネクタを作成してから少なくとも 6 時間後に、次の手順を実施します。

CloudFormation テンプレートをデプロイする方法の詳細については、AWS ドキュメントの CloudFormation コンソールからスタックを作成するをご覧ください。

  1. AWS Management Console の [AWS CloudFormation テンプレート] ページに移動します。
  2. [Stacks] > [With new resources (standard)] をクリックします。
  3. [Create stack] ページで、[Choose an existing template] を選択し、[Upload a template file] をクリックして CloudFormation テンプレートをアップロードします。
  4. アップロードが完了したら、一意のスタック名を入力します。テンプレートの他のパラメータは変更しないでください。
  5. [スタックの詳細を指定] を選択します。[スタックのオプションを構成する] ページが開きます。
  6. [権限] で、前に作成した AWS ロールを選択します。
  7. メッセージが表示されたら、確認のチェックボックスにチェックを入れます。
  8. [送信] をクリックしてテンプレートをデプロイします。スタックの実行が開始されるまでに数分かかります。

デプロイのステータスが AWS コンソールに表示されます。CloudFormation テンプレートのデプロイに失敗した場合は、トラブルシューティングをご覧ください。

スキャンの実行が開始され、脅威が検出されると、対応する検出結果が生成され、Google Cloud コンソールの Security Command Center の [検出結果] ページに表示されます。詳細については、Google Cloud コンソールで検出結果を確認するをご覧ください。

トラブルシューティング

VM Threat Detection サービスを有効にしてもスキャンが実行されない場合は、次の点を確認します。

  • AWS コネクタが正しく設定されていることを確認します。
  • CloudFormation テンプレート スタックが完全にデプロイされていることを確認します。AWS アカウントでのステータスは CREATION_COMPLETE になります。

次のステップ