Ativar a Detecção de ameaças a máquinas virtuais da AWS

Esta página descreve como configurar e usar a Detecção de ameaças de máquina virtual para procurar malware nos discos persistentes das VMs do Amazon Elastic Compute Cloud (EC2).

Para ativar a Detecção de ameaças de VM para a AWS, é necessário criar um papel do IAM da AWS na plataforma da AWS, ativar a Detecção de ameaças de VM para a AWS no Security Command Center e implantar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a VM Threat Detection para uso com a AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração da Detecção de ameaças de VM para a AWS, é necessário receber papéis com as permissões necessárias no Google Cloud e na AWS.

papéisGoogle Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.

Papéis da AWS

Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar as verificações.

Para criar uma função para a VM Threat Detection na AWS, siga estas etapas:

  1. Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no AWS Management Console.
  2. No menu Serviço ou caso de uso, selecione lambda.
  3. Adicione as seguintes políticas de permissão:
    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole
  4. Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:
    1. Abra a página a seguir e copie a política: Política de função para a avaliação de vulnerabilidades da AWS e a detecção de ameaças de VM.
    2. No Editor JSON, cole a política.
    3. Especifique um nome para a política.
    4. Salve a política.
  5. Abra a guia Relacionamentos de confiança.

  6. Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução existente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. Salve a função.

Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

Confirmar se o Security Command Center está conectado à AWS

A Detecção de ameaças de VM exige acesso ao inventário de recursos da AWS mantido pelo Cloud Asset Inventory quando você cria um conector da AWS.

Se uma conexão ainda não tiver sido estabelecida, será necessário configurá-la ao ativar a Detecção de ameaças de VM para a AWS.

Para configurar uma conexão, crie um conector da AWS.

Ativar a VM Threat Detection para a AWS no Security Command Center

A VM Threat Detection para AWS precisa ser ativada em Google Cloud no nível da organização.

Console

  1. No console do Google Cloud, acesse a página Ativação do serviço de detecção de ameaças de máquina virtual.

    Acessar "Ativação de serviço"

  2. Selecione a organização.

  3. Clique na guia Amazon Web Services.

  4. Na seção Ativação do serviço, no campo Status, selecione Ativar.

  5. Na seção Conectores da AWS, verifique se o status mostra AWS Connector adicionado.

    Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar-se à AWS para configuração e coleta de dados de recursos antes de passar para a próxima etapa.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o identificador numérico da organização
  • NEW_STATE: ENABLED para ativar a VM Threat Detection para a AWS; DISABLED para desativar a VM Threat Detection para a AWS.

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
  • ORGANIZATION_ID: o identificador numérico da organização
  • NEW_STATE: ENABLED para ativar a VM Threat Detection para a AWS; DISABLED para desativar a VM Threat Detection para a AWS.

Método HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

Corpo JSON da solicitação:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Se você já ativou a avaliação de vulnerabilidades do serviço da AWS e implantou o modelo do CloudFormation como parte desse recurso, a configuração da detecção de ameaças a máquinas virtuais da AWS foi concluída.

Caso contrário, aguarde seis horas e realize a próxima tarefa: faça o download do modelo do CloudFormation.

Fazer o download do modelo do CloudFormation

Realize essa tarefa pelo menos seis horas após ativar a VM Threat Detection para AWS.

  1. No console do Google Cloud, acesse a página Ativação do serviço de detecção de ameaças de máquina virtual.

    Acessar "Ativação de serviço"

  2. Selecione a organização.

  3. Clique na guia Amazon Web Services.

  4. Na seção Deploy CloudFormation template, clique em Download CloudFormation template. Um modelo JSON é transferido por download para a estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar.

Implantar o modelo do AWS CloudFormation

Siga estas etapas pelo menos seis horas após criar um conector da AWS.

Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.

  1. Acesse a página AWS CloudFormation Template no console de gerenciamento da AWS.
  2. Clique em Pilhas > Com novos recursos (padrão).
  3. Na página Criar pilha, selecione Escolher um modelo existente e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
  4. Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
  5. Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
  6. Em Permissões, selecione o papel da AWS que você criou anteriormente.
  7. Se necessário, marque a caixa para confirmar.
  8. Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte Solução de problemas.

Depois que as verificações começam a ser executadas, se alguma ameaça for detectada, as descobertas correspondentes serão geradas e exibidas na página de descobertas do Security Command Center no console do Google Cloud. Para mais informações, consulte Analisar descobertas no console do Google Cloud.

Gerenciar módulos

Esta seção descreve como ativar ou desativar módulos e visualizar as configurações deles.

Ativar ou desativar um módulo

Depois de ativar ou desativar um módulo, pode levar até uma hora para que as mudanças entrem em vigor.

Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.

Console

No Console do Google Cloud, você pode ativar ou desativar os módulos de detecção de ameaças da VM no nível da organização.

  1. No console do Google Cloud, acesse a página Modules.

    Acesse Módulos

  2. Selecione a organização.

  3. Na guia Modules, na coluna Status, selecione o status atual do módulo que você quer ativar ou desativar e escolha uma das seguintes opções:

    • Ativar: ative o módulo.
    • Desativar: desativa o módulo.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o identificador numérico da organização
  • MODULE_NAME: o nome do módulo a ser ativado ou desativado, por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Encontrados de ameaças que oferecem suporte à AWS.
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

Salve o conteúdo a seguir em um arquivo chamado request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
  • ORGANIZATION_ID: o identificador numérico da organização
  • MODULE_NAME: o nome do módulo a ser ativado ou desativado, por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Encontrados de ameaças que oferecem suporte à AWS.
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

Método HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

Corpo JSON da solicitação:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Conferir as configurações dos módulos da VM Threat Detection para a AWS

Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.

Console

No Console do Google Cloud, você pode conferir as configurações dos módulos da VM Threat Detection no nível da organização.

  1. No console do Google Cloud, acesse a página Modules.

    Acesse Módulos

  2. Selecione a organização.

gcloud

O comando gcloud scc manage services describe recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o identificador numérico da organização a ser recebida

Execute o comando gcloud scc manage services describe:

Linux, macOS ou Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

O método organizations.locations.securityCenterServices.get da API Security Command Center Management recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
  • ORGANIZATION_ID: o identificador numérico da organização a ser recebida

Método HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Solução de problemas

Se você ativou o serviço de detecção de ameaças da VM, mas as verificações não estão em execução, verifique o seguinte:

  • Verifique se o conector da AWS está configurado corretamente.
  • Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser CREATION_COMPLETE.

A seguir