Ativar a Detecção de ameaças a máquinas virtuais da AWS

Nesta página, descrevemos como configurar e usar a Detecção de ameaças em máquinas virtuais para verificar a presença de malware nos discos permanentes das VMs do Amazon Elastic Compute Cloud (EC2).

Para ativar o Event Threat Detection para VMs na AWS, crie uma função do IAM da AWS na plataforma da AWS, ative o Event Threat Detection para VMs na AWS no Security Command Center e implante um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a VM Threat Detection para uso com a AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração da Detecção de ameaças em VMs para AWS, é necessário ter papéis com as permissões necessárias no Google Cloud e na AWS.

Google Cloud funções

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.
  8. Funções da AWS

    Na AWS, um usuário administrativo precisa criar a conta necessária para ativar as verificações.

    Para criar uma função para a detecção de ameaças da VM na AWS, siga estas etapas:

    1. Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no AWS Management Console.
    2. No menu Serviço ou caso de uso, selecione lambda.
    3. Adicione as seguintes políticas de permissão:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:
      1. Abra a seguinte página e copie a política: Política de função para avaliação de vulnerabilidades na AWS e detecção de ameaças em VMs.
      2. No Editor JSON, cole a política.
      3. Especifique um nome para a política.
      4. Salve a política.
    5. Abra a guia Relações de confiança.
    6. Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instruções existente:

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "Statement1 or replace with a unique statementId",
            "Effect": "Allow",
            "Principal": {
              "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      
    7. Salve a função.

    Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

    Confirmar se o Security Command Center está conectado à AWS

    A detecção de ameaças em VMs exige acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando você cria um conector da AWS.

    Se uma conexão ainda não estiver estabelecida, será necessário configurar uma ao ativar a detecção de ameaças em VMs para a AWS.

    Para configurar uma conexão, crie um conector da AWS.

    Ativar a VM Threat Detection para AWS no Security Command Center

    A VM Threat Detection para AWS precisa ser ativada em Google Cloud no nível da organização.

    Console

    1. No console Google Cloud , acesse a página Ativação do serviço de detecção de ameaças a máquinas virtuais.

      Acessar "Ativação de serviços"

    2. Selecione a organização.

    3. Clique na guia Amazon Web Services.

    4. Na seção Ativação de serviços, no campo Status, selecione Ativar.

    5. Na seção Conector da AWS, verifique se o status mostra Conector da AWS adicionado.

      Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar à AWS para coleta de dados de configuração e recursos antes de passar para a próxima etapa.

    gcloud

    O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • ORGANIZATION_ID: o identificador numérico da organização
    • NEW_STATE: ENABLED para ativar a VM Threat Detection no AWS; DISABLED para desativar a VM Threat Detection no AWS

    Execute o comando gcloud scc manage services update:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
        --organization=ORGANIZATION_ID \
        --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
        --organization=ORGANIZATION_ID `
        --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
        --organization=ORGANIZATION_ID ^
        --enablement-state=NEW_STATE

    Você receberá uma resposta semelhante a esta:

    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
    modules:
      MALWARE_DISK_SCAN_YARA_AWS:
        effectiveEnablementState: ENABLED
        intendedEnablementState: ENABLED
    name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
    updateTime: '2025-03-21T18:45:52.033110465Z'
    

    REST

    O método organizations.locations.securityCenterServices.patch da API Management do Security Command Center atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
    • ORGANIZATION_ID: o identificador numérico da organização
    • NEW_STATE: ENABLED para ativar a VM Threat Detection no AWS; DISABLED para desativar a VM Threat Detection no AWS

    Método HTTP e URL:

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Corpo JSON da solicitação:

    {
      "intendedEnablementState": "NEW_STATE"
    }
    

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
      "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED",
      "modules": {
        "MALWARE_DISK_SCAN_YARA_AWS": {
          "intendedEnablementState": "ENABLED",
          "effectiveEnablementState": "ENABLED"
        }
      },
      "updateTime": "2025-03-21T18:45:52.033110465Z"
    }
    

    Se você já ativou o serviço de avaliação de vulnerabilidades da AWS e implantou o modelo do CloudFormation como parte desse recurso, a configuração da detecção de ameaças a máquinas virtuais da AWS está concluída.

    Caso contrário, aguarde seis horas e faça a próxima tarefa: baixe o modelo do CloudFormation.

    Baixar o modelo do CloudFormation

    Faça isso pelo menos seis horas depois de ativar a VM Threat Detection para AWS.

    1. No console Google Cloud , acesse a página Ativação do serviço de detecção de ameaças a máquinas virtuais.

      Acessar "Ativação de serviços"

    2. Selecione a organização.

    3. Clique na guia Amazon Web Services.

    4. Na seção Implantar modelo do CloudFormation, clique em Fazer download do modelo do CloudFormation. Um modelo JSON é baixado na sua estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar.

    Implante o modelo do AWS CloudFormation

    Siga estas etapas pelo menos seis horas depois de criar um conector da AWS.

    Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.

    1. Acesse a página Modelo do AWS CloudFormation no AWS Management Console.
    2. Clique em Stacks > Com novos recursos (padrão).
    3. Na página Criar pilha, selecione Escolher um modelo atual e Fazer upload de um arquivo de modelo para enviar o modelo do CloudFormation.
    4. Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
    5. Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
    6. Em Permissões, selecione a função da AWS que você criou antes.
    7. Se solicitado, marque a caixa de confirmação.
    8. Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

    O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte a seção Solução de problemas.

    Depois que as verificações começarem a ser executadas, se alguma ameaça for detectada, as descobertas correspondentes serão geradas e exibidas na página "Descobertas" do Security Command Center no console do Google Cloud . Para mais informações, consulte Analisar descobertas no console doGoogle Cloud .

    Gerenciar módulos

    Esta seção descreve como ativar ou desativar módulos e conferir as configurações deles.

    Ativar ou desativar um módulo

    Depois de ativar ou desativar um módulo, as mudanças podem levar até uma hora para entrar em vigor.

    Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.

    Console

    O console Google Cloud permite ativar ou desativar módulos de detecção de ameaças da VM no nível da organização.

    1. No console Google Cloud , acesse a página Módulos.

      Acesse Módulos

    2. Selecione a organização.

    3. Na guia Módulos, na coluna Status, selecione o status atual do módulo que você quer ativar ou desativar e escolha uma das seguintes opções:

      • Ativar: ative o módulo.
      • Desativar: desativa o módulo.

    gcloud

    O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • ORGANIZATION_ID: o identificador numérico da organização
    • MODULE_NAME: o nome do módulo que você quer ativar ou desativar, por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Descobertas de ameaças que oferecem suporte à AWS.
    • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

    Salve o conteúdo a seguir em um arquivo chamado request.json:

    {
      "MODULE_NAME": {
        "intendedEnablementState": "NEW_STATE"
      }
    }

    Execute o comando gcloud scc manage services update:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
        --organization=ORGANIZATION_ID \
        --enablement-state=ENABLED \  
        --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
        --organization=ORGANIZATION_ID `
        --enablement-state=ENABLED \  
        --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
        --organization=ORGANIZATION_ID ^
        --enablement-state=ENABLED \  
        --module-config-file=request.json

    Você receberá uma resposta semelhante a esta:

    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
    modules:
      MALWARE_DISK_SCAN_YARA_AWS:
        effectiveEnablementState: ENABLED
        intendedEnablementState: ENABLED
    name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
    updateTime: '2025-03-21T18:45:52.033110465Z'
    

    REST

    O método organizations.locations.securityCenterServices.patch da API Management do Security Command Center atualiza o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
    • ORGANIZATION_ID: o identificador numérico da organização
    • MODULE_NAME: o nome do módulo que você quer ativar ou desativar, por exemplo, MALWARE_DISK_SCAN_YARA_AWS. Os valores válidos incluem apenas os módulos em Descobertas de ameaças que oferecem suporte à AWS.
    • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo

    Método HTTP e URL:

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Corpo JSON da solicitação:

    {
      "modules": {
        "MODULE_NAME": {
          "intendedEnablementState": "NEW_STATE"
        }
      }
    }
    

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
      "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED",
      "modules": {
        "MALWARE_DISK_SCAN_YARA_AWS": {
          "intendedEnablementState": "ENABLED",
          "effectiveEnablementState": "ENABLED"
        }
      },
      "updateTime": "2025-03-21T18:45:52.033110465Z"
    }
    

    Ver as configurações dos módulos da VM Threat Detection para AWS

    Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.

    Console

    O console Google Cloud permite visualizar as configurações dos módulos de detecção de ameaças de VM no nível da organização.

    1. No console Google Cloud , acesse a página Módulos.

      Acesse Módulos

    2. Selecione a organização.

    gcloud

    O comando gcloud scc manage services describe recebe o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • ORGANIZATION_ID: o identificador numérico da organização a ser recebida

    Execute o comando gcloud scc manage services describe:

    Linux, macOS ou Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
        --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
        --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
        --organization=ORGANIZATION_ID

    Você receberá uma resposta semelhante a esta:

    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
    modules:
      MALWARE_DISK_SCAN_YARA_AWS:
        effectiveEnablementState: ENABLED
        intendedEnablementState: ENABLED
    name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
    updateTime: '2025-03-21T18:45:52.033110465Z'
    

    REST

    O método organizations.locations.securityCenterServices.get da API Security Command Center Management recebe o estado de um serviço ou módulo do Security Command Center.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
    • ORGANIZATION_ID: o identificador numérico da organização a ser recebida

    Método HTTP e URL:

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
      "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED",
      "modules": {
        "MALWARE_DISK_SCAN_YARA_AWS": {
          "intendedEnablementState": "ENABLED",
          "effectiveEnablementState": "ENABLED"
        }
      },
      "updateTime": "2025-03-21T18:45:52.033110465Z"
    }
    

    Solução de problemas

    Se você ativou o serviço VM Threat Detection, mas as verificações não estão sendo executadas, confira o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser CREATION_COMPLETE.

    A seguir