Nesta página, descrevemos como configurar e usar a Detecção de ameaças em máquinas virtuais para verificar a presença de malware nos discos permanentes das VMs do Amazon Elastic Compute Cloud (EC2).
Para ativar o Event Threat Detection para VMs na AWS, crie uma função do IAM da AWS na plataforma da AWS, ative o Event Threat Detection para VMs na AWS no Security Command Center e implante um modelo do CloudFormation na AWS.
Antes de começar
Para ativar a VM Threat Detection para uso com a AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.
Papéis e permissões
Para concluir a configuração da Detecção de ameaças em VMs para AWS, é necessário ter papéis com as permissões necessárias no Google Cloud e na AWS.
Google Cloud funções
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Acessar o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
-
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Salvar.
- Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no AWS Management Console.
- No menu Serviço ou caso de uso, selecione lambda.
- Adicione as seguintes políticas de permissão:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
- Clique em Adicionar permissão > Criar política inline para criar uma nova
política de permissão:
- Abra a seguinte página e copie a política: Política de função para avaliação de vulnerabilidades na AWS e detecção de ameaças em VMs.
- No Editor JSON, cole a política.
- Especifique um nome para a política.
- Salve a política.
- Abra a guia Relações de confiança.
Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instruções existente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Salve a função.
No console Google Cloud , acesse a página Ativação do serviço de detecção de ameaças a máquinas virtuais.
Selecione a organização.
Clique na guia Amazon Web Services.
Na seção Ativação de serviços, no campo Status, selecione Ativar.
Na seção Conector da AWS, verifique se o status mostra Conector da AWS adicionado.
Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar à AWS para coleta de dados de configuração e recursos antes de passar para a próxima etapa.
-
ORGANIZATION_ID
: o identificador numérico da organização -
NEW_STATE
:ENABLED
para ativar a VM Threat Detection no AWS;DISABLED
para desativar a VM Threat Detection no AWS -
QUOTA_PROJECT
: o ID do projeto a ser usado para faturamento e acompanhamento de cota -
ORGANIZATION_ID
: o identificador numérico da organização -
NEW_STATE
:ENABLED
para ativar a VM Threat Detection no AWS;DISABLED
para desativar a VM Threat Detection no AWS No console Google Cloud , acesse a página Ativação do serviço de detecção de ameaças a máquinas virtuais.
Selecione a organização.
Clique na guia Amazon Web Services.
Na seção Implantar modelo do CloudFormation, clique em Fazer download do modelo do CloudFormation. Um modelo JSON é baixado na sua estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar.
- Acesse a página Modelo do AWS CloudFormation no AWS Management Console.
- Clique em Stacks > Com novos recursos (padrão).
- Na página Criar pilha, selecione Escolher um modelo atual e Fazer upload de um arquivo de modelo para enviar o modelo do CloudFormation.
- Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
- Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
- Em Permissões, selecione a função da AWS que você criou antes.
- Se solicitado, marque a caixa de confirmação.
- Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.
No console Google Cloud , acesse a página Módulos.
Selecione a organização.
Na guia Módulos, na coluna Status, selecione o status atual do módulo que você quer ativar ou desativar e escolha uma das seguintes opções:
- Ativar: ative o módulo.
- Desativar: desativa o módulo.
-
ORGANIZATION_ID
: o identificador numérico da organização -
MODULE_NAME
: o nome do módulo que você quer ativar ou desativar, por exemplo,MALWARE_DISK_SCAN_YARA_AWS
. Os valores válidos incluem apenas os módulos em Descobertas de ameaças que oferecem suporte à AWS. -
NEW_STATE
:ENABLED
para ativar o módulo;DISABLED
para desativar o módulo -
QUOTA_PROJECT
: o ID do projeto a ser usado para faturamento e acompanhamento de cota -
ORGANIZATION_ID
: o identificador numérico da organização -
MODULE_NAME
: o nome do módulo que você quer ativar ou desativar, por exemplo,MALWARE_DISK_SCAN_YARA_AWS
. Os valores válidos incluem apenas os módulos em Descobertas de ameaças que oferecem suporte à AWS. -
NEW_STATE
:ENABLED
para ativar o módulo;DISABLED
para desativar o módulo No console Google Cloud , acesse a página Módulos.
Selecione a organização.
-
ORGANIZATION_ID
: o identificador numérico da organização a ser recebida -
QUOTA_PROJECT
: o ID do projeto a ser usado para faturamento e acompanhamento de cota -
ORGANIZATION_ID
: o identificador numérico da organização a ser recebida - Verifique se o conector da AWS está configurado corretamente.
- Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser
CREATION_COMPLETE
. - Saiba como usar a VM Threat Detection.
- Saiba como investigar as descobertas da VM Threat Detection.
Funções da AWS
Na AWS, um usuário administrativo precisa criar a conta necessária para ativar as verificações.
Para criar uma função para a detecção de ameaças da VM na AWS, siga estas etapas:
Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.
Confirmar se o Security Command Center está conectado à AWS
A detecção de ameaças em VMs exige acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando você cria um conector da AWS.
Se uma conexão ainda não estiver estabelecida, será necessário configurar uma ao ativar a detecção de ameaças em VMs para a AWS.
Para configurar uma conexão, crie um conector da AWS.
Ativar a VM Threat Detection para AWS no Security Command Center
A VM Threat Detection para AWS precisa ser ativada em Google Cloud no nível da organização.
Console
gcloud
O comando
gcloud scc manage services update
atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados do comando abaixo, faça estas substituições:
Execute o comando
gcloud scc manage services update
:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection-aws \ --organization=ORGANIZATION_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection-aws ` --organization=ORGANIZATION_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection-aws ^ --organization=ORGANIZATION_ID ^ --enablement-state=NEW_STATE
Você receberá uma resposta semelhante a esta:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
O método
organizations.locations.securityCenterServices.patch
da API Management do Security Command Center atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
Método HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState
Corpo JSON da solicitação:
{ "intendedEnablementState": "NEW_STATE" }
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Se você já ativou o serviço de avaliação de vulnerabilidades da AWS e implantou o modelo do CloudFormation como parte desse recurso, a configuração da detecção de ameaças a máquinas virtuais da AWS está concluída.
Caso contrário, aguarde seis horas e faça a próxima tarefa: baixe o modelo do CloudFormation.
Baixar o modelo do CloudFormation
Faça isso pelo menos seis horas depois de ativar a VM Threat Detection para AWS.
Implante o modelo do AWS CloudFormation
Siga estas etapas pelo menos seis horas depois de criar um conector da AWS.
Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.
O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte a seção Solução de problemas.
Depois que as verificações começarem a ser executadas, se alguma ameaça for detectada, as descobertas correspondentes serão geradas e exibidas na página "Descobertas" do Security Command Center no console do Google Cloud . Para mais informações, consulte Analisar descobertas no console doGoogle Cloud .
Gerenciar módulos
Esta seção descreve como ativar ou desativar módulos e conferir as configurações deles.
Ativar ou desativar um módulo
Depois de ativar ou desativar um módulo, as mudanças podem levar até uma hora para entrar em vigor.
Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.
Console
O console Google Cloud permite ativar ou desativar módulos de detecção de ameaças da VM no nível da organização.
gcloud
O comando
gcloud scc manage services update
atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados do comando abaixo, faça estas substituições:
Salve o conteúdo a seguir em um arquivo chamado request.json
:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Execute o comando
gcloud scc manage services update
:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection-aws \ --organization=ORGANIZATION_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection-aws ` --organization=ORGANIZATION_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection-aws ^ --organization=ORGANIZATION_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Você receberá uma resposta semelhante a esta:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
O método
organizations.locations.securityCenterServices.patch
da API Management do Security Command Center atualiza o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
Método HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules
Corpo JSON da solicitação:
{ "modules": { "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } } }
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Ver as configurações dos módulos da VM Threat Detection para AWS
Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte Descobertas de ameaças.
Console
O console Google Cloud permite visualizar as configurações dos módulos de detecção de ameaças de VM no nível da organização.
gcloud
O comando
gcloud scc manage services describe
recebe o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados do comando abaixo, faça estas substituições:
Execute o comando
gcloud scc manage services describe
:
Linux, macOS ou Cloud Shell
gcloud scc manage services describe vm-threat-detection-aws \ --organization=ORGANIZATION_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection-aws ` --organization=ORGANIZATION_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection-aws ^ --organization=ORGANIZATION_ID
Você receberá uma resposta semelhante a esta:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: MALWARE_DISK_SCAN_YARA_AWS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws updateTime: '2025-03-21T18:45:52.033110465Z'
REST
O método
organizations.locations.securityCenterServices.get
da API Security Command Center Management recebe o estado de um serviço ou módulo do Security Command Center.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
Método HTTP e URL:
GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "MALWARE_DISK_SCAN_YARA_AWS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-21T18:45:52.033110465Z" }
Solução de problemas
Se você ativou o serviço VM Threat Detection, mas as verificações não estão sendo executadas, confira o seguinte: