Habilita y usa la Evaluación de vulnerabilidades para AWS

En esta página, se describe cómo configurar y usar el servicio de evaluación de vulnerabilidades de Amazon Web Services (AWS).

Para habilitar la Evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilita la Evaluación de vulnerabilidades para el servicio de AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar la Evaluación de vulnerabilidades para el servicio de AWS, necesitas ciertos Los permisos de IAM y Security Command Center deben conectarse desde AWS.

Funciones y permisos

Para completar la configuración del servicio de Evaluación de vulnerabilidades para AWS, sigue estos pasos: necesitas que se te otorguen roles con los permisos necesarios Google Cloud y AWS.

Roles de Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Funciones de AWS

    En AWS, un usuario administrador de AWS debe crear la cuenta de AWS que necesario para habilitar los análisis.

    Para crear un rol de evaluación de vulnerabilidades en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativo de AWS, ve a la Página Roles de IAM en la consola de administración de AWS.
    2. Selecciona lambda en el menú Service or Use Case.

    3. Agrega las siguientes políticas de permisos:

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole

    4. Haz clic en Agregar permiso > Crear. Política intercalada para crear una nueva política de permisos:

      1. Abre la siguiente página y copia la política: Política de rol para la Evaluación de vulnerabilidades para AWS.
      2. En el Editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.

    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y agrégalo a cualquier existente array de instrucciones:

      {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

    7. Guarda el rol.

    Deberás asignar este rol más adelante cuando instales la plantilla CloudFormation en AWS.

    Recopila información sobre los recursos de AWS que se analizarán

    Durante los pasos para habilitar la Evaluación de vulnerabilidades para AWS, puedes personalizar la configuración para analizar regiones específicas de AWS, etiquetas específicas que identifican los recursos de AWS y volúmenes de unidades de disco duro (HDD) (SC1 y ST1) específicos.

    Es útil tener esta información disponible antes de configurar la Evaluación de vulnerabilidades para AWS.

    Confirma que Security Command Center esté conectado a AWS

    La evaluación de vulnerabilidades para el servicio de AWS requiere acceso al inventario de recursos de AWS que Cloud Asset Inventory mantiene cuando Security Command Center está conectado a AWS para la detección de vulnerabilidades.

    Si aún no se estableció una conexión, debes configurarla cuando habilitas la Evaluación de vulnerabilidades para el servicio de AWS.

    Para configurar una conexión, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.

    Habilita la evaluación de vulnerabilidades para AWS en Security Command Center

    La evaluación de vulnerabilidades para AWS debe habilitarse en Google Cloud en la a nivel de la organización.

    1. Ve a la página Configuración en Security Command Center:

      Ir a la configuración

    2. Selecciona la organización en la que necesitas habilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.

    3. En la tarjeta de servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.

    4. Selecciona la pestaña Amazon Web Services.

    5. En el campo Estado en Habilitación de servicios, selecciona Habilitar.

    6. En Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS. Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Conéctate a AWS para la detección de vulnerabilidades y la evaluación de riesgos antes de continuar con el siguiente paso.

    7. Configura los parámetros de configuración de análisis para el procesamiento y el almacenamiento de AWS. Para cambiar el configuración predeterminada, haz clic en Edit scan settings. Para obtener información sobre cada opción, consulta Personaliza la configuración de análisis para el procesamiento y almacenamiento de AWS.

    8. En Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar en busca de vulnerabilidades.

    Personaliza la configuración de análisis para el procesamiento y almacenamiento de AWS

    En esta sección, se describen las opciones disponibles para personalizar el análisis de los recursos de AWS. Estas opciones personalizadas se encuentran en Scan settings for AWS compute and storage cuando edites una Evaluación de vulnerabilidades para el análisis de AWS.

    Puedes definir un máximo de 50 IDs de instancia de Amazon EC2 y etiquetas de AWS. Los cambios en la configuración de análisis no afectan a la plantilla de AWS CloudFormation. No es necesario que vuelvas a implementar la plantilla. Si el valor de una etiqueta o un ID de instancia no es correcto (por ejemplo, el valor está mal escrito) y el recurso especificado no existe, se ignora el valor durante el análisis.
    Opción Descripción
    Intervalo de análisis Define la cantidad de horas entre cada análisis. Ingresa un valor entre 6 y 24. El valor predeterminado es 6. El valor máximo es 24. Los análisis más frecuentes pueden causar un aumento en el uso de recursos y, posiblemente, un aumento. en cargos de facturación.
    Regiones de AWS Elige un subconjunto de regiones para incluirlo en el análisis de evaluación de vulnerabilidades. Solo las instancias
    de las regiones seleccionadas. Selecciona uno o más Regiones de AWS para que se incluyan en el análisis.
    Si configuraste regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas son los mismos, o un subconjunto de, aquellos definidos cuando configuraste la conexión a AWS.
    Etiquetas de AWS Especifica etiquetas que identifiquen el subconjunto de instancias que se analizan. Solo las instancias con estas las etiquetas se escanean. Ingresa el par clave-valor para cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta Etiqueta tus recursos de Amazon EC2 y Agrega y quita etiquetas para los recursos de Amazon EC2.
    Excluir según el ID de instancia Para excluir las instancias de EC2 de cada análisis, especifica el ID de instancia de EC2. Puedes especificar un máximo de 50 ID de instancia. Si se especifican valores no válidos, se ignorarán. Si defines varios IDs de instancia, se combinan con el operador AND.
    • Si seleccionas Excluir instancia por ID, ingresa cada ID de instancia manualmente. Para ello, haz clic en Agregar instancia de AWS EC2 y, luego, escribe el valor.
    • Si seleccionas Copiar y pegar una lista de IDs de instancia para excluir en formato JSON, realiza una de las siguientes acciones:
      • Ingresa un array de IDs de instancia. Por ejemplo:
        [ "instance-id-1", "instance-id-2" ]
      • Sube un archivo con la lista de IDs de instancia. El contenido del archivo debe ser un array de IDs de instancia, por ejemplo:
        [ "instance-id-1", "instance-id-2" ]
    Analiza la instancia SC1 Selecciona Analizar instancia SC1 para incluir estas instancias. Las instancias de SC1 se excluyen de forma predeterminada.
    Obtén más información sobre las instancias SC1.
    Analiza la instancia ST1 Selecciona Analizar instancia ST1 para incluir estas instancias. Las instancias de ST1 se excluyen de forma predeterminada.
    Obtén más información sobre las instancias ST1.

    Implementa la plantilla de AWS CloudFormation

    1. Ve a la plantilla de AWS CloudFormation. en la Consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla existente. y Sube un archivo de plantilla para subir la plantilla CloudFormation.
    4. Una vez completada la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar los detalles de la pila. Se abrirá la página Configure stack options.
    6. En Permisos, selecciona el IAM Vulnerability Assessment Role. que creaste anteriormente.
    7. Haz clic en Siguiente.
    8. Marca la casilla de confirmación.
    9. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos. para comenzar a correr.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

    Después de que se inicien los análisis, si se detectan vulnerabilidades, se generarán los resultados correspondientes y se mostrarán en la página Resultados de Security Command Center en la consola de Google Cloud.

    Revisa los resultados en la consola

    Puedes ver la Evaluación de vulnerabilidades para los resultados de AWS en la consola de Google Cloud. El rol de IAM mínimo que se requiere para ver los resultados es Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).

    Si deseas revisar la Evaluación de vulnerabilidades para los hallazgos de AWS en la consola de Google Cloud, sigue estos pasos: pasos:

    Consola de Google Cloud

    1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

      Ir a hallazgos

    2. Selecciona tu organización o proyecto de Google Cloud.
    3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades de EC2. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
    4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
    5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
    6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

    Consola de operaciones de seguridad (versión preliminar)

    1. En la consola de operaciones de seguridad, ve a la página Hallazgos. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    2. En la sección Agregaciones, haz clic para expandir el Nombre visible de la fuente. subsección.
    3. Selecciona EC2 Vulnerability Assessment. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
    4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
    5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
    6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

    Soluciona problemas

    Si habilitaste el servicio de Evaluación de vulnerabilidades para AWS, pero no se ejecutan los análisis, verifica lo siguiente:

    • Verifica que el conector de AWS esté configurado de forma correcta.
    • Confirma que la pila de plantillas de CloudFormation se haya implementado por completo. Es el estado de la cuenta de AWS debe ser CREATION_COMPLETE.