Attivare il rilevamento delle minacce per le VM per AWS

Questa pagina descrive come configurare e utilizzare Virtual Machine Threat Detection per eseguire la scansione alla ricerca di malware nei dischi permanenti delle VM Amazon Elastic Compute Cloud (EC2).

Per abilitare VM Threat Detection per AWS, devi creare un ruolo IAM AWS sulla piattaforma AWS, abilitare VM Threat Detection per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per abilitare il rilevamento delle minacce per le VM da utilizzare con AWS, devi disporre di determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione di VM Threat Detection per AWS, devi disporre di ruoli con le autorizzazioni necessarie sia in Google Cloud che in AWS.

Google Cloud ruoli

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Ruoli AWS

    In AWS, un utente amministrativo AWS deve creare l'account AWS necessario per attivare le scansioni.

    Per creare un ruolo per VM Threat Detection in AWS, segui questi passaggi:

    1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli di IAM nella Console di gestione AWS.
    2. Nel menu Servizio o caso d'uso, seleziona lambda.
    3. Aggiungi le seguenti norme relative alle autorizzazioni:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Fai clic su Aggiungi autorizzazione > Crea criterio inline per creare un nuovo criterio di autorizzazione:
      1. Apri la pagina seguente e copia il criterio: Role policy for Vulnerability Assessment for AWS and VM Threat Detection.
      2. Nell'editor JSON, incolla la policy.
      3. Specifica un nome per la policy.
      4. Salva la policy.
    5. Apri la scheda Relazioni di trust.

    6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi matrice di istruzioni esistente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Salva il ruolo.

    Assegnerai questo ruolo in un secondo momento, quando installerai il modello CloudFormation su AWS.

    Conferma che Security Command Center sia connesso ad AWS

    VM Threat Detection richiede l'accesso all'inventario delle risorse AWS gestite da Cloud Asset Inventory quando crei un connettore AWS.

    Se non è già stata stabilita una connessione, devi configurarne una quando attivi il rilevamento delle minacce per le VM per AWS.

    Per configurare una connessione, crea un connettore AWS.

    Abilita VM Threat Detection per AWS in Security Command Center

    Virtual Machine Threat Detection per AWS deve essere abilitato su Google Cloud a livello di organizzazione.

    Console

    1. Nella console Google Cloud , vai alla pagina Attivazione del servizio di rilevamento delle minacce per le macchine virtuali.

      Vai ad Abilitazione dei servizi

    2. Seleziona la tua organizzazione.

    3. Fai clic sulla scheda Amazon Web Services.

    4. Nella sezione Attivazione del servizio, nel campo Stato, seleziona Attiva.

    5. Nella sezione Connettore AWS, verifica che lo stato sia Connettore AWS aggiunto.

      Se lo stato indica Nessun connettore AWS aggiunto, fai clic su Aggiungi connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per la raccolta di dati di configurazione e risorse prima di passare al passaggio successivo.

    gcloud

    Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione
    • NEW_STATE: ENABLED per abilitare VM Threat Detection per AWS; DISABLED per disabilitare VM Threat Detection per AWS

    Esegui il comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

    Dovresti ricevere una risposta simile alla seguente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Il metodo organizations.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione
    • NEW_STATE: ENABLED per abilitare VM Threat Detection per AWS; DISABLED per disabilitare VM Threat Detection per AWS

    Metodo HTTP e URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

    Corpo JSON della richiesta: 

    {
  "intendedEnablementState": "NEW_STATE"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Se hai già abilitato il servizio di valutazione delle vulnerabilità per AWS e hai eseguito il deployment del modello CloudFormation nell'ambito di questa funzionalità, hai completato la configurazione di VM Threat Detection per AWS.

    In caso contrario, attendi sei ore e poi esegui l'attività successiva: scarica il modello CloudFormation.

    Scarica il modello CloudFormation

    Esegui questa attività almeno sei ore dopo aver attivato VM Threat Detection per AWS.

    1. Nella console Google Cloud , vai alla pagina Attivazione del servizio di rilevamento delle minacce per le macchine virtuali.

      Vai ad Abilitazione dei servizi

    2. Seleziona la tua organizzazione.

    3. Fai clic sulla scheda Amazon Web Services.

    4. Nella sezione Esegui il deployment del modello CloudFormation, fai clic su Scarica il modello CloudFormation. Un modello JSON viene scaricato sulla tua workstation. Devi eseguire il deployment del modello in ogni account AWS che devi scansionare.

    Esegui il deployment del modello AWS CloudFormation

    Esegui questi passaggi almeno sei ore dopo aver creato un connettore AWS.

    Per informazioni dettagliate su come eseguire il deployment di un modello CloudFormation, vedi Creare uno stack dalla console CloudFormation nella documentazione di AWS.

    1. Vai alla pagina Modello AWS CloudFormation nella console di gestione AWS.
    2. Fai clic su Stack > Con nuove risorse (standard).
    3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
    4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare nessun altro parametro nel modello.
    5. Seleziona Specifica dettagli stack. Si apre la pagina Configura opzioni stack.
    6. Nella sezione Autorizzazioni, seleziona il ruolo AWS che hai creato in precedenza.
    7. Se richiesto, seleziona la casella di conferma.
    8. Fai clic su Invia per eseguire il deployment del modello. L'avvio dello stack richiede alcuni minuti.

    Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non riesce, consulta la sezione Risoluzione dei problemi.

    Una volta avviate le scansioni, se vengono rilevate minacce, vengono generati e visualizzati i risultati corrispondenti nella pagina Risultati di Security Command Center nella console Google Cloud . Per ulteriori informazioni, vedi Esaminare i risultati nella consoleGoogle Cloud .

    Gestisci moduli

    Questa sezione descrive come attivare o disattivare i moduli e visualizzarne le impostazioni.

    Attivare o disattivare un modulo

    Dopo aver attivato o disattivato un modulo, l'applicazione delle modifiche potrebbe richiedere fino a un'ora.

    Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta Risultati delle minacce.

    Console

    La console Google Cloud consente di attivare o disattivare i moduli di VM Threat Detection a livello di organizzazione.

    1. Nella console Google Cloud , vai alla pagina Moduli.

      Vai a Moduli

    2. Seleziona la tua organizzazione.

    3. Nella scheda Moduli, nella colonna Stato, seleziona lo stato attuale del modulo che vuoi attivare o disattivare, quindi seleziona una delle seguenti opzioni:

      • Attiva: attiva il modulo.
      • Disabilita: disabilita il modulo.

    gcloud

    Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione
    • MODULE_NAME: il nome del modulo da attivare o disattivare, ad esempio MALWARE_DISK_SCAN_YARA_AWS. I valori validi includono solo i moduli in Risultati delle minacce che supportano AWS.
    • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo

    Salva i seguenti contenuti in un file denominato request.json: 

    {
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

    Esegui il comando gcloud scc manage services update:

    Linux, macOS o Cloud Shell

    gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (PowerShell)

    gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Windows (cmd.exe)

    gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

    Dovresti ricevere una risposta simile alla seguente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Il metodo organizations.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione
    • MODULE_NAME: il nome del modulo da attivare o disattivare, ad esempio MALWARE_DISK_SCAN_YARA_AWS. I valori validi includono solo i moduli in Risultati delle minacce che supportano AWS.
    • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo

    Metodo HTTP e URL: 

    PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

    Corpo JSON della richiesta: 

    {
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Visualizza le impostazioni dei moduli VM Threat Detection per AWS

    Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta Risultati delle minacce.

    Console

    La console Google Cloud consente di visualizzare le impostazioni per i moduli di rilevamento delle minacce delle VM a livello di organizzazione.

    1. Nella console Google Cloud , vai alla pagina Moduli.

      Vai a Moduli

    2. Seleziona la tua organizzazione.

    gcloud

    Il comando gcloud scc manage services describe recupera lo stato di un servizio o modulo Security Command Center.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione da recuperare

    Esegui il comando gcloud scc manage services describe:

    Linux, macOS o Cloud Shell

    gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

    Windows (PowerShell)

    gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

    Windows (cmd.exe)

    gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

    Dovresti ricevere una risposta simile alla seguente:

    effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

    REST

    Il metodo organizations.locations.securityCenterServices.get dell'API Security Command Center Management recupera lo stato di un servizio o modulo Security Command Center.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
    • ORGANIZATION_ID: l'identificatore numerico dell'organizzazione da recuperare

    Metodo HTTP e URL: 

    GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

    Risoluzione dei problemi

    Se hai attivato il servizio VM Threat Detection, ma le scansioni non vengono eseguite, controlla quanto segue:

    • Controlla che il connettore AWS sia configurato correttamente.
    • Verifica che lo stack del modello CloudFormation sia stato implementato completamente. Il suo stato nell'account AWS deve essere CREATION_COMPLETE.

    Passaggi successivi