Modificar ou desativar as configurações da AWS para vulnerabilidades

Depois de conectar o Security Command Center ao Amazon Web Services (AWS) para gerenciamento de vulnerabilidades, você pode modificar o seguinte:

Antes de começar

Conclua estas tarefas antes de concluir as demais tarefas desta página.

Configurar permissões

Para receber as permissões necessárias para usar o conector da AWS, peça ao administrador para conceder a você o papel do IAM de Proprietário de recursos do Cloud (roles/cloudasset.owner). Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar contas da AWS

Verifique se você criou os seguintes recursos da AWS:

Modificar a conexão da AWS

Modifique uma conexão da AWS quando a configuração do ambiente da AWS mudar. Por exemplo, você quer monitorar diferentes regiões da AWS ou mudar a lista de contas da AWS que o Security Command Center usa. Não é possível modificar os nomes da função delegada e do coletor. Se você precisar mudar esses nomes de função, exclua o conector da AWS e configure uma nova conexão.

  1. No console do Google Cloud, acesse a página do Security Command Center.

    Acesse Security Command Center

  2. Selecione a organização em que você ativou o Security Command Center Enterprise.

  3. Clique em Configurações .

  4. Clique na guia Conectores.

  5. Clique em Editar ao lado da conexão que você quer atualizar.

  6. Na página Editar conector do Amazon Web Services, faça as mudanças. A tabela a seguir descreve as opções.

    Opção Descrição
    Adicionar contas de conector da AWS Selecione o campo Adicionar contas automaticamente (recomendado) para permitir que o Security Command Center descubra as contas da AWS automaticamente ou selecione Adicionar contas individualmente e forneça uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos.
    Excluir contas do conector AWS Se você selecionou o campo Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não pode usar para encontrar recursos.
    Selecionar regiões para coletar dados Selecione uma ou mais regiões da AWS para que o Security Command Center colete dados. Deixe o campo Regiões da AWS vazio para coletar dados de todas as regiões.
    Consultas máximas por segundo (QPS) para serviços da AWS É possível mudar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição para um valor menor que o padrão do serviço e maior ou igual a 1. O valor padrão é o valor máximo. Se você mudar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos mudar esse valor.
    Endpoint do AWS Security Token Service É possível especificar um endpoint específico para o AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo AWS Security Token Service vazio para usar o endpoint global padrão (https://sts.amazonaws.com).

  7. Se você mudou o ID da conta delegada ou a lista de contas da AWS para incluir ou excluir, atualize seu ambiente da AWS. Se você mudar o ID da conta delegada, vai precisar configurar a configuração da AWS novamente. Uma mudança na lista de contas da AWS exige que você adicione ou remova funções de coletor. Se você quiser remover as contas da AWS da lista de exclusão para incluí-las, será necessário adicionar as funções de coletor a essas contas. Preencha os campos:

    1. Clique em Continuar.

    2. Na página Criar conexão com a AWS, faça o seguinte:

      • Faça o download dos modelos do CloudFormation para a função delegada e a função do coletor. Para instruções sobre como usar os modelos, consulte Usar modelos do CloudFormation para configurar seu ambiente AWS.

      • Se você quiser mudar a configuração da AWS manualmente, selecione Usar o console da AWS. Copie o ID do agente de serviço, o nome do papel delegado e o nome do papel do coletor. Para instruções sobre como atualizar a AWS manualmente, consulte Configurar contas da AWS manualmente.

  8. Se você adicionou uma conta da AWS à lista de contas da AWS a serem excluídas, recomendamos que você remova o papel de coletor da conta.

  9. Clique em Testar conector para verificar se o Security Command Center pode se conectar ao seu ambiente da AWS. Se a conexão for bem-sucedida, o agente de serviço Google Cloud poderá assumir o papel delegado, e o papel delegado terá todas as permissões necessárias para assumir o papel de coletor. Se a conexão não funcionar, consulte Solução de problemas ao testar a conexão.

  10. Clique em Salvar.

Modificar uma verificação da avaliação de vulnerabilidades da AWS

A seção a seguir descreve como modificar a configuração de uma avaliação de vulnerabilidade para a verificação da AWS.

  1. Verifique se você tem as permissões e funções definidas em Ativar e usar a avaliação de vulnerabilidades para a AWS.

  2. Acesse a página Configurações no Security Command Center:

    Acesse configurações

  3. Selecione a organização em que você precisa modificar a avaliação de vulnerabilidades da AWS. A guia Serviços da página Configurações é aberta.

  4. Selecione Configurações.

  5. No card de serviço Vulnerability Assessment, clique em Gerenciar configurações. A página Avaliação de vulnerabilidade é aberta.

  6. Selecione a guia Amazon Web Services.

  7. Na seção Configurações de verificação de computação e armazenamento da AWS, clique em Editar configurações de verificação para modificar o escopo dos recursos verificados.

    É possível definir no máximo 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se o valor de uma tag ou de um ID de instância não estiver correto (por exemplo, se o valor estiver com erro de ortografia) e o recurso especificado não existir, o valor será ignorado durante a verificação.
    Opção Descrição
    Intervalo de verificação Insira o número de horas entre cada verificação. Os valores válidos variam de 6 a 24. O valor padrão é 6. Verificações mais frequentes podem aumentar o uso de recursos e, possivelmente, o faturamento.
    Regiões da AWS

    Escolha um subconjunto de regiões para incluir na verificação de vulnerabilidades.

    Somente instâncias das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para serem incluídas na verificação.

    Se você configurou regiões específicas no conector da Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são as mesmas ou um subconjunto das definidas quando você configurou a conexão com a AWS.

    Tags da AWS Especifique tags que identifiquem o subconjunto de instâncias que serão verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Adicionar tags aos seus recursos do Amazon EC2 e Adicionar e remover tags dos recursos do Amazon EC2.
    Excluir por ID da instância

    Excluir instâncias do EC2 de cada verificação especificando o ID da instância do EC2. É possível especificar até 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador AND.

    • Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e digitando o valor.

    • Se você selecionar Copiar e colar uma lista de IDs de instância para excluir no formato JSON, faça uma das seguintes ações:

      • Insira uma matriz de IDs de instância. Exemplo:

        [ "instance-id-1", "instance-id-2" ]

      • Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo: 

        [ "instance-id-1", "instance-id-2" ]
    Verificar instância SC1 Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias SC1 são excluídas por padrão. Saiba mais sobre as instâncias SC1.
    Verificar instância ST1 Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão. Saiba mais sobre as instâncias ST1.
    Verificar o Elastic Container Registry (ECR) Selecione Scan Elastic Container Registry instance para verificar imagens de contêiner armazenadas no ECR e os pacotes instalados. Saiba mais sobre o Elastic Container Registry.

  8. Clique em Salvar.

Desativar a avaliação de vulnerabilidades para a verificação da AWS

Para desativar a avaliação de vulnerabilidades do serviço da AWS, você precisa desativar esse serviço no Security Command Center e excluir a pilha que contém o modelo do CloudFormation na AWS. Se a pilha não for excluída, ela continuará gerando custos na AWS.

Siga estas etapas para desativar a avaliação de vulnerabilidades da AWS:

  1. Acesse a página Configurações no Security Command Center:

    Acesse configurações

  2. Selecione a organização em que você precisa desativar a avaliação de vulnerabilidades da AWS. A guia Serviços da página Configurações é aberta.

  3. No card de serviço Vulnerability Assessment, clique em Gerenciar configurações.

  4. Selecione a guia Amazon Web Services.

  5. No campo Status, em Ativação do serviço, selecione Desativar.

  6. Acesse a página AWS CloudFormation Template no AWS Management Console.

  7. Exclua a pilha que contém o modelo do CloudFormation para a avaliação de vulnerabilidades da AWS.

    Se você não excluir o modelo, poderá incorrer em custos desnecessários.

A seguir