Depois de conectar o Security Command Center ao Amazon Web Services (AWS) por vulnerabilidades é possível modificar o seguinte:
Antes de começar
Conclua essas tarefas antes de concluir as tarefas restantes nesta página.
Configurar permissões
Para ter as permissões necessárias para usar o conector da AWS,
peça ao administrador para conceder a você
Papel do IAM de proprietário de recursos do Cloud (roles/cloudasset.owner).
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar contas da AWS
Verifique se você criou os seguintes recursos da AWS:
- Um usuário do IAM da AWS com acesso ao IAM da AWS para os consoles da conta delegada e do coletor.
O ID da conta da AWS para uma conta da AWS que você pode usar como a conta delegada. Se você quiser que o Security Command Center descubra automaticamente contas da AWS para encontrar recursos, a conta delegada precisa ser anexada a uma organização da AWS e ser uma das seguintes:
Uma conta da AWS com uma política de delegação baseada em recursos que fornece permissões
organizationelist. Para conferir um exemplo de política, consulte Exemplo: visualizar organização, unidades organizacionais, contas e políticas.
Modificar a conexão da AWS
Modifique uma conexão da AWS quando a configuração do ambiente da AWS mudar. Por exemplo, você quer monitorar diferentes regiões da AWS ou mudar a lista de contas da AWS que o Security Command Center usa. Não é possível modificar os nomes da função delegada e do coletor. Se você precisar alterar os nomes dessas funções, exclua o conector da AWS e configure uma nova conexão.
No console do Google Cloud, acesse a página do Security Command Center.
Selecione a organização em que você ativou o Security Command Center Enterprise.
Clique em Configurações .
Clique na guia Conectores.
Clique em Editar ao lado da conexão que você quer atualizar.
Na página Editar conector do Amazon Web Services, faça as mudanças. A tabela a seguir descreve as opções.
Opção Descrição Adicionar contas de conector da AWS Selecione o campo Adicionar contas automaticamente (recomendado) para permitir que o Security Command Center descubra as contas da AWS automaticamente ou selecione Adicionar contas individualmente e forneça uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos. Excluir contas de conector da AWS Se você selecionou o campo Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não pode usar para encontrar recursos. Selecionar regiões para coletar dados Selecione uma ou mais regiões da AWS para que o Security Command Center colete dados. Deixe o O campo AWS regions está vazio para coletar dados de todas as regiões. Consultas máximas por segundo (QPS) para serviços da AWS É possível mudar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição para um valor menor que o padrão do serviço e maior ou igual a 1. O valor padrão é o máximo. Se você alterar o QPS, o Security Command Center poderá encontrar problemas para buscar dados. Portanto, não recomendamos mudar esse valor.Endpoint do AWS Security Token Service É possível especificar um endpoint específico para o AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo AWS Security Token Service vazio para usar o endpoint global padrão (https://sts.amazonaws.com).Se você mudou o ID da conta delegada ou a lista de contas da AWS para incluir ou excluir, atualize o ambiente da AWS. Se você mudar o ID da conta delegada, vai precisar configurar a configuração da AWS novamente. Uma mudança na lista de contas da AWS exige que você adicione ou remova funções de coletor. Remover contas da AWS da lista de exclusão para incluí-las, requer que você adicione papéis de coletor a essas contas. Preencha os campos:
Clique em Continuar.
Na página Criar conexão com a AWS, faça o seguinte:
Faça o download dos modelos do CloudFormation para a função delegada e a função do coletor. Para instruções sobre como usar os modelos, consulte Usar Modelos do CloudFormation para configurar a AWS de código aberto.
Se você quiser mudar a configuração da AWS manualmente, selecione Usar o console da AWS. Copie o ID do agente de serviço, o nome do papel delegado e o nome do papel do coletor. Para instruções sobre como atualizar a AWS manualmente, consulte Configure contas da AWS manualmente.
Se você adicionou uma conta da AWS à lista de contas da AWS a serem excluídas, nós remova da conta essa função.
Clique em Testar conector para verificar se o Security Command Center pode se conectar ao seu ambiente da AWS. Se a conexão for bem-sucedida, o agente de serviço do Google Cloud poderá assumir o papel delegado, e o papel delegado terá todas as permissões necessárias para assumir o papel de coletor. Se a conexão não funcionar, consulte Solução de problemas ao testar a conexão.
Clique em Salvar.
Modificar uma verificação da avaliação de vulnerabilidades da AWS
A seção a seguir descreve como modificar a configuração de um Avaliação de vulnerabilidades para verificação da AWS.
Verifique se você tem as permissões e os papéis definidos Ative e use a avaliação de vulnerabilidades para a AWS.
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa modificar a avaliação de vulnerabilidades da AWS. A guia Serviços da página Configurações é aberta.
Selecione Settings.
No card de serviço Vulnerability Assessment, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.
Selecione a guia Amazon Web Services.
Na seção Configurações de verificação para computação e armazenamento da AWS, clique em Edite as configurações de verificação para modificar o escopo dos recursos que são verificados.
É possível definir no máximo 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se o valor de uma tag ou de um ID de instância não estiver correto (por exemplo, se o valor estiver com erro de ortografia) e o recurso especificado não existir, o valor será ignorado durante a verificação.Opção Descrição Intervalo de verificação Defina o número de horas entre cada verificação. Insira um valor entre 6 e 24. O valor padrão é 6. O valor máximo é 24. Verificações mais frequentes podem aumentar o uso de recursos e, possivelmente, o faturamento. Regiões da AWS Escolha um subconjunto de regiões para incluir na verificação de avaliação de vulnerabilidades. Somente instâncias
das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para incluir na verificação.
Se você configurou regiões específicas no conector do Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são iguais ou um subconjunto das definidas quando você configurou a conexão com a AWS.Tags da AWS Especifique tags que identifiquem o subconjunto de instâncias verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Marcar seus recursos do Amazon EC2 e Adicionar e remover tags de recursos do Amazon EC2. Excluir por ID da instância Exclua instâncias do EC2 de cada verificação especificando a ID da instância do EC2. É possível especificar até 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador AND.
-
Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em
Adicione a instância do AWS EC2 e insira o valor.
- Se você selecionar Copiar e colar uma lista de IDs de instâncias a serem excluídas no formato JSON,
siga um destes procedimentos:
- Insira uma matriz de IDs de instância. Por exemplo:
[ "instance-id-1", "instance-id-2" ] - Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de
IDs de instância, por exemplo:
[ "instance-id-1", "instance-id-2" ]
- Insira uma matriz de IDs de instância. Por exemplo:
Verificar instância SC1 Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias do SC1 são excluídas por padrão.
Saiba mais sobre instâncias SC1.Verificar instância ST1 Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão.
Saiba mais sobre instâncias ST1.-
Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em
Adicione a instância do AWS EC2 e insira o valor.
Clique em Salvar.
Desativar a avaliação de vulnerabilidades para verificação da AWS
Para desativar a avaliação de vulnerabilidades para o serviço da AWS, você precisa desativá-la no Security Command Center e excluir a pilha que contém o modelo do CloudFormation na AWS. Se a pilha não for excluída, ela continuam gerando custos na AWS.
Siga estas etapas para desativar a avaliação de vulnerabilidades da AWS:
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa desativar a avaliação de vulnerabilidades da AWS. A guia Serviços da página Configurações é aberta.
No card de serviço Vulnerability Assessment, clique em Gerenciar configurações.
Selecione a guia Amazon Web Services.
No campo Status, em Ativação do serviço, selecione Desativar.
Acesse a página AWS CloudFormation Template no AWS Management Console.
Exclua a pilha que contém o modelo CloudFormation para Vulnerability Assessment for AWS.
Se você não excluir o modelo, poderá ter custos desnecessários.
A seguir
- Para informações sobre solução de problemas, consulte Conectar o Security Command Center à AWS.