So richten Sie automatisch verteidigende Hosts in Prisma Cloud Compute ein
6164
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM
Objective
Das Ziel dieses Artikels ist, wie Sie die automatische Hostverteidigung in AWS EC2 einrichten und an Compute berichten.Prisma Cloud
Environment
- Selbst gehostete Version 21.04 und höher
- AWS Public Cloud-Umgebung
Procedure
Führen Sie die folgenden Schritte aus, um die automatische Hostverteidigung zu implementieren:
- SSH zu der EC2-Instance, die Sie als Auto-Host-Defender hinzufügen möchten, und stellen Sie sicher, dass der SSM Agent ausgeführt wird, um den Status des SSM Agenten zu überprüfen
- Informationen zur Überprüfung des Agentenstatus und zum Starten des SSM Agenten finden Sie im folgenden Dokument, das hier erwähnt wird
- Führen Sie die folgenden Schritte aus, um eine policy in AWS zu erstellen, die der IAM Rolle hinzugefügt werden soll, um EC2-Instances in Ihrem AWS Konto automatisch zu schützen:
- Suche IAM in der Suchleiste
- Wählen Sie auf der linken Seite in der Liste der Zugriffsverwaltungsoptionen die Option Richtlinien aus.
- Wählen Sie Erstellen Policy
- Wählen Sie die Registerkarte und fügen Sie JSON die in Schritt 3a des Abschnitts "Zusätzliche Informationen" gefundene Datei ein, um die JSONPolicy
3. Erstellen Sie dann eine IAM Rolle und fügen Sie sowohl die in Schritt 2 erstellten als auch die policy interne Rolle mit dem Namen AWS policy "AmazonSSMManagedInstanceCore" an.
Hinweis: In unserem Beispiel verwenden wir "ssmtest" als Rollennamen und "prismatestssm" als policy Namen
4 . Fügen Sie die Rolle an die EC2-Instance an, indem Sie zu EC2 > Actions > Instance settings > Attach / Replace IAM Role
gehen.
gehen.
- Fügen Sie eine Host-Auto-Protect-Regel hinzu: Mit den Regeln für die automatische Hostverteidigung können Sie angeben, welche Hosts Sie schützen möchten. Sie können ein bestimmtes Konto definieren, indem Sie auf die relevanten Anmeldeinformationen oder Sammlung verweisen.
Hinweis: Jede Auto-Defense-Regel wird separat ausgewertet.
- Öffnen Sie Compute Console und wechseln Sie zu Verwalten von > Defenders > Bereitstellen > Host-Auto-Defend
- Klicken Sie auf Regel hinzufügen
- Geben Sie im Dialogfeld die folgenden Einstellungen ein:
- Geben Sie einen Regelnamen ein
- In Anbieter - nur AWS wird unterstützt
- Geben Sie in der Konsole einen Namen oder IP eine Adresse an, mit dem der installierte Defender nach der Installation wieder eine DNS Verbindung zur Konsole herstellen kann.
- (Optional) Richten Sie die Regel unter Bereich auf bestimmte Hosts aus.
- Erstellen Sie eine neue Sammlung. Unterstützte Attribute sind Hosts, Bilder, Labels, Konto-IDs
- Das folgende Beispiel zeigt eine Auflistung, die auf Hostbezeichnungen basiert, in diesem Fall eine Bezeichnung von "host_demo " mit dem Wert "centos"
- Festlegen des Scanbereichs
- Wählen oder erstellen Sie Anmeldeinformationen, damit Prisma Cloud Sie wie hier beschrieben auf Ihr Konto zugreifen können
Hinweis: Das Dienstkonto muss über die hier angegebenen Mindestberechtigungen verfügen.
- Klicken Sie auf Hinzufügen. Die neue Regel wird in der Regeltabelle angezeigt
- Wenden Sie die Regel an: Standardmäßig werden die automatischen Hostschutzregeln alle 24 Stunden ausgewertet. Klicken Sie auf die Schaltfläche Übernehmen, um einen neuen Scan zu erzwingen.
Hinweis: Der folgende Screenshot zeigt, dass die " auto-defend-testgroup" zwei EC2-Instances erkannt und zwei Defender bereitgestellt hat (2/2)
Additional Information
In den folgenden Abschnitten werden die Mindestanforderungen für die automatische Verteidigung für Hosts in AWSbeschrieben.
- Systems Manager: Prisma Cloud verwendet AWS AWS Systems Manager (früher bekannt als SSM), um Defenders auf Instances bereitzustellen. Dies bedeutet, dass:
- Der SSM Agent muss auf jeder Instanz installiert werden.
- AWS Systems Manager muss über die Berechtigung zum Ausführen von Aktionen für jede Instanz verfügen.
- Um alle SSM verwalteten Instanzen anzuzeigen, wechseln Sie zur AWS Konsole
- SSM Agent: Prisma Cloud Verwendet den SSM Agenten, um Host Defender auf einer Instance bereitzustellen. Der SSM Agent muss vor der Bereitstellung der Host Defenders installiert werden. Der SSM Agent wird standardmäßig auf den folgenden Distributionen installiert:
Hinweis: Weitere Informationen zum SSM Agenten finden Sie im folgenden Dokument, das hier erwähnt wird.
- Amazon Linux
- Amazon Linux 2
- Amazon Linux 2-optimierte ECS-AMIs
- Ubuntu Server 16.04, 18.04 und 20.04
- Der SSM Agent wird nicht standardmäßig installiert, wird aber von den folgenden Distributionen unterstützt. Stellen Sie sicher, dass es im Voraus installiert ist, bevor Sie fortfahren:
- Centos
- Debian-Server
- Oracle Linux
- Red Hat Enterprise Linux
- SUSE Linux Enterprise Server
- IAM Instanzprofil für Systems Manager: Standardmäßig AWS verfügt Systems Manager nicht über die Berechtigung zum Ausführen von Aktionen auf Ihren Instances. Sie müssen ihm Zugriff mit einem Instance-Profil IAM gewähren:
- Wenn Sie die Schnelleinrichtungsfunktion von System Manager verwendet haben, weisen Sie Ihren Instances die Rolle AmazonSSMManagedInstanceCore zu.
- Prisma Cloud benötigt ein Servicekonto mit den folgenden Berechtigungen, um EC2-Instances in Ihrem AWS Konto automatisch zu schützen. Fügen Sie einem Benutzer oder einer IAM Rolle Folgendes policy hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ssm:SendCommand", "ssm:DescribeInstanceInformation", "ssm:ListCommandInvocations", "ssm:CancelCommand" ], "Resource": "*" } ] }