So richten Sie automatisch verteidigende Hosts in Prisma Cloud Compute ein

So richten Sie automatisch verteidigende Hosts in Prisma Cloud Compute ein

6164
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM


Objective


Das Ziel dieses Artikels ist, wie Sie die automatische Hostverteidigung in AWS EC2 einrichten und an Compute berichten.Prisma Cloud
 

Environment


  • Selbst gehostete Version 21.04 und höher
  • AWS Public Cloud-Umgebung

Procedure


Führen Sie die folgenden Schritte aus, um die automatische Hostverteidigung zu implementieren:
  1. SSH zu der EC2-Instance, die Sie als Auto-Host-Defender hinzufügen möchten, und stellen Sie sicher, dass der SSM Agent ausgeführt wird, um den Status des SSM Agenten zu überprüfen
    1. Informationen zur Überprüfung des Agentenstatus und zum Starten des SSM Agenten finden Sie im folgenden Dokument, das hier erwähnt wird
Snapshot, der den SSM Agentenstatus mithilfe einer SSH Sitzung mit unserer AWS EC2-Instance anzeigt
 
  1. Führen Sie die folgenden Schritte aus, um eine policy in AWS zu erstellen, die der IAM Rolle hinzugefügt werden soll, um EC2-Instances in Ihrem AWS Konto automatisch zu schützen:
    1. Suche IAM in der Suchleiste
    2. Wählen Sie auf der linken Seite in der Liste der Zugriffsverwaltungsoptionen die Option Richtlinien aus.
    3. Wählen Sie Erstellen Policy
    4. Wählen Sie die Registerkarte und fügen Sie JSON die in Schritt 3a des Abschnitts "Zusätzliche Informationen" gefundene Datei ein, um die JSONPolicy
       
Snapshot, der die JSON Ausgabe auf der AWS Registerkarte "Richtlinien" anzeigt.
 
3. Erstellen Sie dann eine IAM Rolle und fügen Sie sowohl die in Schritt 2 erstellten als auch die policy interne Rolle mit dem Namen AWS policy "AmazonSSMManagedInstanceCore" an.
Hinweis: In unserem Beispiel verwenden wir "ssmtest" als Rollennamen und "prismatestssm" als policy Namen
IAM> Rollen ssmtest > ssmtest Ermöglicht EC2-Instances, Services in Ihrem Namen aufzurufenAWS. Zusammenfassung Erstellungsdatum Okt0ber 27, 2021, 11108 () Letzte Aktivität vor 20 Minuten Löschen Instance-Profil bearbeiten ] arn:aws:iam::867498639488:role/ssmtest Maximale Sitzungsdauer 1 Stunde Berechtigungen Vertrauensbeziehungen Tags Access Advisor Berechtigungsrichtlinien (UTC-OSOO2) Sie können bis zu 10 verwaltete Richtlinien anhängen Filtern Sie Richtlinien Q nach Eigenschaft oder po/jcy Name und drücken Sie die Eingabetaste Policy Name prismatestssm AmazonSSMManagedlnstanceCore Widerrufen von Sitzungen Typ "Vom Kunden verwaltetAWS"ARN ARN Q managed Simulate Entfernen Hinzufügen von Berechtigungen Beschreibung Die policy tor Amazon EC2-Rolle zur Aktivierung AWS der Kernfunktionalität des Systems Manager-Service.
 
4 . Fügen Sie die Rolle an die EC2-Instance an, indem Sie zu EC2 > Actions > Instance settings > Attach / Replace IAM Role
gehen. 
Snapshot mit den Optionen für die Instanzeinstellungen in AWS
 
Snapshot mit dem Dialogfeld "Rolle anfügen/ersetzen IAM " in AWS

 
  1. Fügen Sie eine Host-Auto-Protect-Regel hinzu: Mit den Regeln für die automatische Hostverteidigung können Sie angeben, welche Hosts Sie schützen möchten. Sie können ein bestimmtes Konto definieren, indem Sie auf die relevanten Anmeldeinformationen oder Sammlung verweisen.
Hinweis: Jede Auto-Defense-Regel wird separat ausgewertet.
  1. Öffnen Sie Compute Console und wechseln Sie zu Verwalten von > Defenders > Bereitstellen > Host-Auto-Defend
  2. Klicken Sie auf Regel hinzufügen
  3. Geben Sie im Dialogfeld die folgenden Einstellungen ein:
    • Geben Sie einen Regelnamen ein
    • In Anbieter - nur AWS wird unterstützt
    • Geben Sie in der Konsole einen Namen oder IP eine Adresse an, mit dem der installierte Defender nach der Installation wieder eine DNS Verbindung zur Konsole herstellen kann.
    • (Optional) Richten Sie die Regel unter Bereich auf bestimmte Hosts aus.
Demo-Centos bearbeiten Bitte beachten Sie, dass beim Erstellen oder Aktualisieren von Sammlungen die zu einer Sammlung gehörenden Bildressourcen erst beim nächsten Scan aktualisiert werden. Um eine Aktualisierung zu erzwingen, starten Sie manuell einen erneuten Scan. Demo Centos Beschreibung eingeben Name Beschreibung Farbe Container Hosts Bilder Beschriftungen App IDs (App-Embedded) Funktionen Namensräume Konto-IDs Code Repositories * Angeben eines Containers Angeben eines Hosts Angeben eines Bildes host_demo:centos x Geben Sie ein * Geben Sie eine * Angeben Sie eine Funktion * Geben Sie einen Namespace an Geben Sie app ID ein tag Konto ID an * Repository angeben Abbrechen
  1. Erstellen Sie eine neue Sammlung. Unterstützte Attribute sind Hosts, Bilder, Labels, Konto-IDs
  2. Das folgende Beispiel zeigt eine Auflistung, die auf Hostbezeichnungen basiert, in diesem Fall eine Bezeichnung von "host_demo " mit dem Wert "centos"
  3. Festlegen des Scanbereichs
  4. Wählen oder erstellen Sie Anmeldeinformationen, damit Prisma Cloud Sie wie hier beschrieben auf Ihr Konto zugreifen können
Hinweis: Das Dienstkonto muss über die hier angegebenen Mindestberechtigungen verfügen.
  1. Klicken Sie auf Hinzufügen. Die neue Regel wird in der Regeltabelle angezeigt
  1. Wenden Sie die Regel an: Standardmäßig werden die automatischen Hostschutzregeln alle 24 Stunden ausgewertet. Klicken Sie auf die Schaltfläche Übernehmen, um einen neuen Scan zu erzwingen.
Hinweis: Der folgende Screenshot zeigt, dass die " auto-defend-testgroup" zwei EC2-Instances erkannt und zwei Defender bereitgestellt hat (2/2)
Snapshot mit der Registerkarte "AutoDefend-Regeln" in Prisma Cloud
 

 

Additional Information


In den folgenden Abschnitten werden die Mindestanforderungen für die automatische Verteidigung für Hosts in AWSbeschrieben.
  1. Systems Manager: Prisma Cloud verwendet AWS AWS Systems Manager (früher bekannt als SSM), um Defenders auf Instances bereitzustellen. Dies bedeutet, dass:                            
  • Der SSM Agent muss auf jeder Instanz installiert werden.
  • AWS Systems Manager muss über die Berechtigung zum Ausführen von Aktionen für jede Instanz verfügen.
  • Um alle SSM verwalteten Instanzen anzuzeigen, wechseln Sie zur AWS Konsole
  1. SSM Agent: Prisma Cloud Verwendet den SSM Agenten, um Host Defender auf einer Instance bereitzustellen. Der SSM Agent muss vor der Bereitstellung der Host Defenders installiert werden. Der SSM Agent wird standardmäßig auf den folgenden Distributionen installiert:
Hinweis: Weitere Informationen zum SSM Agenten finden Sie im folgenden Dokument, das hier erwähnt wird.
  • Amazon Linux
  • Amazon Linux 2
  • Amazon Linux 2-optimierte ECS-AMIs
  • Ubuntu Server 16.04, 18.04 und 20.04
  1. Der SSM Agent wird nicht standardmäßig installiert, wird aber von den folgenden Distributionen unterstützt. Stellen Sie sicher, dass es im Voraus installiert ist, bevor Sie fortfahren:
  • Centos
  • Debian-Server
  • Oracle Linux
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise Server
  1.  IAM Instanzprofil für Systems Manager: Standardmäßig AWS verfügt Systems Manager nicht über die Berechtigung zum Ausführen von Aktionen auf Ihren Instances. Sie müssen ihm Zugriff mit einem Instance-Profil IAM gewähren:
    1. Wenn Sie die Schnelleinrichtungsfunktion von System Manager verwendet haben, weisen Sie Ihren Instances die Rolle AmazonSSMManagedInstanceCore zu.
    2. Prisma Cloud benötigt ein Servicekonto mit den folgenden Berechtigungen, um EC2-Instances in Ihrem AWS Konto automatisch zu schützen. Fügen Sie einem Benutzer oder einer IAM Rolle Folgendes policy hinzu:
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Allow",
           "Action": [
               "ec2:DescribeImages",
               "ec2:DescribeInstances",
               "ec2:DescribeRegions",
               "ssm:SendCommand",
               "ssm:DescribeInstanceInformation",
               "ssm:ListCommandInvocations",
               "ssm:CancelCommand"
           ],
           "Resource": "*"
       }
   ]
}


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNcSCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language