Cómo configurar hosts de defensa automática en Prisma Cloud Compute
7116
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM
Objective
El objetivo de este artículo es cómo configurar la defensa automática del host en AWS EC2 e informar a Prisma Cloud Compute
Environment
- Versión autohospedada 21.04 y superior
- AWS Entorno de nube pública
Procedure
Complete los siguientes pasos para implementar la defensa de host automático:
- SSH a la instancia EC2 que desea agregar como defensor de host automático y asegúrese de que el SSM agente se está ejecutando desde la comprobación del estado del SSM agente
- Para comprobar SSM el estado del agente e iniciar el agente, consulte el siguiente documento mencionado aquí
- Siga los siguientes pasos para crear una policy entrada AWS para agregar al IAM rol y proteger automáticamente las instancias EC2 en su AWS cuenta:
- Buscar IAM en la barra de búsqueda
- Seleccione Políticas en la lista de opciones de Administración de acceso en el lado izquierdo
- Seleccione Crear Policy
- Seleccione JSON la pestaña y pegue la que se encuentra en el paso 3a de la JSON sección "Información adicional" para crear el Policy
3. A continuación, cree un IAM rol y adjunte tanto el creado en el paso 2 como el policy interno AWS policy denominado " AmazonSSMManagedInstanceCore"
Nota: En nuestro ejemplo usaremos "ssmtest" como nombre de rol y "prismatestssm" como nombrepolicy
4 . Asocie el rol a la instancia EC2 yendo a la configuración de EC2 > Actions > Instance > Rol de adjuntar/reemplazar IAM
- Agregar una regla de protección automática del host: Las reglas de defensa automática del host le permiten especificar qué hosts desea proteger. Puede definir una cuenta específica haciendo referencia a la credencial o colección correspondiente.
Nota: Cada regla de defensa automática se evalúa por separado
- Abra Compute Console y vaya a Administrar defensores de > > Implementar > Host autodefensa
- Haga clic en Agregar regla
- En el cuadro de diálogo, introduzca la siguiente configuración:
- Escriba un nombre de regla
- En el proveedor: solo AWS se admite
- En Consola, especifique un DNS nombre o IP una dirección que el Defender instalado pueda usar para volver a conectarse a la consola después de instalarla.
- (Opcional) En Ámbito, dirija la regla a hosts específicos
- Crear una nueva colección. Los atributos admitidos son hosts, imágenes, etiquetas, ID de cuenta
- En el ejemplo siguiente se muestra una colección basada en etiquetas hosts, en este caso una etiqueta de " host_demo " con el valor "centos"
- Especificar el ámbito de análisis
- Seleccione o cree credenciales para que pueda acceder a Prisma Cloud su cuenta como se menciona aquí
Nota: La cuenta de servicio debe tener los permisos mínimos especificados aquí
- Haga clic en Agregar. La nueva regla aparece en la tabla de reglas
- Aplicar la regla: De forma predeterminada, las reglas de protección automática del host se evalúan cada 24 horas. Haga clic en el botón Aplicar para forzar un nuevo análisis.
Nota: La siguiente captura de pantalla muestra que el " auto-defend-testgroup" descubrió dos instancias EC2 e implementó dos Defenders (2/2)
Additional Information
En las secciones siguientes se describen los requisitos mínimos para la defensa automática de los hosts en AWS.
- AWS Administrador de sistemas: Prisma Cloud utiliza AWS Systems Manager (anteriormente conocido como SSM) para implementar Defenders en instancias. Esto significa que:
- El SSM agente debe estar instalado en todas las instancias.
- AWS Systems Manager debe tener permiso para realizar acciones en cada instancia.
- Para ver todas las SSM instancias administradas, vaya a la AWS consola
- SSM Agente: Prisma Cloud utiliza el SSM agente para implementar Host Defender en una instancia. El SSM agente debe instalarse antes de implementar Host Defenders. El SSM agente se instala de forma predeterminada en las siguientes distribuciones:
Nota: Para obtener más información sobre SSM el Agente, consulte el siguiente documento mencionado aquí
- Amazon Linux
- Amazon Linux 2
- AMI optimizadas para Amazon Linux 2 ECS-
- Ubuntu Server 16.04, 18.04 y 20.04
- El SSM agente no viene instalado de fábrica, pero es compatible con las siguientes distribuciones. Asegúrese de que esté instalado con anticipación antes de continuar:
- Centos
- Servidor Debian
- Oracle Linux
- Red Hat Enterprise Linux
- SUSE Servidor empresarial Linux
- IAM perfil de instancia para Systems Manager: de forma predeterminada, AWS Systems Manager no tiene permiso para realizar acciones en las instancias. Debe concederle acceso con un perfil de IAM instancia:
- Si ha utilizado la característica de configuración rápida de System Manager, asigne el rol AmazonSSMManagedInstanceCore a sus instancias.
- Prisma Cloud necesita una cuenta de servicio con los siguientes permisos para proteger automáticamente las instancias EC2 de su AWS cuenta. Agregue lo siguiente policy a un IAM usuario o rol:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ssm:SendCommand", "ssm:DescribeInstanceInformation", "ssm:ListCommandInvocations", "ssm:CancelCommand" ], "Resource": "*" } ] }