Comment configurer la défense automatique des hôtes dans Prisma Cloud Compute

Comment configurer la défense automatique des hôtes dans Prisma Cloud Compute

6160
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM


Objective


L’objectif de cet article est de savoir comment configurer Auto Host Defend dans AWS EC2 et générer des rapports vers Prisma Cloud Compute
 

Environment


  • Version auto-hébergée 21.04 et ultérieure
  • AWS Environnement de cloud public

Procedure


Veuillez suivre les étapes suivantes pour implémenter la défense de l’hôte automatique :
  1. SSH à l’instance EC2 que vous souhaitez ajouter en tant que défenseur d’hôte automatique et assurez-vous que l’agent est en cours d’exécution après avoir vérifié l’état de l’agent SSM SSM
    1. Pour vérifier SSM l’état de l’agent et démarrer l’agent, veuillez consulter le document suivant mentionné ici
Instantané affichant l’état de l’agent à l’aide SSM d’une SSH session sur notre AWS instance EC2
 
  1. Suivez les étapes suivantes pour créer un policy in AWS à ajouter au rôle afin de protéger automatiquement les IAM instances EC2 de votre AWS compte :
    1. Rechercher IAM dans la barre de recherche
    2. Sélectionnez Stratégies dans la liste des options de gestion des accès sur le côté gauche
    3. Sélectionnez Créer Policy
    4. Sélectionnez JSON l’onglet et collez le bouton trouvé à l’étape 3a de la section « Informations supplémentaires » pour créer le JSONPolicy
       
Instantané affichant la JSON sortie dans l’onglet AWS Stratégies.
 
3. Créez ensuite un IAM rôle et attachez à la fois le rôle créé à l’étape 2 et le policy nom interne AWS policy « AmazonSSMManagedInstanceCore »
Remarque: Dans notre exemple, nous utiliserons « ssmtest » comme nom de rôle et « prismatestssm » comme policy nom
IAM> Rôles ssmtest > ssmtest Permet aux instances EC2 d’appeler AWS des services en votre nom. Résumé Date de création 27 oct0ber 2021, 11108 () Dernière activité il y a 20 minutes Supprimer Modifier le profil ARN ARN Qd’instance ] arn:aws:iam::867498639488:role/ssmtest Durée maximale de la session 1 heure Autorisations Relations d’approbation Étiquettes Conseiller d’accès Stratégies d’autorisations (UTC-OSOO2) Vous pouvez joindre jusqu’à 10 stratégies gérées Filtrer les stratégies Q par propriété ou nom po/jcy et appuyer sur Entrée Policy de nom prismatestssm AmazonSSMManagedlnstanceCore Révoquer des sessions Type géré par AWS le client géré Simuler Supprimer Ajouter des autorisations Description Rôle policy Amazon EC2 pour activer AWS les fonctionnalités principales du service Systems Manager.
 
4 . Attachez le rôle à l’instance EC2 en accédant aux paramètres EC2 > Actions > Instance > Attacher/Remplacer IAM le rôle
 
Instantané affichant les options Paramètres de l’instance dans AWS
 
Instantané affichant la boîte de dialogue Attacher/Remplacer IAM un rôle dans AWS

 
  1. Ajoutez une règle de protection automatique de l’hôte : Les règles de défense automatique des hôtes vous permettent de spécifier les hôtes que vous souhaitez protéger. Vous pouvez définir un compte spécifique en référençant les informations d’identification ou la collection appropriée.
Remarque : Chaque règle de défense automatique est évaluée séparément.
  1. Ouvrez Compute Console et accédez à Gérer > défenseurs > Déployer > défense automatique de l’hôte
  2. Cliquez sur Ajouter une règle
  3. Dans la boîte de dialogue, entrez les paramètres suivants :
    • Entrez un nom de règle
    • Dans Fournisseur - uniquement AWS est pris en charge
    • Dans la console, spécifiez un nom ou IP une DNS adresse que le Defender installé peut utiliser pour se reconnecter à la console après son installation
    • (Facultatif) Dans Étendue, ciblez la règle sur des hôtes spécifiques
Modifier les centos de démonstration Remarque Lors de la création ou de la mise à jour de collections, l'ensemble des ressources d'images appartenant à une collection n'est pas mis à jour avant l'analyse suivante. Pour forcer une mise à jour, lancez manuellement une nouvelle analyse. Démo centos Entrez une description Nom Description Conteneurs de couleurs Hôtes Images Étiquettes App ID (App-Embedded) Fonctions Espaces de noms ID de compte Référentiels de code * Spécifier un conteneur Spécifier un hôte Spécifier une image host_demo:centos x Spécifier un * Spécifier un * Spécifier une fonction * Spécifier un ID app espace de noms Spécifier un compte * Spécifier un tag référentiel ID annuler
  1. Créez une nouvelle collection. Les attributs pris en charge sont les hôtes, les images, les étiquettes, les ID de compte
  2. L’exemple suivant montre une collection basée sur des étiquettes d’hôtes, dans ce cas une étiquette de « host_demo » avec la valeur « centos »
  3. Spécifier l’étendue de l’analyse
  4. Sélectionnez ou créez des informations d’identification afin de Prisma Cloud pouvoir accéder à votre compte comme mentionné ici
Remarque : le compte de service doit disposer des autorisations minimales spécifiées ici.
  1. Cliquez sur Ajouter. La nouvelle règle apparaît dans la table des règles
  1. Appliquez la règle : Par défaut, les règles de protection automatique de l’hôte sont évaluées toutes les 24 heures. Cliquez sur le bouton Appliquer pour forcer une nouvelle analyse.
Remarque : La capture d’écran suivante montre que le « auto-defend-testgroup » a découvert deux instances EC2 et déployé deux Defenders (2/2)
Snapshot affichant l’onglet Règles de défense automatique dans Prisma Cloud
 

 

Additional Information


Les sections suivantes décrivent la configuration minimale requise pour la défense automatique contre les hôtes dans AWS.
  1. Systems Manager : Prisma Cloud utilise AWS AWS Systems Manager (anciennement ) SSMpour déployer Defenders sur des instances. Cela signifie que :                            
  • L’agent SSM doit être installé sur chaque instance.
  • AWS Systems Manager doit avoir l’autorisation d’effectuer des actions sur chaque instance.
  • Pour afficher toutes les SSM instances gérées, accédez à la AWS console
  1. SSM Agent : Prisma Cloud utilise l’agent SSM pour déployer Host Defender sur une instance. L’agent SSM doit être installé avant le déploiement des défenseurs hôtes. L’agent SSM est installé par défaut sur les distributions suivantes :
Remarque: Pour plus d’informations concernant SSM l’agent, veuillez vous référer au document suivant mentionné ici
  • Amazon Linux
  • Amazon Linux 2
  • AMI optimisées pour Amazon Linux 2 ECS-
  • Ubuntu Server 16.04, 18.04 et 20.04
  1. L’agent SSM n’est pas installé prêt à l’emploi, mais pris en charge sur les distributions suivantes. Assurez-vous qu’il est installé à l’avance avant de continuer:
  • Centos
  • Serveur Debian
  • Oracle Linux
  • Red Hat Enterprise Linux
  • SUSE Serveur d’entreprise Linux
  1.  IAM Profil d’instance pour Systems Manager : par défaut, AWS Systems Manager n’est pas autorisé à effectuer des actions sur vos instances. Vous devez lui accorder l’accès avec un profil d’instance IAM :
    1. Si vous avez utilisé la fonction Configuration rapide de System Manager, attribuez le rôle AmazonSSMManagedInstanceCore à vos instances.
    2. Prisma Cloud a besoin d’un compte de service avec les autorisations suivantes pour protéger automatiquement les instances EC2 de votre AWS compte. Ajoutez ce qui suit policy à un utilisateur ou à un IAM rôle :
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Allow",
           "Action": [
               "ec2:DescribeImages",
               "ec2:DescribeInstances",
               "ec2:DescribeRegions",
               "ssm:SendCommand",
               "ssm:DescribeInstanceInformation",
               "ssm:ListCommandInvocations",
               "ssm:CancelCommand"
           ],
           "Resource": "*"
       }
   ]
}


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNcSCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language