Comment configurer la défense automatique des hôtes dans Prisma Cloud Compute
6160
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM
Objective
L’objectif de cet article est de savoir comment configurer Auto Host Defend dans AWS EC2 et générer des rapports vers Prisma Cloud Compute
Environment
- Version auto-hébergée 21.04 et ultérieure
- AWS Environnement de cloud public
Procedure
Veuillez suivre les étapes suivantes pour implémenter la défense de l’hôte automatique :
- SSH à l’instance EC2 que vous souhaitez ajouter en tant que défenseur d’hôte automatique et assurez-vous que l’agent est en cours d’exécution après avoir vérifié l’état de l’agent SSM SSM
- Pour vérifier SSM l’état de l’agent et démarrer l’agent, veuillez consulter le document suivant mentionné ici
- Suivez les étapes suivantes pour créer un policy in AWS à ajouter au rôle afin de protéger automatiquement les IAM instances EC2 de votre AWS compte :
- Rechercher IAM dans la barre de recherche
- Sélectionnez Stratégies dans la liste des options de gestion des accès sur le côté gauche
- Sélectionnez Créer Policy
- Sélectionnez JSON l’onglet et collez le bouton trouvé à l’étape 3a de la section « Informations supplémentaires » pour créer le JSONPolicy
3. Créez ensuite un IAM rôle et attachez à la fois le rôle créé à l’étape 2 et le policy nom interne AWS policy « AmazonSSMManagedInstanceCore »
Remarque: Dans notre exemple, nous utiliserons « ssmtest » comme nom de rôle et « prismatestssm » comme policy nom
4 . Attachez le rôle à l’instance EC2 en accédant aux paramètres EC2 > Actions > Instance > Attacher/Remplacer IAM le rôle
- Ajoutez une règle de protection automatique de l’hôte : Les règles de défense automatique des hôtes vous permettent de spécifier les hôtes que vous souhaitez protéger. Vous pouvez définir un compte spécifique en référençant les informations d’identification ou la collection appropriée.
Remarque : Chaque règle de défense automatique est évaluée séparément.
- Ouvrez Compute Console et accédez à Gérer > défenseurs > Déployer > défense automatique de l’hôte
- Cliquez sur Ajouter une règle
- Dans la boîte de dialogue, entrez les paramètres suivants :
- Entrez un nom de règle
- Dans Fournisseur - uniquement AWS est pris en charge
- Dans la console, spécifiez un nom ou IP une DNS adresse que le Defender installé peut utiliser pour se reconnecter à la console après son installation
- (Facultatif) Dans Étendue, ciblez la règle sur des hôtes spécifiques
- Créez une nouvelle collection. Les attributs pris en charge sont les hôtes, les images, les étiquettes, les ID de compte
- L’exemple suivant montre une collection basée sur des étiquettes d’hôtes, dans ce cas une étiquette de « host_demo » avec la valeur « centos »
- Spécifier l’étendue de l’analyse
- Sélectionnez ou créez des informations d’identification afin de Prisma Cloud pouvoir accéder à votre compte comme mentionné ici
Remarque : le compte de service doit disposer des autorisations minimales spécifiées ici.
- Cliquez sur Ajouter. La nouvelle règle apparaît dans la table des règles
- Appliquez la règle : Par défaut, les règles de protection automatique de l’hôte sont évaluées toutes les 24 heures. Cliquez sur le bouton Appliquer pour forcer une nouvelle analyse.
Remarque : La capture d’écran suivante montre que le « auto-defend-testgroup » a découvert deux instances EC2 et déployé deux Defenders (2/2)
Additional Information
Les sections suivantes décrivent la configuration minimale requise pour la défense automatique contre les hôtes dans AWS.
- Systems Manager : Prisma Cloud utilise AWS AWS Systems Manager (anciennement ) SSMpour déployer Defenders sur des instances. Cela signifie que :
- L’agent SSM doit être installé sur chaque instance.
- AWS Systems Manager doit avoir l’autorisation d’effectuer des actions sur chaque instance.
- Pour afficher toutes les SSM instances gérées, accédez à la AWS console
- SSM Agent : Prisma Cloud utilise l’agent SSM pour déployer Host Defender sur une instance. L’agent SSM doit être installé avant le déploiement des défenseurs hôtes. L’agent SSM est installé par défaut sur les distributions suivantes :
Remarque: Pour plus d’informations concernant SSM l’agent, veuillez vous référer au document suivant mentionné ici
- Amazon Linux
- Amazon Linux 2
- AMI optimisées pour Amazon Linux 2 ECS-
- Ubuntu Server 16.04, 18.04 et 20.04
- L’agent SSM n’est pas installé prêt à l’emploi, mais pris en charge sur les distributions suivantes. Assurez-vous qu’il est installé à l’avance avant de continuer:
- Centos
- Serveur Debian
- Oracle Linux
- Red Hat Enterprise Linux
- SUSE Serveur d’entreprise Linux
- IAM Profil d’instance pour Systems Manager : par défaut, AWS Systems Manager n’est pas autorisé à effectuer des actions sur vos instances. Vous devez lui accorder l’accès avec un profil d’instance IAM :
- Si vous avez utilisé la fonction Configuration rapide de System Manager, attribuez le rôle AmazonSSMManagedInstanceCore à vos instances.
- Prisma Cloud a besoin d’un compte de service avec les autorisations suivantes pour protéger automatiquement les instances EC2 de votre AWS compte. Ajoutez ce qui suit policy à un utilisateur ou à un IAM rôle :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ssm:SendCommand", "ssm:DescribeInstanceInformation", "ssm:ListCommandInvocations", "ssm:CancelCommand" ], "Resource": "*" } ] }