Auto-defend ホストのセットアップ方法Prisma Cloudコンピューティング
6158
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM
Objective
この記事の目的は、自動ホスト防御を設定する方法ですAWSEC2 および報告先Prisma Cloudコンピューティング
Environment
- 自己ホスト バージョン 21.04 以降
- AWS パブリック クラウド環境
Procedure
自動ホスト防御を実装するには、次の手順を完了してください。
- SSH 自動ホスト ディフェンダーとして追加する EC2 インスタンスに接続し、SSMエージェントは、のステータスをチェックして実行中ですSSMエージェント
- 確認用SSMエージェントのステータスとエージェントの起動については、以下を参照してくださいここに記載されているドキュメント
- 次の手順に従って、policyのAWSに追加するIAMEC2 インスタンスを自動的に保護する役割AWSアカウント:
- 検索IAM検索バーで
- 選択するポリシー左側のアクセス管理オプション リストから
- 選択する作成Policy
- 選択するJSONタブを押して貼り付けますJSON「追加情報」セクションの手順 3a で見つかったPolicy
3. 次に、IAM役割と両方を取り付けますpolicy内部とともにステップ 2 で作成されたAWS policy命名された「AmazonSSMManagedInstanceCore」
注: この例では、" ssmtest" をロール名として、"プリズマティスム」としてpolicy名前
4 . に移動して、ロールを EC2 インスタンスにアタッチします。 EC2 > アクション > インスタンス設定 > アタッチ/交換IAM役割
- ホストの自動保護ルールを追加します。ホストの自動防御ルールを使用すると、保護するホストを指定できます。 関連する資格情報またはコレクションを参照して、特定のアカウントを定義できます。
注: 各自動防御ルールは個別に評価されます
- Compute Console を開き、次の場所に移動します。管理 > 防御者 > 展開 > ホストの自動防御
- クリックルールを追加
- ダイアログで、次の設定を入力します。
- ルール名を入力してください
- プロバイダー内 - のみAWSサポートされています
- コンソールで、DNS名前やIPインストールされた Defender がインストール後にコンソールに接続するために使用できるアドレス
- (オプション) [スコープ] で、ルールを特定のホストにターゲティングします。
- 新しいコレクションを作成します。 サポートされている属性は、ホスト、画像、ラベル、アカウント ID です
- 次の例は、ホスト ラベルに基づくコレクションを示しています。この場合は、 "host_demo"値 "セントス」
- スキャン範囲を指定する
- 資格情報を選択または作成して、Prisma Cloud前述のようにアカウントにアクセスできますここ
注: サービス アカウントには、指定された最小限の権限が必要ですここ
- クリック追加. 新しいルールがルールのテーブルに表示されます
- ルールを適用します。デフォルトでは、ホストの自動保護ルールは 24 時間ごとに評価されます。 [適用] ボタンをクリックして、新しいスキャンを強制します。
ノート:次のスクリーンショットは、 「自動防御テストグループ」 2 つの EC2 インスタンスを検出し、2 つの Defender をデプロイしました (2/2)
Additional Information
次のセクションでは、ホストを自動防御するための最小要件について説明します。AWS .
- AWSシステム マネージャー:Prisma Cloud用途AWSシステム マネージャー (以前はSSM) Defender をインスタンスにデプロイします。 この意味は:
- のSSMエージェントはすべてのインスタンスにインストールする必要があります。
- AWS Systems Manager には、各インスタンスでアクションを実行する権限が必要です。
- すべて表示するにはSSMマネージド インスタンスに移動するには、AWSコンソール
- SSM エージェント:Prisma Cloudを使用しますSSMインスタンスに Host Defender をデプロイするエージェント。 のSSMHost Defender をデプロイする前に、エージェントをインストールする必要があります。 のSSMエージェントは、デフォルトで次のディストリビューションにインストールされます。
注: 詳細については、SSMエージェントは、以下を参照してくださいここに記載されているドキュメント
- アマゾン Linux
- アマゾンリナックス 2
- アマゾンリナックス 2ECS-最適化された AMI
- Ubuntu サーバー 16.04、18.04、および 20.04
- のSSMエージェントはそのままではインストールされませんが、次のディストリビューションでサポートされています。 続行する前に、事前にインストールされていることを確認してください。
- CentOS
- Debian サーバー
- オラクル Linux
- レッドハット エンタープライズ リナックス
- SUSE Linux エンタープライズ サーバー
- IAMSystems Manager のインスタンス プロファイル: デフォルトでは、AWS Systems Manager には、インスタンスでアクションを実行する権限がありません。 アクセスを許可する必要がありますIAMインスタンス プロファイル:
- System Manager のクイック セットアップ機能を使用したことがある場合は、 AmazonSSMManagedInstanceCoreインスタンスへのロール。
- Prisma Cloud EC2 インスタンスを自動的に保護するには、次の権限を持つサービス アカウントが必要です。AWSアカウント。 以下を追加policyにIAMユーザーまたは役割:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ssm:SendCommand",
"ssm:DescribeInstanceInformation",
"ssm:ListCommandInvocations",
"ssm:CancelCommand"
],
"Resource": "*"
}
]
}