如何设置自动防御主机在Prisma Cloud计算
6168
Created On 04/15/22 21:40 PM - Last Modified 03/02/23 05:27 AM
Objective
本文的目的是如何设置 Auto host defend inAWS EC2 并报告给Prisma Cloud计算
Environment
- 自托管版本 21.04 及更高版本
- AWS 公共云环境
Procedure
请完成以下步骤来实施自动主机保护:
- SSH 到您想要添加为自动主机防御者的 EC2 实例,并确保SSM代理正在运行检查状态SSM代理人
- 用于检查SSM代理状态和启动代理请看下面这里提到的文件
- 按照以下步骤创建一个policy在AWS添加到IAM自动保护您的 EC2 实例的角色AWS帐户:
- 搜索IAM在搜索栏中
- 选择政策从左侧的访问管理选项列表
- 选择创造Policy
- 选择JSON选项卡并粘贴JSON在“附加信息”部分的步骤 3a 中找到以创建Policy
3.然后创建一个IAM角色并附上两者policy在步骤 2 中与内部一起创建AWS policy命名的“AmazonSSMManagedInstanceCore”
注意:在我们的示例中,我们将使用“ ssmtest”作为角色名称和“棱镜“作为policy姓名
4. 将角色附加到 EC2 实例,方法是转到EC2 > 操作 > 实例设置 > 附加/替换IAM角色
- 添加主机自动保护规则:主机自动防御规则让您指定要保护的主机。 您可以通过引用相关凭证或集合来定义特定帐户。
注意:每个自动防御规则都是单独评估的
- 打开计算控制台,然后转到管理 > 防御者 > 部署 > 主机自动防御
- 点击添加规则
- 在对话框中,输入以下设置:
- 输入规则名称
- 在提供商中 - 仅限AWS支持
- 在控制台中,指定一个DNS姓名或IP已安装的 Defender 在安装后可用于连接回控制台的地址
- (可选)在范围中,将规则定位到特定主机
- 创建一个新的集合。 支持的属性有主机、图像、标签、帐户 ID
- 以下示例显示了一个基于主机标签的集合,在本例中是一个标签“主机演示”与价值“中心”
- 指定扫描范围
- 选择或创建凭证Prisma Cloud可以如上所述访问您的帐户这里
注意:服务帐户必须具有指定的最低权限这里
- 点击添加. 新规则出现在规则表中
- 应用规则:默认情况下,主机自动保护规则每 24 小时评估一次。 单击“应用”按钮强制进行新的扫描。
笔记:以下屏幕截图显示“自动防御测试组”发现了两个 EC2 实例并部署了两个 Defenders (2/2)
Additional Information
以下部分描述了自动防御主机的最低要求AWS.
- AWS系统经理:Prisma Cloud使用AWS系统管理器(以前称为SSM) 将 Defenders 部署到实例。 这意味着:
- 这SSM必须在每个实例上安装代理。
- AWS Systems Manager 必须有权对每个实例执行操作。
- 查看全部SSM托管实例,转到AWS安慰
- SSM 代理人:Prisma Cloud使用SSM用于在实例上部署 Host Defender 的代理。 这SSM必须在部署 Host Defenders 之前安装代理。 这SSM代理默认安装在以下发行版上:
注意:有关更多信息SSM代理请参考以下这里提到的文件
- 亚马逊Linux
- 亚马逊 Linux 2
- 亚马逊 Linux 2ECS-优化的 AMI
- Ubuntu 服务器 16.04、18.04 和 20.04
- 这SSM代理不是开箱即用的,但支持以下发行版。 在继续之前确保提前安装:
- 中央操作系统
- Debian 服务器
- 甲骨文Linux
- 红帽企业 Linux
- SUSE Linux 企业服务器
- IAMSystems Manager 的实例配置文件:默认情况下,AWS Systems Manager 无权对您的实例执行操作。 您必须授予它访问权限IAM实例简介:
- 如果您使用过系统管理器的快速设置功能,请分配AmazonSSMManagedInstanceCore对您的实例的作用。
- Prisma Cloud 需要一个具有以下权限的服务帐户来自动保护您的 EC2 实例AWS帐户。 添加以下内容policy到一个IAM用户或角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ssm:SendCommand", "ssm:DescribeInstanceInformation", "ssm:ListCommandInvocations", "ssm:CancelCommand" ], "Resource": "*" } ] }