صِلْ حسابات AWS الخاصة بك إلى Microsoft Defender للانترنت

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

مع أعباء العمل السحابية التي تمتد عادةً على منصات سحابية متعددة، يجب على خدمات الأمان السحابية أن تفعل الشيء نفسه.

يحمي Microsoft Defender لللإنترنت أعباء العمل في Azure وAmazon Web Services (AWS) وGoogle Cloud Platform (GCP).

لحماية الموارد المستندة إلى AWS، يمكنك توصيل حساب بإحدى الآليتين:

• تجربة موصلات السحابة الكلاسيكية - كجزء من العرض الأولي متعدد السحابات، قدمنا هذه الموصلات السحابية كطريقة لتوصيل مشاريع AWS وGCP. إذا قمت بالفعل بتكوين موصل AWS من خلال تجربة موصلات السحابة الكلاسيكية، نوصي بحذف هذه الموصلات (كما هو موضح في إزالة الموصلات الكلاسيكية)، وتوصيل الحساب مرة أخرى باستخدام الآلية الأحدث. إذا لم تقم بذلك قبل إنشاء الموصل الجديد من خلال صفحة إعدادات البيئة، فقم بذلك بعد ذلك لتجنب رؤية التوصيات المكررة.

• صفحة إعدادات البيئة (في المعاينة) (موصي به) - توفر صفحة المعاينة هذه تجربة تحسين وبساطة ومتابعة رائعة (بما في ذلك توفير السيارات). تعمل هذه الآلية أيضا على توسيع ميزات الأمان المحسنة ل Defender for Cloud لتشمل موارد AWS الخاصة بك:

  • ميزات إدارة وضع الأمان السحابي لـDefender for Cloud's تمتد إلى موارد خدمات AWS الخاصة بك. تقوم هذه الخطة بدون وكيل بتقييم موارد AWS الخاصة بك وفقا لتوصيات الأمان الخاصة بـAWS ويتم تضمينها في درجاتك الآمنة. كما سيتم تقييم الموارد من أجل الامتثال للمعايير المضمنة الخاصة بـAWS (AWS CIS وAWS PCI DSS وأفضل ممارسات الأمان الأساسية لـ AWS). تعتبر صفحة «asset inventory page» الخاصة بـ Defender for Cloud هي ميزة متعددة السحابة تساعدك على إدارة موارد AWS الخاصة بك إلى جانب موارد Azure.
  • يجلب Microsoft Defender for Containers الكشف عن التهديدات والدفاعات المتقدمة إلى مجموعات Amazon EKS. تتضمن هذه الخطة حماية Kubernetes من التهديدات والتحليلات السلوكية وأفضل ممارسات Kubernetes وتوصيات التحكم في القبول والمزيد. يمكنك عرض القائمة الكاملة للميزات المتوفرة في توفر ميزة Defender for Containers.
  • يجلب Microsoft Defender for Servers الكشف عن التهديدات والدفاعات المتقدمة إلى مثيلات Windows وLinux EC2. تتضمن هذه الخطة الترخيص المتكامل لـMicrosoft Defender لنقطة النهاية وخطوط الأمان الأساسي وتقييمات مستوى نظام التشغيل و فحص تقييم الثغرات الأمنية وعناصر تحكم التطبيق التكيفية (AAC) و مراقبة تكامل الملفات (FIM) وغيرها. يمكنك عرض القائمة الكاملة للميزات المتوفرة في جدول توفر الميزات.

للحصول على قائمة مرجعية بجميع التوصيات التي يمكن أن يوفرها Defender for Cloud لموارد AWS، راجع توصيات الأمان لموارد AWS - دليل مرجعي.

تُظهر لقطة الشاشة هذه حسابات AWS معروضة في لوحة معلومات Defender for Cloud نظرة عامة على .

التوفر

الجانب	التفاصيل
حالة الإصدار:	معاينة. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
التسعير:	خطة CSPM مجانية. خطة Defender for Containers مجانية أثناء المعاينة. وبعد ذلك، ستتم فوترته مقابل AWS بنفس السعر الذي يتم به حساب موارد Azure. لكل جهاز AWS متصل ب Azure مع خوادم Azure Arc الممكنة، تتم فوترة خطة Defender for Servers بنفس سعر خطة Microsoft Defender for Servers لأجهزة Azure. إذا لم يكن لدى AWS EC2 وكيل Azure Arc، فلن يتم محاسبتك على هذا الجهاز.
الأدوار والأذونات المطلوبة:	إذن المساهم لاشتراك Azure ذي الصلة.
سحب:	⁧⁩ السحب التجارية National (Azure Government، Azure China 21Vianet)

المتطلبات الأساسية

• الوصول إلى حساب AWS.

• لتمكين خطة Defender for Containers، ستحتاج إلى:

  • Amazon EKS cluster واحد على الأقل مع إذن للوصول إلى خادم API EKS K8s. إذا كنت بحاجة إلى إنشاء مجموعة EKS جديدة، فاتبع الإرشادات الواردة في بدء استخدام Amazon EKS – eksctl.
  • سعة المورد لإنشاء قائمة انتظار SQS جديدة، وتيار تسليم خرطوم النار Kinesis، وS3 bucket في منطقة الكتلة.

• لتمكين خطة Defender for Servers، ستحتاج إلى:

  • Microsoft Defender for Servers ممكن على اشتراكك. تعرف على كيفية تمكين الخطط في تمكين ميزات الأمان المحسنة.

  • حساب AWS نشط، مع مثيلات EC2.

  • Azure Arc للخوادم المثبتة على مثيلات EC2.

    • (مستحسن) استخدم عملية التوفير التلقائي لتثبيت Azure Arc على جميع مثيلات EC2 الحالية والمستقبلية.

      تتم إدارة التوفير التلقائي بواسطة AWS Systems Manager (SSM) باستخدام عامل SSM. تحتوي بعض صور أجهزة Amazon (AMIs) بالفعل على عامل SSM مثبت مسبقا. إذا كان الأمر كذلك، يتم سرد AMI الخاص بهم في AMIs مع عامل SSM المثبت مسبقا. إذا لم يكن لدى مثيلات EC2 عامل SSM، فستحتاج إلى تثبيته باستخدام أي من الإرشادات التالية ذات الصلة من Amazon:

      • تثبيت عامل SSM لبيئة مختلطة (Windows)
      • تثبيت عامل SSM لبيئة مختلطة (Linux)

    ملاحظة

    لتمكين التوفير التلقائي ل Azure Arc، ستحتاج إلى إذن المالك على اشتراك Azure ذي الصلة.

    • إذا كنت تريد تثبيت Azure Arc يدويا على مثيلات EC2 الحالية والمستقبلية، فاستخدم مثيلات EC2 التي يجب توصيلها توصية Azure Arc لتحديد المثيلات التي لم يتم تثبيت Azure Arc عليها.

  • يجب تمكين ملحقات إضافية على الأجهزة المتصلة ب Arc.

    • Microsoft Defender لنقطة النهاية

    • حل VA (TVM/ Qualys)

    • عامل Log Analytics (LA) على أجهزة Arc. تأكد من تثبيت حل أمان لمساحة العمل المحددة.

      تم تكوين عامل LA حاليا على مستوى الاشتراك، بحيث ترث جميع الحسابات والمشاريع متعددة السحابات (من كل من AWS وGCP) ضمن نفس الاشتراك إعدادات الاشتراك فيما يتعلق بعامل LA.

    تعرف على كيفية تكوين التوفير التلقائي على اشتراكك.

    ملاحظة

    يقوم Defender for Servers بتعيين علامات إلى موارد AWS لإدارة عملية التوفير التلقائي. يجب أن يتم تعيين هذه العلامات بشكل صحيح إلى مواردك بحيث يمكن ل Defender for Cloud إدارة مواردك: AccountId، Cloud، InstanceId، MDFCSecurityConnector

توصيل حساب AWS الخاص بك

اتبع الخطوات التالية لإنشاء موصل سحابة AWS الخاص بك.

إزالة الموصلات "الكلاسيكية"

إذا كان لديك أي موصلات موجودة تم إنشاؤها باستخدام تجربة موصلات السحابة الكلاسيكية، فقم بإزالتها أولا:

1. سجل الدخول إلى مدخل Azure.

2. انتقل إلى إعدادات Defender forCloudEnvironment>.

3. حدد خيار التبديل مرة أخرى إلى تجربة الموصلات الكلاسيكية.

   

4. لكل موصل، حدد زر النقاط الثلاث ... في نهاية الصف، وحدد حذف.

5. على AWS، احذف الدور ARN أو بيانات الاعتماد التي تم إنشاؤها للتكامل.

إنشاء موصل جديد

لإنشاء موصل جديد:

1. سجل الدخول إلى مدخل Azure.

2. انتقل إلى إعدادات Defender forCloudEnvironment>.

3. حدد إضافة بيئة>الأمازون خدماتAmazon للتصفح.

   

4. أدخل تفاصيل حساب AWS، بما في ذلك الموقع الذي ستخزن فيه مورد الموصل.

   

5. حدد Next: Select plans.

   ملاحظة

   كل خطة لها متطلباتها الخاصة للأذونات، وقد تتحمل رسوما.

   

   هام

   لتقديم الحالة الحالية لتوصياتك، يستعلم مخطط CSPM عن واجهات برمجة التطبيقات لمورد AWS عدة مرات في اليوم. لا تتحمل استدعاءات واجهة برمجة التطبيقات للقراءة فقط أي رسوم، ولكنها مسجلة في CloudTrail إذا قمت بتمكين مسار لأحداث القراءة. كما هو موضح في وثائق AWS، لا توجد رسوم إضافية للحفاظ على مسار واحد. إذا كنت تقوم بتصدير البيانات من AWS (على سبيل المثال، إلى SIEM خارجي)، فقد يؤدي هذا الحجم المتزايد من المكالمات أيضا إلى زيادة تكاليف الاستيعاب. في مثل هذه الحالات، نوصي بتصفية الاستدعاءات للقراءة فقط من مستخدم Defender for Cloud أو دور ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (هذا هو اسم الدور الافتراضي، تأكد من اسم الدور الذي تم تكوينه على حسابك).

6. بشكل افتراضي، يتم تعيين خطة الخوادم إلى تشغيل. هذا ضروري لتوسيع Defender لتغطية الخادم إلى AWS EC2.

   • (اختياري) حدد Configure، لتحرير التكوين كما هو مطلوب.

7. بشكل افتراضي، يتم تعيين خطة الحاويات إلى تشغيل. هذا ضروري لجعل Defender for Containers يحمي مجموعات AWS EKS الخاصة بك. تأكد من استيفاء متطلبات الشبكة لخطة Defender for Containers.

   ملاحظة

   يجب تثبيت Kubernetes الذي يدعم Azure Arc وملحق Defender Arc وملحق Azure Policy Arc. استخدم توصيات Defender for Cloud المخصصة لنشر الملحقات (وArc، إذا لزم الأمر) كما هو موضح في حماية مجموعات Amazon Elastic Kubernetes Service.

   • (اختياري) حدد تكوين، لتحرير التكوين كما هو مطلوب. إذا اخترت تعطيل هذا التكوين، فسيتم تعطيل الميزة Threat detection (control plane) . تعرف على المزيد حول توفر الميزة.

8. حدد التالي: تكوين الوصول.

9. قم بتنزيل قالب CloudFormation.

10. باستخدام قالب CloudFormation الذي تم تنزيله، قم بإنشاء المكدس في AWS كما هو موضح على الشاشة.

11. حدد التالي:مراجعة وإنشاء.

12. حدد "Create".

سيبدأ Defender for Cloud على الفور في مسح موارد AWS الخاصة بك وسترى توصيات الأمان في غضون بضع ساعات. للحصول على قائمة مرجعية بجميع التوصيات التي يمكن أن يوفرها Defender for Cloud لموارد AWS، راجع توصيات الأمان لموارد AWS - دليل مرجعي.

التوفر

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA)
التسعير:	يتطلب Microsoft Defender for Servers الخطة 2
الأدوار والأذونات المطلوبة:	المالك على اشتراك Azure ذي الصلة يمكن للمساهم أيضاً توصيل حساب AWS إذا كان المالك يوفر تفاصيل الخدمة الرئيسية
السحاب:	⁧⁩ السحب التجارية National (Azure Government، Azure China 21Vianet)

توصيل حساب AWS الخاص بك

اتبع الخطوات التالية لإنشاء موصل سحابة AWS الخاص بك.

الخطوة 1 إعداد مركز أمان AWS:

1. لعرض توصيات الأمان لمناطق متعددة، كرر الخطوات التالية لكل منطقة ذات صلة.

   هام

   إذا كنت تستخدم حساب إدارة AWS، كرر الخطوات الثلاث التالية لتكوين حساب الإدارة وجميع حسابات الأعضاء المتصلة عبر جميع المناطق ذات الصلة

   1. تمكين تكوين AWS.
   2. تمكين مركز أمان AWS.
   3. تحقق من تدفق البيانات إلى Security Hub. عند تمكين Security Hub لأول مرة، قد يستغرق توفر البيانات عدة ساعات.

الخطوة 2 إعداد المصادقة لـ Defender for Cloud في AWS

هناك طريقتان للسماح لـ Defender for Cloud بالمصادقة على AWS:

• إنشاء دور IAM لـ Defender for Cloud (موصي به)-الطريقة الأكثر أماناً
• مستخدم AWS ل Defender for Cloud - خيار أقل أماناً في حالة عدم تمكين IAM

إنشاء دور IAM لـ Defender for cloud

1. من وحدة تحكم Amazon Web Services، ضمن Security، Identity & Compliance، حدد IAM.

2. حدد "Roles" و "Create role" .

3. حدد Another AWS accoun.

4. أدخل التفاصيل التالية:

   • Account ID - أدخل معرف حساب Microsoft (158177204117) كما هو موضح في صفحة توصيل AWS في Defender for cloud.
   • يتطلب المعرف الخارجي - يجب تحديده
   • External ID - أدخل معرف الاشتراك ID كما هو موضح في صفحة توصيل AWS في Defender for Cloud

5. حدد "Next".

6. في قسم "Attach permission policies" ، حدد "AWS managed policies":

   • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
   • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
   • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)

7. إضافة علامات بشكل اختياري. لا يؤثر إضافة العلامات إلى المستخدم على الاتصال.

8. حدد التالي.

9. في The Roles، اختر الدور الذي قمت بإنشائه

10. احفظ اسم مورد Amazon (ARN) في وقت لاحق.

إنشاء مستخدم AWS لـ Defender for Cloud

1. افتح علامة التبويب "Users" ، وحدد "Add user" .

2. في خطوة Details، أدخل اسم مستخدم لمركز الأمان وتأكد من تحديد الوصول البرمجي لنوع وصول AWS.

3. حدد "Next Permissions" .

4. حدد "Attach existing policies directly" وطبق السياسات التالية:

   • SecurityAudit
   • AmazonSSMAutomationRole
   • AWSSecurityHubReadOnlyAccess

5. حدد "Next: Tags" . إضافة علامات بشكل اختياري. لا يؤثر إضافة العلامات إلى المستخدم على الاتصال.

6. حدد "Review" .

7. احفظ ملف CSV الذي يحتوي على معرف مفتاح الوصول ومفتاح الوصول السري الذي تم إنشاؤه تلقائياً للاستخدام في وقت لاحق.

8. يرجى مراجعة الملخص وتحديد إنشاء مستخدم.

الخطوة 3 تكوين عامل SSM

مطلوب مدير أنظمة AWS لأتمتة المهام عبر موارد AWS الخاصة بك. إذا لم يكن لدى مثيلات EC2 لديك وكيل SSM، فاتبع الإرشادات ذات الصلة من Amazon:

• تثبيت وتكوين عامل SSM على مثيلات Windows
• تثبيت وتكوين عامل SSM على مثيلات Amazon EC2 Linux

الخطوة 4. أكمل متطلبات Azure Arc الأساسية

1. تأكد من تسجيل موفري موارد Azure الصحيحين:

   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration

2. قم بإنشاء مدير خدمة للتأهيل على نطاق واسع. بصفتك مالك على الاشتراك الذي ترغب في استخدامه للإلحاق، قم بإنشاء أساس لإلحاق Azure Arc كما هو موضح في إنشاء كيان الخدمة للإلحاق على نطاق واسع.

الخطوة 5. الاتصال AWS إلى Defender for Cloud

1. من قائمة Defender for Cloud، افتح إعدادات البيئة وحدد خيار التبديل مرة أخرى إلى تجربة الموصلات التقليدية.

   

2. حدد "Add AWS account" .

3. تكوين الخيارات في علامة التبويب AWS authentication:

   1. أدخل اسم العرض للموصل.
   2. تأكد من صحة الاشتراك. إنه الاشتراك الذي سيتضمن الموصل وتوصيات AWS Security Hub.
   3. وفقاً لخيار المصادقة الذي اخترته في الخطوة 2. إعداد المصادقة Defender for Cloud في AWS:

      • حدد افتراض الدور والصق ARN من إنشاء دور IAM ل Defender for Cloud.

        

        أو

      • حدد Credentials وألصق مفتاح الوصول و المفتاح السري من ملف .csv الذي قمت بحفظه في خطوة إنشاء مستخدم AWS ل Defender for Cloud.

4. حدد "Next".

5. تكوين الخيارات في علامة التبويب Azure Arc Configuration:

   Defender for Cloud يكتشف مثيلات EC2 في حساب AWS المتصل ويستخدم SSM للسماح لهم بالدخول إلى Azure Arc.

   تلميح

   للحصول على قائمة أنظمة التشغيل المدعومة، راجع ما أنظمة التشغيل لمثيلات EC2 المدعومة؟ في الأسئلة الشائعة.

   1. حدد Resource Group و Azure Region اللذين سيتم إلحاق AWS EC2s المكتشف بهما في الاشتراك المحدد.

   2. أدخل المعرف الأساسي للخدمة و سر العامل الأساسي للخدمة لـ Azure Arc كما هو موضح في إنشاء أساس خدمة للإلحاق على نطاق واسع

   3. إذا كان الجهاز متصلاً بالإنترنت من خلال خادم وكيل، فحدد عنوان IP للخادم الوكيل أو الاسم ورقم المنفذ اللذين سيستخدمهما الجهاز للاتصال بالخادم الوكيل. أدخل القيمة في التنسيق http://<proxyURL>:<proxyport>

   4. حدد Review + create.

      مراجعة معلومات الملخص

      ستدرج أقسام العلامات جميع علامات Azure التي سيتم إنشاؤها تلقائيًا لكل EC2 مدمج مع التفاصيل الخاصة به ذات الصلة للتعرف عليها بسهولة في Azure.

      تعرف على المزيد حول علامات Azure في استخدام العلامات لتنظيم موارد Azure والتسلسل الهرمي للإدارة.

الخطوة 6. التأكيد

عند إنشاء الموصل بنجاح، وتكوين مركز أمان AWS بشكل صحيح:

• يقوم Defender for Cloud بتصفح البيئة بحثاً عن مثيلات AWS EC2 ، مما يؤدي إلى إلحاقها بـAzure Arc ، مما يتيح تثبيت وكيل Log Analytics وتوفير الحماية من التهديدات وتوصيات الأمان.
• يقوم Defender for Cloud بتصفح مثيلات AWS EC2 الجديدة كل 6 ساعات ويسحبها وفقاً للتكوين.
• سيتم عرض معيار AWS CIS في لوحة معلومات التوافق التنظيمية الخاصة بـ Defender for Cloud.
• إذا تم تمكين نهج "مركز الأمان"، فستظهر التوصيات في مدخل Defender for Cloud ولوحة معلومات التوافق التنظيمي بعد 5-10 دقائق من اكتمال عملية الإلحاق.

مراقبة موارد AWS

كما ترون في لقطة الشاشة السابقة، تعرض صفحة توصيات الأمان الخاصة ب Defender for Cloud موارد AWS. يمكنك استخدام عامل تصفية البيئات للاستمتاع Defender for Cloud's المتعدد الأغراض: عرض التوصيات لموارد Azure وAWS وGCP معًا.

لعرض جميع التوصيات النشطة لمواردك حسب نوع المورد، استخدم Defender for Cloud's لصفحة مخزون وتصفية نوع مورد AWS الذي تهتم به:

الأسئلة المتداولة - AWS في Defender for Cloud

ما أنظمة التشغيل المدعومة لمثيلات EC2 الخاصة بي؟

للحصول على قائمة ب AMIs مع عامل SSM المثبت مسبقا، راجع هذه الصفحة في مستندات AWS.

بالنسبة لأنظمة التشغيل الأخرى، يجب تثبيت عامل SSM يدويا باستخدام الإرشادات التالية:

• تثبيت عامل SSM لبيئة مختلطة (Windows)
• تثبيت عامل SSM لبيئة مختلطة (Linux)

الخطوات التالية

يعد ربط حساب AWS جزءًا من التجربة المتوفرة في Microsoft Defender for Cloud. للحصول على المزيد من المعلومات ذات الصلة، يرجى الرجوع إلى الصفحة التالية:

• توصيات الأمان لموارد AWS - دليل مرجعي.
• الاتصال مشاريع GCP إلى Microsoft Defender for Cloud