Cómo Defender for Cloud Apps ayuda a proteger su entorno de Amazon Web Services (AWS)
Nota
Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
Amazon Web Services es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas de aprovechar la infraestructura en la nube, los recursos más críticos de la organización pueden estar expuestos a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, puertos y redes privadas virtuales más críticas que permiten el acceso a su organización.
La conexión de AWS a Defender for Cloud Apps le ayuda a proteger sus recursos y a detectar posibles amenazas mediante la supervisión de actividades administrativas e de inicio de sesión, la notificación sobre posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios, eliminaciones inusuales de máquinas virtuales y depósitos de almacenamiento expuestos públicamente.
Principales amenazas
- Abuso de recursos en la nube
- Cuentas en peligro y amenazas internas
- Pérdida de datos
- Configuración incorrecta de recursos y control de acceso insuficiente
Cómo Defender for Cloud Apps ayuda a proteger su entorno
- Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
- Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración
- Manténgase al día con la recomendación de configuración de seguridad más reciente
- Uso de la traza de auditoría de actividades para investigaciones forenses
- Revisión de las recomendaciones de configuración de seguridad
Control de AWS con directivas integradas y plantillas de directiva
Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle posibles amenazas:
| Tipo | Nombre |
|---|---|
| Plantilla de directiva de actividad | Administración errores de inicio de sesión de la consola Cambios en la configuración de CloudTrail Cambios en la configuración de la instancia ec2 Cambios en la directiva de IAM Inicio de sesión desde una dirección IP de riesgo Cambios en la lista de control de acceso de red (ACL) Cambios en la puerta de enlace de red Cambios de configuración de S3 Cambios en la configuración del grupo de seguridad Cambios en la red privada virtual |
| Directiva de detección de anomalías integrada | Actividad desde una dirección IP anónima Actividad desde un país poco frecuente Actividad desde direcciones IP sospechosas Viaje imposible Actividad realizada por el usuario terminado (requiere Azure Active Directory como IdP) Varios intentos incorrectos de inicio de sesión Actividades administrativas poco habituales Actividades inusuales de eliminación de almacenamiento múltiple (versión preliminar) Varias actividades de eliminación de VM Actividades inusuales de creación de varias máquinas virtuales (versión preliminar) Región inusual para el recurso en la nube (versión preliminar) |
| Plantilla de directiva de archivo | El cubo S3 es accesible públicamente |
Para obtener más información sobre la creación de directivas, consulte Creación de una directiva.
Automatización de controles de gobernanza
Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de AWS para corregir las amenazas detectadas:
| Tipo | Acción |
|---|---|
| Regulación de usuario | - Notificar al usuario una alerta (a través de Azure AD) - Requerir que el usuario vuelva a iniciar sesión (a través de Azure AD) - Suspender usuario (a través de Azure AD) |
| Gobernanza de datos | - Creación de un cubo S3 privado - Eliminación de un colaborador para un bucket de S3 |
Para obtener más información sobre cómo corregir las amenazas de las aplicaciones, consulte Gobernanza de las aplicaciones conectadas.
Recomendaciones de seguridad
Defender for Cloud Apps proporciona información general sobre el cumplimiento de la configuración de la plataforma AWS para todas las cuentas de AWS basadas en el banco de pruebas de Center for Internet Security (CIS) para AWS.
Debe revisar continuamente las recomendaciones de seguridad para evaluar y evaluar el estado actual de la posición de seguridad de la plataforma e identificar brechas de configuración importantes. A continuación, debe crear un plan para mitigar los problemas de la plataforma aws.
Para obtener más información, recomendaciones de seguridad de AWS.
Protección de AWS en tiempo real
Revise nuestros procedimientos recomendados para bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.