Defender for Cloud Apps でアマゾンウェブサービス (AWS) 環境を保護する方法

[アーティクル]
12/22/2023

アマゾンウェブサービスは、組織がクラウドでワークロード全体をホストおよび管理できるようにする IaaS プロバイダーです。クラウドでのインフラストラクチャ活用のメリットが得られると同時に、組織の最も重要な資産が脅威にさらされる可能性があります。公開される資産には、機密情報の可能性があるストレージインスタンス、最も重要なアプリケーション、ポート、および組織へのアクセスを可能にする仮想プライベートネットワークの一部を動作させるコンピューティングリソースが含まれます。

AWS を Defender for Cloud Apps に接続すると、管理およびサインインのアクティビティを監視して、ブルートフォース攻撃の可能性、特権ユーザーのアカウントの不正使用、VM の異常な削除、公開されたストレージバケットについて通知することで、ご利用の資産をセキュリティで保護し、潜在的な脅威を検出することができます。

主な脅威

クラウドリソースの悪用
侵害されたアカウントと内部関係者による脅威
データ漏えい
リソースの構成ミスと不十分なアクセス制御

環境を保護する場合の Defender for Cloud Apps の利点

組み込みのポリシーとポリシーテンプレートで AWS を制御する

次の組み込みのポリシーテンプレートを使用すると、潜在的な脅威を検出して通知することができます。

Type	名前
アクティビティポリシーテンプレート	管理コンソールのサインイン失敗 CloudTrail の構成変更 EC2 インスタンスの構成変更 IAM ポリシーの変更 Logon from a risky IP address (危険な IP アドレスからのログオン) ネットワークアクセス制御リスト (ACL) の変更ネットワークゲートウェイの変更 S3 構成の変更点セキュリティグループの構成変更仮想プライベートネットワークの変更
組み込みの異常検出ポリシー	匿名 IP アドレスからのアクティビティ頻度の低い国からのアクティビティ不審な IP アドレスからのアクティビティあり得ない移動終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要) 複数回失敗したログイン試行異常な管理アクティビティ通常とは異なる複数のストレージ削除アクティビティ (プレビュー) 複数の VM 削除アクティビティ通常とは異なる複数の VM 作成アクティビティ (プレビュー) クラウドリソースの通常でないリージョン (プレビュー)
ファイルポリシーテンプレート	S3 バケットはパブリックにアクセス可能

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威を監視することに加えて、以下の AWS ガバナンスアクションを適用および自動化して、検出された脅威を修復することができます。

Type	アクション
ユーザーガバナンス	- アラートをユーザーに通知する (Microsoft Entra ID 経由) - ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由) - ユーザーを一時停止する (Microsoft Entra ID 経由)
データガバナンス	- S3 バケットをプライベートにする - S3 バケットのコラボレーターを削除する

アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。

AWS をリアルタイムで保護する

アンマネージドデバイスまたはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するためのベストプラクティスを確認します。

アマゾンウェブサービスを Microsoft Defender for Cloud Apps に接続する

このセクションでは、コネクタ API を使用して既存のアマゾンウェブサービス (AWS) アカウントを Microsoft Defender for Cloud Apps に接続する手順について説明します。 Defender for Cloud Apps で AWS を保護する方法の詳細については、「AWS の保護」を参照してください。

AWS セキュリティ監査を Defender for Cloud Apps 接続に接続して、AWS アプリの使用状況を可視化および制御できます。

ステップ 1: アマゾンウェブサービスの監査を構成する

アマゾンウェブサービスコンソールの [セキュリティ、ID、およびコンプライアンス] で、[IAM] を選択します。
ユーザー を選択し、ユーザーの追加 を選択します。
[詳細] の手順で、Defender for Cloud Apps の新しいユーザー名を指定します。 [アクセスの種類] で、[プログラムによるアクセス] を選択していることを確認し、[次のステップ: アクセス許可] を選択します。
既存のポリシーを直接アタッチを選択し、ポリシーを作成を選択します。
[JSON] タブを選択します。

与えられた領域に次のスクリプトを貼り付けます。

{
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

次へ: タグ を選択します。
次へ: レビューを選択します。
名前を入力し、ポリシーの作成を選択します。
ユーザーの追加画面に戻り、必要に応じてリストを更新し、作成したユーザーを選択して、次へ: タグを選択します。
次へ: レビューを選択します。
すべての詳細が正しい場合は、ユーザーの作成を選択します。
成功メッセージが表示されたら、 csv をダウンロード を選択して、新しいユーザーの資格情報のコピーを保存します。これらは後で必要になります。

Note

AWS を接続すると、接続までの 7 日間のイベントを受け取ります。 CloudTrail を有効にしたばかりの場合は、CloudTrail を有効にした時点からのイベントを受信します。

手順 2: アマゾンウェブサービス監査を Defender for Cloud Apps に接続する

Microsoft Defender ポータルで、[設定] を選択します。次に、[クラウドアプリ] を選択します。 [接続アプリ] で、[アプリコネクタ] を選択します。
[アプリコネクタ] ページで、次のいずれかの操作を行って AWS コネクタの資格情報を指定します。

新しいコネクタの場合
1. [+アプリを接続]、[アマゾンウェブサービス] の順に選択します。
2. 次のウィンドウで、コネクタの名前を指定し、[次へ] を選択します。
3. [アマゾンウェブサービスの接続] ページで、[セキュリティ監査] を選択し、[次へ] を選択します。
4. [セキュリティ監査] ページで、.csv ファイルから [アクセスキー] と [秘密鍵] を関連するフィールドに貼り付け、[次へ] を選択します。
既存のコネクタの場合
1. コネクタの一覧の AWS コネクタが表示される行で、[設定の編集] を選択します。
2. [インスタンス名] ページと [アマゾンウェブサービスの接続] ページで、[次へ] を選択します。 [セキュリティ監査] ページで、.csv ファイルから [アクセスキー] と [秘密鍵] を関連するフィールドに貼り付け、[次へ] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。次に、[クラウドアプリ] を選択します。 [接続アプリ] で、[アプリコネクタ] を選択します。接続されているアプリコネクタの状態が [接続済み] になっていることを確認します。