Verbinding maken AWS-accounts koppelen aan Microsoft Defender for Cloud

  • Artikel
  • 10 minuten om te lezen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.

Microsoft Defender for Cloud beschermt workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).

Als u uw op AWS gebaseerde resources wilt beveiligen, kunt u een account verbinden met een van de volgende twee mechanismen:

  • Ervaring met klassieke cloudconnectoren: als onderdeel van het eerste aanbod voor meerdere cloudconnectoren hebben we deze cloudconnectoren geïntroduceerd als een manier om verbinding te maken met uw AWS- en GCP-accounts. Als u al een AWS-connector hebt geconfigureerd via de klassieke ervaring voor cloudconnectoren, raden we u aan het account opnieuw te verbinden met behulp van het nieuwere mechanisme. Wanneer u uw account hebt toegevoegd via de pagina met omgevingsinstellingen, verwijdert u de oude connector om dubbele aanbevelingen te voorkomen.

  • Pagina omgevingsinstellingen (in preview) (aanbevolen) - Deze preview-pagina biedt een aanzienlijk verbeterde, eenvoudigere onboarding-ervaring (inclusief automatische inrichting). Dit mechanisme breidt ook de verbeterde beveiligingsfuncties van Defender for Cloud uit naar uw AWS-resources.

    • De CSPM-functies van Defender for Cloud zijn uitgebreid naar uw AWS-resources. Met dit plan zonder agent worden uw AWS-resources beoordeeld op basis van AWS-specifieke beveiligingsaanbevelingen en deze zijn opgenomen in uw beveiligingsscore. De resources worden ook beoordeeld op naleving van ingebouwde standaarden die specifiek zijn voor AWS (AWS CIS, AWS PCI DSS en AWS Foundational Security Best Practices). De assetinventarisatiepagina van Defender for Cloud is een functie voor meerdere cloudservices waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.
    • Microsoft Defender for Containers breidt de detectie van bedreigingen voor containers en geavanceerde verdedigingslinieën van Defender for Kubernetes uit naar uw Amazon EKS-clusters.
    • Microsoft Defender voor servers brengt bedreigingsdetectie en geavanceerde verdedigingslinie naar uw Windows en Linux EC2-instanties. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor eindpunten, beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen van evaluatie van beveiligingsleed, adaptieve toepassingsbesturingselementen (AAC), bewaking van bestandsintegriteit (FIM) en meer.

In deze schermopname ziet u AWS-accounts die worden weergegeven in het overzichtsdashboard vanDefender for Cloud.

Vier AWS-projecten die worden vermeld op het overzichtsdashboard van Defender for Cloud

Beschikbaarheid

Aspect Details
Releasestatus: Voorbeeld.
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Prijzen: Het CSPM-abonnement is gratis.
Het Defender for Containers-abonnement is gratis tijdens de preview. Daarna wordt deze gefactureerd tegen dezelfde prijs als het Defender for Kubernetes-plan voor Azure-resources.
Voor elke AWS-machine die is verbonden met Azure met Azure Arc-servers, wordt het Defender voor servers-abonnement gefactureerd tegen dezelfde prijs als het Microsoft Defender voor servers-plan voor Azure-machines. Als een AWS EC2 de Azure Arc heeft geïmplementeerd, worden er geen kosten in rekening gebracht voor die computer.
Vereiste rollen en machtigingen: Eigenaar: voor het relevante Azure-abonnement
Inzender kan ook verbinding maken met een AWS-account als een eigenaar de details van de service-principal levert (vereist voor het Defender voor servers-abonnement)
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Vereisten

  • Als u een AWS-account wilt verbinden met uw Azure-abonnement, hebt u natuurlijk toegang nodig tot een AWS-account.

  • Als u het Defender for Kubernetes-abonnement wilt inschakelen, hebt u het volgende nodig:

    • Ten minste één Amazon EKS-cluster met toegangsrechten tot de EKS K8s API-server. Als u een nieuw EKS-cluster wilt maken, volgt u de instructies in Aan de slag met Amazon EKS – eksctl.
    • De resourcecapaciteit voor het maken van een nieuwe SQS-wachtrij, Kinesis Fire Delivery-leveringsstroom en S3-bucket in de regio van het cluster.

  • Als u het Defender voor servers-abonnement wilt inschakelen, hebt u het volgende nodig:

Verbinding maken met uw AWS-account

Volg de onderstaande stappen om uw AWS-cloudconnector te maken.

  1. Open omgevingsinstellingen in het menu van Defender for Cloud.

  2. Selecteer Omgeving toevoegen > Amazon Web Services.

    Een AWS-account verbinden met een Azure-abonnement.

  3. Voer de details van het AWS-account in, inclusief de locatie waar u de connectorresource wilt opslaan, en selecteer Volgende: Abonnementen selecteren.

    Stap 1 van de wizard AWS-account toevoegen: voer de accountgegevens in.

  4. Op het tabblad Abonnementen selecteren kiest u welke Defender for Cloud-mogelijkheden u wilt inschakelen voor dit AWS-account.

    Notitie

    Elke mogelijkheid heeft zijn eigen vereisten voor machtigingen en kan kosten met zich mee brengen.

    Op het tabblad Abonnementen selecteren kiest u welke Defender for Cloud-mogelijkheden u wilt inschakelen voor dit AWS-account.

    Belangrijk

    Om de huidige status van uw aanbevelingen te presenteren, vraagt het CSPM-plan meerdere keren per dag een query uit op de AWS-resource-API's. Voor deze alleen-lezen API-aanroepen worden geen kosten in rekening gebracht, maar ze worden geregistreerd in CloudTrail als u een trail voor leesgebeurtenissen hebt ingeschakeld. Zoals uitgelegd in de AWS-documentatie, worden er geen extra kosten in rekening gebracht voor het bijhouden van één traject. Als u de gegevens uit AWS exporteert (bijvoorbeeld naar een externe SIEM), kan dit toegenomen aantal aanroepen ook de opnamekosten verhogen. In dergelijke gevallen raden we u aan de alleen-lezenaanroepen van de Defender for Cloud-gebruiker of -rol ARN te filteren: arn:aws:iam::[accountId]:role/CspmMonitorAws (dit is de standaardrolnaam, bevestig de rolnaam die is geconfigureerd voor uw account).

    • Als u de dekking van Defender for Servers wilt uitbreiden naar uw AWS EC2, stelt u het Servers-plan in op Aan en bewerkt u de configuratie indien nodig.

    • Voor Defender for Kubernetes om uw AWS EKS-clusters te beveiligen, moeten kubernetes met Azure Arc en de Defender-extensie zijn geïnstalleerd. Stel het Containers-plan in op Aan en gebruik de speciale aanbeveling van Defender for Cloud om de extensie te implementeren (en Arc, indien nodig), zoals uitgelegd in Amazon Elastic Kubernetes Service-clusters beveiligen.

  5. Voltooi de installatie:

    1. Selecteer Volgende: Toegang configureren.
    2. Download de CloudFormation-sjabloon.
    3. Maak met behulp van de gedownloade CloudFormation-sjabloon de stack in AWS volgens de instructies op het scherm.
    4. Selecteer Volgende: Controleren en genereren.
    5. Selecteer Maken.

Defender for Cloud begint onmiddellijk met het scannen van uw AWS-resources en u ziet binnen een paar uur beveiligingsaanbevelingen.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender voor servers
Vereiste rollen en machtigingen: Eigenaar: voor het relevante Azure-abonnement
Inzender: kan ook verbinding maken met een AWS-account, indien een eigenaar de details van de service-principal levert
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Verbinding maken met uw AWS-account

Volg de onderstaande stappen om uw AWS-cloudconnector te maken.

Stap 1. AWS Security Hub instellen:

  1. Als u beveiligingsaanbevelingen voor meerdere regio's wilt weergeven, herhaalt u de volgende stappen voor elke relevante regio.

    Belangrijk

    Als u een AWS-beheeraccount gebruikt, herhaalt u de volgende drie stappen om het beheeraccount en alle verbonden lidaccounts in alle relevante regio's te configureren

    1. Schakel AWS Config in.
    2. Schakel AWS Security Hub in.
    3. Controleer of de gegevens naar de Security Hub stromen. Wanneer u Security Hub voor het eerst inschakelt, kan het enkele uren duren voordat er gegevens beschikbaar zijn.

Stap 2. Verificatie instellen voor Defender for Cloud in AWS

Er zijn twee manieren om Defender for Cloud toe te staan om te verifiëren bij AWS:

  • Een IAM-rol maken voor Defender for Cloud (aanbevolen) - De veiligste methode
  • AWS-gebruiker voor Defender for Cloud: een minder veilige optie als IAM niet is ingeschakeld

Een IAM-rol maken voor Defender for Cloud

  1. Ga in uw Amazon Web Services-console naar Beveiliging, identiteit en naleving en selecteer IAM. AWS-services.

  2. Selecteer Rollen en Rol maken.

  3. Selecteer Een ander AWS-account.

  4. Voer de volgende details in:

    • Account-id: voer de Microsoft-account-id (158177204117) in, zoals wordt weergegeven op de pagina AWS-connector in Defender for Cloud.
    • Externe is vereisen moet geselecteerd zijn
    • Externe id: voer de abonnements-id in zoals wordt weergegeven op de pagina AWS-connector in Defender for Cloud

  5. Selecteer Next.

  6. Selecteer in de sectie Machtigingsbeleid koppelen de volgende beheerde AWS-beleidsregels:

    • SecurityAudit ( arn:aws:iam::aws:policy/SecurityAudit )
    • AmazonSSMAutomationRole ( arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole )
    • AWSSecurityHubReadOnlyAccess ( arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess )

  7. Voeg eventueel tags toe. Het toevoegen van labels aan de gebruiker heeft geen invloed op de verbinding.

  8. Selecteer Next.

  9. Kies in de lijst met rollen de rol die u hebt gemaakt

  10. Sla de naam van de Amazon-resource (ARN) op voor later.

Een AWS-gebruiker maken voor Defender for Cloud

  1. Open het tabblad Gebruikers en selecteer Gebruiker toevoegen.

  2. Voer in de stap Details een gebruikersnaam in voor Defender for Cloud en zorg ervoor dat u Programmatische toegang selecteert voor het AWS-toegangstype.

  3. Selecteer Next Permissions.

  4. Selecteer Bestaande beleidsregels rechtstreeks toevoegen en pas de volgende beleidsregels toe:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess

  5. Selecteer Volgende: Tags. Voeg eventueel tags toe. Het toevoegen van labels aan de gebruiker heeft geen invloed op de verbinding.

  6. Selecteer Beoordelen.

  7. Sla de automatisch gegenereerde CSV-bestanden met de Toegangssleutel-id en Geheime toegangssleutel op voor later.

  8. Controleer de samenvatting en selecteer Gebruiker maken.

Stap 3. De SSM-agent configureren

AWS Systems Manager is vereist voor het automatiseren van taken in uw AWS-resources. Als uw EC2-instanties niet beschikken over de SSM-agent, volgt u de relevante instructies van Amazon:

Stap 4. Azure Arc-vereisten voltooien

  1. Zorg ervoor dat de juiste Azure-resourceproviders zijn geregistreerd:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration

  2. Een service-principal voor onboarding op schaal. Als Eigenaar van het abonnement dat u wilt gebruiken voor de onboarding maakt u een service-principal voor Azure Arc-onboarding zoals beschreven in Een service-principal maken voor onboarding op schaal.

Stap 5. Verbinding maken AWS naar Defender for Cloud

  1. Open omgevingsinstellingen in het menu van Defender for Cloud en selecteer de optie om terug te keren naar de klassieke connectorervaring.

    Schakel terug naar de klassieke ervaring voor cloudconnectoren in Defender for Cloud.

  2. Selecteer AWS-account toevoegen. Knop AWS-account toevoegen op de pagina Met meerdere cloudconnectoren van Defender for Cloud

  3. Configureer de opties op het tabblad AWS-verificatie:

    1. Voer een Weergavenaam in voor de connector.
    2. Bevestig dat het abonnement het juiste is. Het is het abonnement dat de connector en aanbevelingen voor AWS Security Hub bevat.
    3. Afhankelijk van de verificatieoptie hebt u gekozen in stap 2. Verificatie instellen voor Defender for Cloud in AWS:

  4. Selecteer Next.

  5. Configureer de opties op het tabblad Azure Arc-configuratie:

    Defender for Cloud detecteert de EC2-exemplaren in het verbonden AWS-account en gebruikt SSM om onboarding uit te Azure Arc.

    Tip

    Voor de lijst ondersteunde besturingssystemen, raadpleegt u Welke besturingssystemen worden ondersteund voor mijn EC2-instanties? in de veelgestelde vragen.

    1. Selecteer de Resourcegroep en Azure-regio voor de onboarding van de gedetecteerde AWS EC2's in het geselecteerde abonnement.

    2. Voer de Service-principal-id en het Service-principal-clientgeheim voor Azure Arc in, zoals hier wordt beschreven Een service-principal maken voor onboarding op schaal

    3. Als de machine verbinding maakt met het internet via een proxyserver, geeft u het IP-adres van de proxyserver op of de naam en het poortnummer die de machine zal gebruiken om met de proxyserver te communiceren. Voer de waarde in de indeling http://<proxyURL>:<proxyport> in.

    4. Selecteer Controleren + maken.

      Lees de overzichtsinformatie

      In de secties Tags worden alle Azure-tags vermeld die automatisch worden gemaakt voor elke EC2 met de eigen relevante gegevens, zodat deze eenvoudig kunnen worden herkend in Azure.

      U vindt meer informatie over Azure-tags via Tags gebruiken om uw Azure-resources en beheerhiërarchie te organiseren.

Stap 6. Bevestiging

Wanneer de connector is gemaakt en AWS Security Hub correct is geconfigureerd:

  • Defender for Cloud scant de omgeving op AWS EC2-exemplaren en onboardt deze naar Azure Arc, waardoor de Log Analytics-agent kan worden geïnstalleerd en aanbevelingen voor beveiliging tegen bedreigingen en beveiliging kunnen worden gedaan.
  • De Defender for Cloud-service scant elke 6 uur op nieuwe AWS EC2-exemplaren en onboardt deze volgens de configuratie.
  • De AWS CIS-standaard wordt weergegeven in het dashboard voor naleving van regelgeving van Defender for Cloud.
  • Als Security Hub-beleid is ingeschakeld, worden aanbevelingen 5-10 minuten nadat de onboarding is voltooid, weergegeven in de Defender for Cloud-portal en in het dashboard voor naleving van regelgeving.

AWS-resources en -aanbevelingen op de pagina met aanbevelingen van Defender for Cloud

Uw AWS-resources bewaken

Zoals u in de vorige schermopname kunt zien, worden uw AWS-resources weergegeven op de pagina met beveiligingsaanbevelingen van Defender for Cloud. U kunt het omgevingsfilter gebruiken om te profiteren van de mogelijkheden van Defender for Cloud voor meerdere cloudomgevingen: bekijk de aanbevelingen voor Azure-, AWS- en GCP-resources samen.

Als u alle actieve aanbevelingen voor uw resources per resourcetype wilt weergeven, gebruikt u de pagina assetinventarisatie van Defender for Cloud en filtert u op het AWS-resourcetype waarin u geïnteresseerd bent:

Het filter voor resourcetypen van de pagina Assetvoorraad met de opties voor AWS

Veelgestelde vragen - AWS in Defender for Cloud

Welke besturingssystemen voor mijn EC2-instanties worden ondersteund?

Ondersteunde besturingssystemen voor automatische onboarding naar Azure Arc voor AWS-machines

  • Ubuntu 16.04 - SSM-agent is standaard vooraf geïnstalleerd
  • Ubuntu 18.04 - SSM-agent is standaard vooraf geïnstalleerd
  • Windows Server - SSM-agent is standaard vooraf geïnstalleerd
  • CentOS Linux 7 – SSM moet handmatig worden geïnstalleerd of apart worden gehouden bij het onboarden
  • SUSE Linux Enterprise Server (SLES) 15 (x64) - SSM moet handmatig worden geïnstalleerd of apart worden onboarding
  • Red Hat Enterprise Linux (RHEL) 7 (x64) - SSM moet handmatig worden geïnstalleerd of apart worden gehouden bij het onboarden

Volgende stappen

Het verbinden van uw AWS-account maakt deel uit van de multicloudervaring die beschikbaar is in Microsoft Defender for Cloud. Zie de volgende pagina voor gerelateerde informatie: