Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt

  • Artikel

Amazon Web Services is een IaaS-provider waarmee uw organisatie de volledige workloads in de cloud kan hosten en beheren. Naast de voordelen van het gebruik van infrastructuur in de cloud, kunnen de belangrijkste assets van uw organisatie worden blootgesteld aan bedreigingen. Blootgestelde assets omvatten opslagexemplaren met mogelijk gevoelige informatie, rekenresources die enkele van uw meest kritieke toepassingen, poorten en virtuele particuliere netwerken gebruiken die toegang tot uw organisatie mogelijk maken.

Verbinding maken AWS te Defender voor Cloud Apps helpt u bij het beveiligen van uw assets en het detecteren van mogelijke bedreigingen door beheer- en aanmeldingsactiviteiten te controleren, op de hoogte te stellen van mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegd gebruikersaccount, ongebruikelijke verwijderingen van VM's en openbaar blootgestelde opslagbuckets.

Belangrijkste bedreigingen

  • Misbruik van cloudresources
  • Gecompromitteerde accounts en bedreigingen van insiders
  • Gegevenslekken
  • Onjuiste configuratie van resources en onvoldoende toegangsbeheer

Hoe Defender voor Cloud Apps uw omgeving helpt beschermen

AWS beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om u te detecteren en op de hoogte te stellen van mogelijke bedreigingen:

Type Naam
Sjabloon voor activiteitenbeleid aanmeldingsfouten Beheer console
CloudTrail-configuratiewijzigingen
Configuratiewijzigingen voor EC2-exemplaren
Wijzigingen in IAM-beleid
Aanmelding vanaf een riskant IP-adres
Wijzigingen in de lijst met netwerktoegangsbeheer (ACL's)
Wijzigingen in de netwerkgateway
Activiteit van S3-bucket
Configuratiewijzigingen van beveiligingsgroepen
Wijzigingen in virtueel particulier netwerk
Ingebouwd beleid voor anomaliedetectie Activiteit van anonieme IP-adressen
Activiteit van onregelmatig land
Activiteit van verdachte IP-adressen
Onmogelijke reis
Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP)
Meerdere mislukte aanmeldingspogingen
Ongebruikelijke administratieve activiteiten
Ongebruikelijke activiteiten voor meerdere opslagverwijderingen (preview)
Meerdere VM-activiteiten verwijderen
Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview)
Ongebruikelijke regio voor cloudresource (preview)
Sjabloon voor bestandsbeleid S3-bucket is openbaar toegankelijk

Zie Een beleid maken voor meer informatie over het maken van beleid.

Besturingselementen voor governance automatiseren

Naast het bewaken van mogelijke bedreigingen, kunt u de volgende AWS-beheeracties toepassen en automatiseren om gedetecteerde bedreigingen te verhelpen:

Type Actie
Gebruikersbeheer - Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra-id)
- Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID)
- Gebruiker onderbreken (via Microsoft Entra-id)
Gegevens-governance - Een S3-bucket privé maken
- Een samenwerker voor een S3-bucket verwijderen

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

AWS in realtime beveiligen

Bekijk onze aanbevolen procedures voor het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

Verbinding maken Amazon Web Services om apps te Microsoft Defender voor Cloud

In deze sectie vindt u instructies voor het verbinden van uw bestaande AWS-account (Amazon Web Services) met Microsoft Defender voor Cloud Apps met behulp van de connector-API's. Zie AWS beveiligen voor meer informatie over hoe Defender voor Cloud Apps AWS beveiligt.

U kunt AWS Security Auditing verbinden met Defender voor Cloud Apps-verbindingen om inzicht te krijgen in en controle te krijgen over het gebruik van AWS-apps.

Stap 1: Amazon Web Services-controle configureren

  1. Selecteer IAM in uw Amazon Web Services-console onder Beveiliging, Identiteit en naleving.

    AWS-identiteit en -toegang.

  2. Selecteer Gebruikers en selecteer vervolgens Gebruiker toevoegen.

    AWS-gebruikers.

  3. Geef in de stap Details een nieuwe gebruikersnaam op voor Defender voor Cloud Apps. Zorg ervoor dat u onder Access-type programmatische toegang selecteert en volgende machtigingen selecteert.

    Maak een gebruiker in AWS.

  4. Selecteer Bestaande beleidsregels rechtstreeks bijvoegen en vervolgens Beleid maken.

    Bestaande beleidsregels koppelen.

  5. Selecteer het JSON-tabblad:

    TABBLAD AWS JSON.

  6. Plak het volgende script in het opgegeven gebied:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selecteer Volgende: Tags

    AWS-code.

  8. Selecteer Volgende: Controleren.

    Tags toevoegen (optioneel).

  9. Geef een naam op en selecteer Beleid maken.

    Geef de naam van het AWS-beleid op.

  10. In het scherm Gebruiker toevoegen vernieuwt u indien nodig de lijst en selecteert u de gebruiker die u hebt gemaakt en selecteert u Volgende: Tags.

    Bestaand beleid koppelen in AWS.

  11. Selecteer Volgende: Controleren.

  12. Als alle details juist zijn, selecteert u Gebruiker maken.

    Gebruikersmachtigingen in AWS.

  13. Wanneer u het bericht met succes krijgt, selecteert u Downloaden .csv om een kopie van de referenties van de nieuwe gebruiker op te slaan. U hebt deze later nodig.

    Csv downloaden in AWS.

    Notitie

    Nadat u verbinding hebt gemaakt met AWS, ontvangt u gebeurtenissen gedurende zeven dagen voorafgaand aan de verbinding. Als u CloudTrail zojuist hebt ingeschakeld, ontvangt u gebeurtenissen vanaf het moment dat u CloudTrail hebt ingeschakeld.

Stap 2: controle van Amazon Web Services Verbinding maken om apps te Defender voor Cloud

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps.

  2. Voer op de pagina App-connector s de referenties van de AWS-connector op een van de volgende manieren uit:

    Voor een nieuwe connector

    1. Selecteer de +Verbinding maken een app, gevolgd door Amazon Web Services.

      verbinding maken met AWS-controle.

    2. Geef in het volgende venster een naam op voor de connector en selecteer vervolgens Volgende.

      Naam van AWS-controleconnector.

    3. Selecteer op de pagina Verbinding maken Amazon Web Services de optie Beveiliging controleren en selecteer vervolgens Volgende.

    4. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      Verbinding maken AWS-app-beveiligingscontrole voor nieuwe connector.

    Voor een bestaande connector

    1. Selecteer instellingen bewerken in de lijst met connectors in de rij waarin de AWS-connector wordt weergegeven.

      Schermopname van de pagina Verbinding maken apps, met de koppeling Beveiliging controleren bewerken.

    2. Selecteer Volgende op de pagina's exemplaarnaam en Verbinding maken Amazon Web Services. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      Verbinding maken AWS-app-beveiligingscontrole voor bestaande connector.

  3. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps. Zorg ervoor dat de status van de verbonden app-Verbinding maken or is Verbinding maken.

Volgende stappen

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.