W tym przewodniku pokazano, jak Microsoft Defender dla Chmury Apps i Microsoft Sentinel mogą pomóc w zabezpieczaniu i ochronie dostępu do kont i środowisk usług Amazon Web Services (AWS).
Organizacje platformy AWS korzystające z identyfikatora Microsoft Entra ID na potrzeby tożsamości platformy Microsoft 365 lub tożsamości chmury hybrydowej i ochrony dostępu mogą szybko i łatwo wdrażać identyfikator Entra firmy Microsoft dla kont platformy AWS, często bez dodatkowych kosztów.
Architektura
Na tym diagramie podsumowano, w jaki sposób instalacje platformy AWS mogą korzystać z kluczowych składników zabezpieczeń firmy Microsoft:
Pobierz plik programu PowerPoint tej architektury.
Workflow
Microsoft Entra ID zapewnia scentralizowane logowanie jednokrotne (SSO) i silne uwierzytelnianie za pośrednictwem uwierzytelniania wieloskładnikowego i funkcji dostępu warunkowego. Identyfikator Entra firmy Microsoft obsługuje tożsamości oparte na rolach platformy AWS i autoryzację dostępu do zasobów platformy AWS. Aby uzyskać więcej informacji i szczegółowe instrukcje, zobacz Microsoft Entra identity and access management for AWS (Zarządzanie tożsamościami i dostępem firmy Microsoft dla platformy AWS). Zarządzanie uprawnieniami Microsoft Entra to produkt do zarządzania upoważnieniami do infrastruktury w chmurze (CIEM), który zapewnia kompleksową widoczność i kontrolę nad uprawnieniami dla dowolnej tożsamości lub zasobu platformy AWS. Za pomocą Zarządzanie uprawnieniami Microsoft Entra można wykonywać następujące czynności:
- Uzyskaj wielowymiarowy widok ryzyka, oceniając tożsamości, uprawnienia i zasoby.
- Automatyzacja wymuszania zasad najniższych uprawnień w całej infrastrukturze wielochmurowej.
- Użyj wykrywania anomalii i odstających, aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niewłaściwym użyciem i złośliwym wykorzystaniem uprawnień.
Aby uzyskać więcej informacji i szczegółowe instrukcje dołączania, zobacz Dołączanie konta usług Amazon Web Services (AWS).
aplikacje Defender dla Chmury:
- Integruje się z funkcją dostępu warunkowego firmy Microsoft Entra, aby wymusić dodatkowe ograniczenia.
- Pomaga monitorować i chronić sesje po zalogowaniu.
- Używa analizy zachowań użytkowników (UBA) i innych interfejsów API platformy AWS do monitorowania sesji i użytkowników oraz do obsługi ochrony informacji.
Microsoft Defender dla Chmury wyświetla zalecenia dotyczące zabezpieczeń platformy AWS w portalu Defender dla Chmury wraz z zaleceniami dotyczącymi platformy Azure. Defender dla Chmury oferuje ponad 160 wbudowanych zaleceń dotyczących infrastruktury jako usługi (IaaS) i usług typu platforma jako usługa (PaaS). Zapewnia również obsługę standardów regulacyjnych, w tym standardów Center for Internet Security (CIS) i payment card industry (PCI) oraz standardu AWS Foundational Security Best Practices. Defender dla Chmury zapewnia również ochronę obciążeń w chmurze (CWP) dla Klastry Amazon EKS, wystąpienia usługi AWS EC2 i serwery SQL działające na platformie AWS EC2.
Usługa Microsoft Sentinel integruje się z usługami Defender dla Chmury Apps i AWS w celu wykrywania i automatycznego reagowania na zagrożenia. Usługa Microsoft Sentinel monitoruje środowisko AWS pod kątem błędnej konfiguracji, potencjalnego złośliwego oprogramowania i zaawansowanych zagrożeń dla tożsamości, urządzeń, aplikacji i danych platformy AWS.
Elementy
- aplikacje Microsoft Defender dla Chmury
- Microsoft Defender dla Chmury
- Microsoft Sentinel
- Microsoft Entra ID
Defender dla Chmury Apps na potrzeby widoczności i kontroli
Gdy kilku użytkowników lub ról wprowadza zmiany administracyjne, konsekwencją może być odchylenie konfiguracji od zamierzonej architektury i standardów zabezpieczeń. Standardy zabezpieczeń mogą również ulec zmianie w czasie. Personel ds. zabezpieczeń musi stale i spójnie wykrywać nowe zagrożenia, oceniać opcje ograniczania ryzyka i aktualizować architekturę zabezpieczeń, aby zapobiec potencjalnym naruszeniom. Zarządzanie zabezpieczeniami w wielu środowiskach chmury publicznej i prywatnej infrastruktury może stać się uciążliwe.
Defender dla Chmury Apps to platforma brokera zabezpieczeń dostępu do chmury (CASB) z funkcjami zarządzania stanem zabezpieczeń w chmurze (CSPM). Defender dla Chmury Aplikacje mogą łączyć się z wieloma usługami i aplikacjami w chmurze, aby zbierać dzienniki zabezpieczeń, monitorować zachowanie użytkowników i nakładać ograniczenia, które same platformy mogą nie oferować.
Defender dla Chmury Apps oferuje kilka możliwości, które można zintegrować z usługą AWS w celu uzyskania natychmiastowych korzyści:
- Łącznik aplikacji Defender dla Chmury Apps używa kilku interfejsów API platformy AWS, w tym UBA, do wyszukiwania problemów z konfiguracją i zagrożeń na platformie AWS.
- Mechanizmy kontroli dostępu platformy AWS mogą wymuszać ograniczenia logowania oparte na aplikacji, urządzeniu, adresie IP, lokalizacji, zarejestrowanej dostawcy tożsamości i określonych atrybutach użytkownika.
- Kontrolki sesji dla platformy AWS blokują potencjalne przekazywanie lub pobieranie złośliwego oprogramowania na podstawie analizy zagrożeń w usłudze Microsoft Defender lub inspekcji zawartości w czasie rzeczywistym.
- Kontrolki sesji mogą również używać inspekcji zawartości w czasie rzeczywistym i wykrywania poufnych danych, aby narzucić reguły zapobiegania utracie danych (DLP), które uniemożliwiają wycinanie, kopiowanie, wklejanie lub drukowanie.
Defender dla Chmury Apps jest dostępna autonomicznie lub w ramach pakietu Microsoft Enterprise Mobility + Security E5, w tym Microsoft Entra ID P2. Aby uzyskać informacje o cenach i licencjonowaniu, zobacz Opcje cennika pakietu Enterprise Mobility + Security.
Defender dla Chmury dla platform CSPM i CWP (CWPP)
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności. Defender dla Chmury pomaga chronić obciążenia na platformie Azure, w usługach AWS i Google Cloud Platform (GCP).
Defender dla Chmury zapewnia bez agenta połączenie z kontem platformy AWS. Defender dla Chmury oferuje również plany zabezpieczenia zasobów platformy AWS:
- Na stronie przeglądu Defender dla Chmury są wyświetlane metryki, alerty i szczegółowe informacje CSPM. Defender dla Chmury ocenia zasoby platformy AWS zgodnie z Zalecenia dotyczące zabezpieczeń specyficzne dla platformy AWS i obejmują stan zabezpieczeń do wskaźnika bezpieczeństwa. Spis zasobów udostępnia jedno miejsce do wyświetlania wszystkich chronionych zasobów platformy AWS. Pulpit nawigacyjny zgodności z przepisami odzwierciedla stan zgodności z wbudowanymi standardami specyficznymi dla platformy AWS. Przykłady obejmują standardy CIS platformy AWS, standardy zabezpieczeń danych PCI (PCI-DSS) i standard najlepszych rozwiązań w zakresie zabezpieczeń platformy AWS Foundational.
- Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę do obsługiwanych wystąpień systemu Windows i Linux EC2.
- Usługa Microsoft Defender for Containers zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia do obsługiwanych klastrów Amazon EKS.
- Usługa Microsoft Defender for SQL umożliwia wykrywanie zagrożeń i zaawansowaną ochronę serwerów SQL, które działają na platformach AWS EC2 i AWS RDS Custom for SQL Server.
Usługa Microsoft Sentinel do zaawansowanego wykrywania zagrożeń
Zagrożenia mogą pochodzić z szerokiej gamy urządzeń, aplikacji, lokalizacji i typów użytkowników. DLP wymaga inspekcji zawartości podczas przekazywania lub pobierania, ponieważ przegląd pośmiertny może być za późno. Platforma AWS nie ma natywnych możliwości zarządzania urządzeniami i aplikacjami, dostępu warunkowego opartego na ryzyku, mechanizmów kontroli opartych na sesji ani wbudowanej UBA.
Ważne jest, aby rozwiązania zabezpieczeń zmniejszały złożoność i zapewniały kompleksową ochronę niezależnie od tego, czy zasoby znajdują się w środowiskach wielochmurowych, lokalnych czy hybrydowych. Defender dla Chmury zapewnia CSPM i CWP. Defender dla Chmury identyfikuje słabe punkty konfiguracji na platformie AWS, aby zwiększyć ogólny stan zabezpieczeń. Pomaga również zapewnić ochronę przed zagrożeniami dla klastrów Amazon EKS Linux, wystąpień usługi AWS EC2 i serwerów SQL w usłudze AWS EC2.
Microsoft Sentinel to rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR), które centralizuje i koordynuje automatyzację wykrywania zagrożeń i reagowania na nie na potrzeby nowoczesnych operacji zabezpieczeń. Usługa Microsoft Sentinel może monitorować konta platformy AWS w celu porównywania zdarzeń między wieloma zaporami, urządzeniami sieciowymi i serwerami. Usługa Microsoft Sentinel łączy dane monitorowania z analizą zagrożeń, regułami analizy i uczeniem maszynowym w celu odnajdywania zaawansowanych technik ataku i reagowania na nie.
Usługi AWS i aplikacje Defender dla Chmury można połączyć z usługą Microsoft Sentinel. Następnie można wyświetlić alerty Defender dla Chmury Apps i uruchomić dodatkowe testy zagrożeń, które używają wielu źródeł danych analizy zagrożeń w usłudze Defender. Usługa Microsoft Sentinel może zainicjować skoordynowaną odpowiedź, która znajduje się poza usługą Defender dla Chmury Apps. Usługa Microsoft Sentinel może również integrować się z rozwiązaniami do zarządzania usługami IT (ITSM) i przechowywać dane na dłuższą metę na potrzeby zgodności.
Szczegóły scenariusza
Firma Microsoft oferuje kilka rozwiązań zabezpieczeń, które mogą pomóc w zabezpieczaniu i ochronie kont i środowisk platformy AWS.
Inne składniki zabezpieczeń firmy Microsoft mogą integrować się z identyfikatorem Entra firmy Microsoft, aby zapewnić dodatkowe zabezpieczenia kont platformy AWS:
- Defender dla Chmury Apps wykonuje kopię zapasową identyfikatora Entra firmy Microsoft z ochroną sesji i monitorowaniem zachowania użytkownika.
- Defender dla Chmury zapewnia ochronę przed zagrożeniami dla obciążeń platformy AWS. Pomaga również aktywnie zwiększyć bezpieczeństwo środowisk AWS i używa podejścia bez agenta do łączenia się z tymi środowiskami.
- Usługa Microsoft Sentinel integruje się z usługą Microsoft Entra ID i Defender dla Chmury Apps w celu wykrywania i automatycznego reagowania na zagrożenia w środowiskach platformy AWS.
Te rozwiązania zabezpieczeń firmy Microsoft są rozszerzalne i oferują wiele poziomów ochrony. Można zaimplementować co najmniej jedno z tych rozwiązań wraz z innymi typami ochrony dla architektury pełnej zabezpieczeń, która pomaga chronić bieżące i przyszłe wdrożenia platformy AWS.
Potencjalne przypadki użycia
Ten artykuł zawiera architektów tożsamości platformy AWS, administratorów i analityków zabezpieczeń z natychmiastowymi szczegółowymi informacjami i szczegółowymi wskazówkami dotyczącymi wdrażania kilku rozwiązań zabezpieczeń firmy Microsoft.
Zalecenia
Podczas opracowywania rozwiązania zabezpieczeń należy pamiętać o następujących kwestiach.
Zalecenia dotyczące zabezpieczeń
Następujące zasady i wytyczne są ważne dla każdego rozwiązania zabezpieczeń w chmurze:
- Upewnij się, że organizacja może monitorować, wykrywać i automatycznie chronić dostęp użytkowników i programowych do środowisk w chmurze.
- Stale przeglądaj bieżące konta, aby zapewnić zarządzanie tożsamościami i uprawnieniami oraz kontrolę.
- Postępuj zgodnie z zasadami najniższych uprawnień i zerowym zaufaniem . Upewnij się, że użytkownicy mogą uzyskiwać dostęp tylko do określonych zasobów, których potrzebują, z zaufanych urządzeń i znanych lokalizacji. Zmniejsz uprawnienia każdego administratora i dewelopera, aby zapewnić tylko te prawa, których potrzebują do roli, którą wykonują. Regularnie przeglądaj.
- Ciągłe monitorowanie zmian konfiguracji platformy, zwłaszcza jeśli zapewniają możliwości eskalacji uprawnień lub trwałości ataku.
- Zapobiegaj eksfiltracji nieautoryzowanych danych, aktywnie sprawdzając i kontrolując zawartość.
- Skorzystaj z rozwiązań, które możesz już posiadać, takich jak Microsoft Entra ID P2, które mogą zwiększyć bezpieczeństwo bez dodatkowych kosztów.
Podstawowe zabezpieczenia konta platformy AWS
Aby zapewnić podstawową higienę zabezpieczeń kont i zasobów platformy AWS:
- Zapoznaj się ze wskazówkami dotyczącymi zabezpieczeń platformy AWS w artykule Najlepsze rozwiązania dotyczące zabezpieczania kont i zasobów platformy AWS.
- Zmniejsz ryzyko przekazywania i pobierania złośliwego oprogramowania oraz innej złośliwej zawartości, aktywnie sprawdzając wszystkie transfery danych za pośrednictwem konsoli zarządzania platformy AWS. Zawartość, którą przekazujesz lub pobierasz bezpośrednio do zasobów na platformie AWS, takich jak serwery internetowe lub bazy danych, może wymagać dodatkowej ochrony.
- Rozważ ochronę dostępu do innych zasobów, w tym:
- Zasoby utworzone na koncie platformy AWS.
- Określone platformy obciążeń, takie jak Windows Server, Linux Server lub kontenery.
- Urządzenia używane przez administratorów i deweloperów do uzyskiwania dostępu do konsoli zarządzania platformy AWS.
Wdrażanie tego scenariusza
Wykonaj kroki opisane w poniższych sekcjach, aby zaimplementować rozwiązanie zabezpieczeń.
Planowanie i przygotowanie
Aby przygotować się do wdrożenia rozwiązań zabezpieczeń platformy Azure, przejrzyj i zarejestruj bieżące informacje o kontach platform AWS i Microsoft Entra. Jeśli wdrożono więcej niż jedno konto platformy AWS, powtórz te kroki dla każdego konta.
W konsoli zarządzania rozliczeniami platformy AWS zapisz następujące bieżące informacje o koncie platformy AWS:
- Identyfikator konta platformy AWS, unikatowy identyfikator
- Nazwa konta lub użytkownik główny
- Forma płatności przypisana do karty kredytowej lub umowy rozliczeniowej firmy
- Alternatywne kontakty , które mają dostęp do informacji o koncie platformy AWS
- Pytania zabezpieczające, bezpiecznie zaktualizowane i zarejestrowane w celu uzyskania dostępu awaryjnego
- Regiony platformy AWS, które są włączone lub wyłączone w celu zachowania zgodności z zasadami zabezpieczeń danych
W witrynie Azure Portal przejrzyj dzierżawę firmy Microsoft Entra:
- Oceń informacje o dzierżawie, aby sprawdzić, czy dzierżawa ma licencję Microsoft Entra ID P1 lub P2. Licencja P2 zapewnia zaawansowane funkcje zarządzania tożsamościami firmy Microsoft.
- Oceń aplikacje dla przedsiębiorstw, aby sprawdzić, czy jakiekolwiek istniejące aplikacje używają typu aplikacji platformy AWS, jak pokazano
http://aws.amazon.com/
w kolumnie Adres URL strony głównej.
Wdrażanie aplikacji Defender dla Chmury
Po wdrożeniu centralnego zarządzania i silnego uwierzytelniania wymaganego przez nowoczesne zarządzanie tożsamościami i dostępem można zaimplementować Defender dla Chmury Apps w celu:
- Zbieranie danych zabezpieczeń i przeprowadzanie wykrywania zagrożeń dla kont platformy AWS.
- Zaimplementuj zaawansowane mechanizmy kontroli, aby ograniczyć ryzyko i zapobiec utracie danych.
Aby wdrożyć aplikacje Defender dla Chmury:
- Dodaj łącznik aplikacji Defender dla Chmury Apps dla platformy AWS.
- Konfigurowanie zasad monitorowania aplikacji Defender dla Chmury dla działań platformy AWS.
- Tworzenie aplikacji dla przedsiębiorstw na potrzeby logowania jednokrotnego na platformie AWS.
- Utwórz aplikację kontroli dostępu warunkowego w usłudze Defender dla Chmury Apps.
- Skonfiguruj zasady sesji usługi Microsoft Entra dla działań platformy AWS.
- Testowanie zasad aplikacji Defender dla Chmury dla platformy AWS.
Dodawanie łącznika aplikacji platformy AWS
W portalu Defender dla Chmury Apps rozwiń węzeł Zbadaj, a następnie wybierz pozycję aplikacje Połączenie ed.
Na stronie Łącznik aplikacji s wybierz znak plus (+), a następnie z listy wybierz pozycję Amazon Web Services.
Użyj unikatowej nazwy łącznika. W nazwie dołącz identyfikator firmy i określonego konta platformy AWS, na przykład Contoso-AWS-Account1.
Postępuj zgodnie z instrukcjami w witrynie Połączenie AWS, aby Microsoft Defender dla Chmury Apps, aby utworzyć odpowiedniego użytkownika zarządzania tożsamościami i dostępem (IAM) platformy AWS.
- Zdefiniuj zasady dla ograniczonych uprawnień.
- Utwórz konto usługi, aby używać tych uprawnień w imieniu usługi Defender dla Chmury Apps.
- Podaj poświadczenia łącznika aplikacji.
Czas potrzebny na nawiązanie połączenia początkowego zależy od rozmiarów dziennika konta platformy AWS. Po zakończeniu połączenia zostanie wyświetlone potwierdzenie połączenia:
Konfigurowanie zasad monitorowania aplikacji Defender dla Chmury dla działań platformy AWS
Po włączeniu łącznika aplikacji Defender dla Chmury Apps wyświetla nowe szablony i opcje w konstruktorze konfiguracji zasad. Zasady można tworzyć bezpośrednio z szablonów i modyfikować je w zależności od potrzeb. Zasady można również opracowywać bez używania szablonów.
Aby zaimplementować zasady przy użyciu szablonów:
W lewym oknie nawigacji Defender dla Chmury Apps rozwiń węzeł Kontrolka, a następnie wybierz pozycję Szablony.
Wyszukaj usługę aws i przejrzyj dostępne szablony zasad dla platformy AWS.
Aby użyć szablonu, wybierz znak plus (+) po prawej stronie elementu szablonu.
Każdy typ zasad ma różne opcje. Przejrzyj ustawienia konfiguracji i zapisz zasady. Powtórz ten krok dla każdego szablonu.
Aby użyć zasad plików, upewnij się, że ustawienie monitorowania plików jest włączone w ustawieniach Defender dla Chmury Apps:
Gdy usługa Defender dla Chmury Apps wykrywa alerty, wyświetla je na stronie Alerty w portalu Defender dla Chmury Apps:
Tworzenie aplikacji dla przedsiębiorstw na potrzeby logowania jednokrotnego do platformy AWS
Postępuj zgodnie z instrukcjami w artykule Tutorial: Microsoft Entra single sign-on (SSO) integration with AWS single sign-on (Integracja logowania jednokrotnego firmy Microsoft z usługą AWS), aby utworzyć aplikację dla przedsiębiorstw na potrzeby logowania jednokrotnego do platformy AWS. Oto podsumowanie procedury:
- Dodaj usługę AWS SSO z galerii.
- Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft Entra dla logowania jednokrotnego platformy AWS:
- Skonfiguruj logowanie jednokrotne microsoft Entra.
- Konfigurowanie logowania jednokrotnego platformy AWS.
- Tworzenie użytkownika testowego logowania jednokrotnego platformy AWS.
- Testowanie logowania jednokrotnego.
Tworzenie aplikacji kontroli dostępu warunkowego w usłudze Defender dla Chmury Apps
Przejdź do portalu aplikacji Defender dla Chmury, wybierz pozycję Zbadaj, a następnie wybierz pozycję Połączenie ed aplikacje.
Wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji, a następnie wybierz pozycję Dodaj.
W polu Wyszukaj aplikację wpisz Amazon Web Services, a następnie wybierz aplikację. Wybierz pozycję Kreator uruchamiania.
Wybierz pozycję Wypełnij dane ręcznie. Wprowadź wartość adresu URL usługi Assertion Consumer Service, która jest wyświetlana na poniższym zrzucie ekranu, a następnie wybierz pozycję Dalej.
Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz pozycję Dalej.
Wybierz pozycję Wypełnij dane ręcznie, a następnie wykonaj następujące kroki, aby wprowadzić dane:
- W obszarze Adres URL usługi logowania jednokrotnego wprowadź wartość adresu URL logowania dla aplikacji dla przedsiębiorstw utworzonej dla platformy AWS.
- W obszarze Przekaż certyfikat SAML dostawcy tożsamości wybierz pozycję Przeglądaj.
- Znajdź certyfikat dla utworzonej aplikacji dla przedsiębiorstw.
- Pobierz certyfikat na urządzenie lokalne, a następnie przekaż go do kreatora.
- Wybierz pozycję Dalej.
Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz pozycję Dalej.
Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz Zakończ.
Na następnej stronie zignoruj kroki Weryfikowanie ustawień . Wybierz Zamknij.
Konfigurowanie zasad sesji usługi Microsoft Entra dla działań platformy AWS
Zasady sesji to zaawansowana kombinacja zasad dostępu warunkowego firmy Microsoft Entra i możliwości zwrotnego serwera proxy Defender dla Chmury Apps. Te zasady zapewniają monitorowanie i kontrolę zachowania w czasie rzeczywistym.
W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego z następującymi ustawieniami:
- W obszarze Nazwa wprowadź ciąg AWS Console — Session Controls( Konsola platformy AWS — kontrolki sesji).
- W obszarze Użytkownicy i grupy wybierz dwie utworzone wcześniej grupy ról:
- AWS-Account1-Administracja istrators
- AWS-Account1-Developers
- W obszarze Aplikacje lub akcje w chmurze wybierz utworzoną wcześniej aplikację dla przedsiębiorstw, taką jak Contoso-AWS-Account 1.
- W obszarze Sesja wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji.
W obszarze Włączanie zasad wybierz pozycję Włączone.
Wybierz pozycję Utwórz.
Po utworzeniu zasad dostępu warunkowego firmy Microsoft skonfiguruj zasady sesji Defender dla Chmury Apps w celu kontrolowania zachowania użytkownika podczas sesji platformy AWS.
W portalu Defender dla Chmury Apps rozwiń węzeł Kontrola, a następnie wybierz pozycję Zasady.
Na stronie Zasady wybierz pozycję Utwórz zasady, a następnie z listy wybierz pozycję Zasady sesji.
Na stronie Tworzenie zasad sesji w obszarze Szablon zasad wybierz pozycję Blokuj przekazywanie potencjalnego złośliwego oprogramowania (na podstawie analizy zagrożeń firmy Microsoft).
W obszarze Działania zgodne ze wszystkimi poniższymi elementami zmodyfikuj filtr działania, aby obejmował aplikację, równości i usługi Amazon Web Services. Usuń wybór urządzenia domyślnego.
Przejrzyj inne ustawienia, a następnie wybierz pozycję Utwórz.
Testowanie zasad aplikacji Defender dla Chmury dla platformy AWS
Regularnie testuj wszystkie zasady, aby upewnić się, że są one nadal skuteczne i istotne. Oto kilka zalecanych testów:
Zmiany zasad zarządzania dostępem i tożsamościami: te zasady są wyzwalane za każdym razem, gdy próbujesz zmodyfikować ustawienia w usłudze AWS IAM. Jeśli na przykład wykonasz procedurę w dalszej części tej sekcji wdrażania, aby utworzyć nowe zasady i konto zarządzania dostępem i tożsamościami, zostanie wyświetlony alert.
Błędy logowania do konsoli: wszystkie nieudane próby zalogowania się do jednego z kont testowych wyzwalają te zasady. Szczegóły alertu pokazują, że próba pochodzi z jednego z regionalnych centrów danych platformy Azure.
Zasady działania zasobnika S3: podczas próby utworzenia nowego konta magazynu platformy AWS S3 i ustawienia go jako publicznie dostępnego należy wyzwolić te zasady.
Zasady wykrywania złośliwego oprogramowania: Jeśli skonfigurujesz wykrywanie złośliwego oprogramowania jako zasady sesji, możesz je przetestować, wykonując następujące kroki:
- Pobierz bezpieczny plik testowy z Europejskiego Instytutu Badań antywirusowych (EICAR).
- Spróbuj przekazać ten plik do konta magazynu platformy AWS S3.
Zasady natychmiast blokują próbę przekazania, a alert pojawia się w portalu Defender dla Chmury Apps.
Wdrażanie Defender dla Chmury
Możesz użyć natywnego łącznika chmury, aby połączyć konto platformy AWS z Defender dla Chmury. Łącznik zapewnia bez agenta połączenie z kontem platformy AWS. To połączenie służy do zbierania zaleceń CSPM. Korzystając z planów Defender dla Chmury, możesz zabezpieczyć zasoby platformy AWS za pomocą CWP.
Aby chronić zasoby oparte na usłudze AWS, wykonaj następujące kroki, które opisano szczegółowo w poniższych sekcjach:
- Połączenie konto platformy AWS.
- Monitorowanie platformy AWS.
Łączenie z kontem platformy AWS
Aby połączyć konto platformy AWS z Defender dla Chmury przy użyciu łącznika natywnego, wykonaj następujące kroki:
Zapoznaj się z wymaganiami wstępnymi dotyczącymi łączenia konta platformy AWS. Przed kontynuowaniem upewnij się, że je ukończysz.
Jeśli masz jakiekolwiek łączniki klasyczne, usuń je, wykonując kroki opisane w artykule Usuwanie łączników klasycznych. Użycie zarówno łączników klasycznych, jak i natywnych może generować zduplikowane zalecenia.
Zaloguj się w witrynie Azure Portal.
Wybierz Microsoft Defender dla Chmury, a następnie wybierz pozycję Ustawienia środowiska.
Wybierz pozycję Dodaj środowisko>Amazon Web Services.
Wprowadź szczegóły konta platformy AWS, w tym lokalizację magazynu zasobu łącznika. Opcjonalnie wybierz pozycję Konto zarządzania, aby utworzyć łącznik na koncie zarządzania. Połączenie ory są tworzone dla każdego konta członkowskiego odnalezionego na podanym koncie zarządzania. Automatyczna aprowizacja jest włączona dla wszystkich nowo dołączonych kont.
Wybierz pozycję Dalej: wybierz plany.
Domyślnie plan serwerów jest włączony. To ustawienie jest niezbędne do rozszerzenia zasięgu usługi Defender for Servers na usługę AWS EC2. Upewnij się, że spełniono wymagania dotyczące sieci dla usługi Azure Arc. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj.
Domyślnie plan kontenerów jest włączony. To ustawienie jest niezbędne do ochrony usługi Defender for Containers dla klastrów USŁUGI AWS EKS. Upewnij się, że spełniono wymagania dotyczące sieci dla planu usługi Defender for Containers. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj. Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń dla płaszczyzny sterowania zostanie wyłączona. Aby wyświetlić listę funkcji, zobacz Dostępność funkcji usługi Defender for Containers.
Domyślnie plan baz danych jest włączony. To ustawienie jest konieczne, aby rozszerzyć usługę Defender for SQL na usługi AWS EC2 i RDS Custom dla programu SQL Server. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj. Zalecamy użycie konfiguracji domyślnej.
Wybierz pozycję Dalej: Skonfiguruj dostęp.
Pobierz szablon CloudFormation.
Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby użyć pobranego szablonu CloudFormation w celu utworzenia stosu na platformie AWS. Jeśli dołączysz konto zarządzania, musisz uruchomić szablon CloudFormation jako stos i jako StackSet. Połączenie or są tworzone dla kont członkowskich w ciągu 24 godzin od dołączenia.
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Utwórz.
Defender dla Chmury natychmiast rozpoczyna skanowanie zasobów platformy AWS. W ciągu kilku godzin są wyświetlane zalecenia dotyczące zabezpieczeń. Aby uzyskać listę wszystkich zaleceń, Defender dla Chmury mogą zapewnić zasoby platformy AWS, zobacz Zalecenia dotyczące zabezpieczeń dla zasobów platformy AWS — przewodnik referencyjny.
Monitorowanie zasobów platformy AWS
Na stronie Defender dla Chmury zalecenia dotyczące zabezpieczeń są wyświetlane zasoby platformy AWS. Możesz użyć filtru środowisk, aby korzystać z funkcji wielochmurowych Defender dla Chmury, takich jak wyświetlanie zaleceń dotyczących zasobów platformy Azure, AWS i GCP.
Aby wyświetlić wszystkie aktywne zalecenia dotyczące zasobów według typu zasobu, użyj strony spisu zasobów Defender dla Chmury. Ustaw filtr, aby wyświetlić interesujący Cię typ zasobu platformy AWS.
Wdrażanie usługi Microsoft Sentinel
Jeśli połączysz konto platformy AWS i Defender dla Chmury Apps z usługą Microsoft Sentinel, możesz użyć funkcji monitorowania, które porównują zdarzenia między wieloma zaporami, urządzeniami sieciowymi i serwerami.
Włączanie łącznika platformy AWS usługi Microsoft Sentinel
Po włączeniu łącznika usługi Microsoft Sentinel dla platformy AWS można monitorować zdarzenia i pozyskiwanie danych platformy AWS.
Podobnie jak w przypadku konfiguracji aplikacji Defender dla Chmury, to połączenie wymaga skonfigurowania tożsamości platformy AWS w celu podania poświadczeń i uprawnień.
W usłudze AWS IAM wykonaj kroki opisane w artykule Połączenie Microsoft Sentinel do usługi AWS CloudTrail.
Aby ukończyć konfigurację w witrynie Azure Portal, w obszarze Łączniki danych usługi Microsoft Sentinel>wybierz łącznik Amazon Web Services.
Wybierz pozycję Otwórz stronę łącznika.
W obszarze Konfiguracja wprowadź wartość Role ARN z konfiguracji IAM platformy AWS w roli, aby dodać pole, a następnie wybierz pozycję Dodaj.
Wybierz pozycję Następne kroki, a następnie wybierz działania sieciowe platformy AWS i działania użytkownika platformy AWS do monitorowania.
W obszarze Odpowiednie szablony analityczne wybierz pozycję Utwórz regułę obok szablonów analitycznych platformy AWS, które chcesz włączyć.
Skonfiguruj każdą regułę i wybierz pozycję Utwórz.
W poniższej tabeli przedstawiono szablony reguł, które są dostępne do sprawdzania zachowań jednostek platformy AWS i wskaźników zagrożeń. Nazwy reguł opisują ich przeznaczenie, a potencjalne źródła danych zawierają listę źródeł danych, których może używać każda reguła.
Nazwa szablonu analitycznego | Źródła danych |
---|---|
Znany adres IP IRIDIUM | DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS |
Utworzone zasady pełnej Administracja, a następnie dołączone do ról, użytkowników lub grup | AWS |
Logowanie do usługi AzureAD nie powiodło się, ale logowanie do konsoli usług AWS powiodło się | Microsoft Entra ID, AWS |
Nieudane logowania konsoli platformy AWS, ale logowanie do usługi AzureAD zakończyło się powodzeniem | Microsoft Entra ID, AWS |
Uwierzytelnianie wieloskładnikowe jest wyłączone dla użytkownika | Microsoft Entra ID, AWS |
Zmiany ustawień ruchu przychodzącego i wychodzącego grupy zabezpieczeń platformy AWS | AWS |
Monitorowanie nadużyć poświadczeń platformy AWS lub przejęcie | AWS |
Zmiany w grupach zabezpieczeń usługi AWS Elastic Load Balancer | AWS |
Zmiany ustawień usługi Amazon VPC | AWS |
Nowy agent UserAgent zaobserwowany w ciągu ostatnich 24 godzin | Microsoft 365, Azure Monitor, AWS |
Logowanie do konsoli zarządzania platformy AWS bez uwierzytelniania wieloskładnikowego | AWS |
Zmiany wystąpień bazy danych usług AWS RDS z Internetem | AWS |
Zmiany wprowadzone w dziennikach usługi AWS CloudTrail | AWS |
Usługa Defender Threat Intelligence mapuje jednostkę IP na platformę AWS CloudTrail | Platformy analizy zagrożeń w usłudze Defender, AWS |
Włączone szablony mają wskaźnik IN USE na stronie szczegółów łącznika.
Monitorowanie zdarzeń platformy AWS
Usługa Microsoft Sentinel tworzy zdarzenia na podstawie analiz i wykryć, które włączasz. Każde zdarzenie może obejmować co najmniej jedno zdarzenie, co zmniejsza ogólną liczbę badań niezbędnych do wykrywania potencjalnych zagrożeń i reagowania na nie.
Usługa Microsoft Sentinel pokazuje zdarzenia generowane przez usługę Defender dla Chmury Apps, jeśli są połączone, oraz zdarzenia tworzone przez usługę Microsoft Sentinel. Kolumna Product names (Nazwy produktów) zawiera źródło zdarzenia.
Sprawdzanie pozyskiwania danych
Sprawdź, czy dane są stale pozyskiwane do usługi Microsoft Sentinel, regularnie wyświetlając szczegóły łącznika. Na poniższym wykresie przedstawiono nowe połączenie.
Jeśli łącznik przestanie pozyskiwać dane, a wartość wykresu liniowego spadnie, sprawdź poświadczenia używane do nawiązania połączenia z kontem platformy AWS. Sprawdź również, czy usługa AWS CloudTrail nadal może zbierać zdarzenia.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następującego współautora.
Główny autor:
- Lavanya Murthy | Starszy architekt rozwiązań w chmurze
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Aby uzyskać wskazówki dotyczące zabezpieczeń z platformy AWS, zobacz Najlepsze rozwiązania dotyczące zabezpieczania kont i zasobów platformy AWS.
- Aby uzyskać najnowsze informacje o zabezpieczeniach firmy Microsoft, zobacz Zabezpieczenia firmy Microsoft.
- Aby uzyskać szczegółowe informacje na temat implementowania identyfikatora entra firmy Microsoft i zarządzania nim, zobacz Zabezpieczanie środowisk platformy Azure przy użyciu identyfikatora Entra firmy Microsoft.
- Aby zapoznać się z omówieniem zagrożeń dla zasobów platformy AWS i odpowiednimi środkami ochronnymi, zobacz Jak Defender dla Chmury Apps pomaga chronić środowisko usług Amazon Web Services (AWS).
- Aby uzyskać informacje o łącznikach i sposobie nawiązywania połączeń, zobacz następujące zasoby:
Powiązane zasoby
- Aby uzyskać szczegółowe omówienie i porównanie funkcji platformy Azure i platformy AWS, zobacz zestaw zawartości Platformy Azure dla specjalistów ds. platformy AWS.
- Aby uzyskać wskazówki dotyczące wdrażania rozwiązań microsoft Entra identity and access dla platformy AWS, zobacz Microsoft Entra identity and access management for AWS (Zarządzanie tożsamościami i dostępem firmy Microsoft dla platformy AWS).