Quickstart: Ligue as suas contas AWS ao Microsoft Defender para cloud

Com cargas de trabalho em nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança na nuvem devem fazer o mesmo. O Microsoft Defender for Cloud protege cargas de trabalho em Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Para proteger os seus recursos baseados em AWS, pode ligar uma conta AWS com ambos:

  • Conector de nuvem nativa (recomendado) - Fornece uma ligação sem agente à sua conta AWS que pode estender com o Defender para o Defender da Cloud planeia garantir os seus recursos AWS:

  • Conector de nuvem clássico - Requer configuração na sua conta AWS para criar um utilizador que o Defender for Cloud pode usar para se ligar ao seu ambiente AWS. Se tiver conectores de nuvem clássicos, recomendamos que elimine estes conectores e utilize o conector nativo para voltar a ligar-se à conta. A utilização dos conectores clássicos e nativos pode produzir recomendações duplicadas.

Para obter uma lista de referência de todas as recomendações o Defender for Cloud pode fornecer recursos AWS, consulte recomendações de Segurança para recursos AWS - um guia de referência.

Esta imagem mostra as contas AWS apresentadas no Defender para o painel de visão geral da Cloud.

Quatro projetos AWS listados no Defender para o painel de visão geral da Cloud

Pode saber mais assistindo a este vídeo da série de vídeos Defender for Cloud in the Field:

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade Geral (GA)
Preços: O plano do CSPM é gratuito.
O plano Defender for SQL é cobrado ao mesmo preço que os recursos da Azure.
O plano Defender para Contentores é gratuito durante a pré-visualização. Após o que, será cobrado para AWS ao mesmo preço que para os recursos Azure.
Para cada máquina AWS ligada ao Azure com servidores ativados pelo Azure Arc, o plano Defender para Servidores é faturado ao mesmo preço que o plano Microsoft Defender para servidores para máquinas Azure. Se um AWS EC2 não tiver o agente Azure Arc implantado, não será cobrado por essa máquina.
Funções e permissões necessárias: Autorização do contribuinte para a assinatura Azure relevante.
Administrador na conta AWS.
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet)

Pré-requisitos

O conector de nuvem nativa requer:

  • Acesso a uma conta AWS.

  • Para ativar o plano Defender para Contentores, você precisará:

    • Pelo menos um cluster Amazon EKS com permissão para aceder ao servidor API EKS K8s. Se precisar de criar um novo cluster EKS, siga as instruções em Começar com a Amazon EKS – eksctl.
    • A capacidade de recursos para criar uma nova fila SQS, fluxo de entrega de mangueira de incêndio kinesis e balde S3 na região do cluster.
  • Para ativar o plano Defender para SQL, você precisará:

    • Microsoft Defender para SQL ativado na sua subscrição. Saiba como permitir a proteção em todas as suas bases de dados.

    • Uma conta AWS ativa, com instâncias EC2 executando servidor SQL ou RDS Custom para SQL Server.

    • Azure Arc para servidores instalados nas suas instâncias EC2/RDS Custom para SQL Server.

      • (Recomendado) Utilize o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias EC2 existentes e futuras.

        O fornecimento automático é gerido pelo AWS Systems Manager (SSM) utilizando o agente SSM. Algumas Imagens da Máquina da Amazon (AMIs) já têm o agente SSM pré-instalado. Se já tiver o agente SSM pré-instalado, os AMI's estão listados em AMIs com o Agente SSM pré-instalado. Se as suas instâncias EC2 não tiverem o Agente SSM, terá de o instalar utilizando qualquer uma das seguintes instruções relevantes da Amazon:

      Nota

      Para ativar o fornecimento automático do Azure Arc, necessitará da permissão do Proprietário na subscrição Azure relevante.

    • As extensões adicionais devem ser ativadas nas máquinas ligadas ao Arco.

    • Registar o agente Doms (LA) nas máquinas Arc e garantir que o espaço de trabalho selecionado tem a solução de segurança instalada. O agente de LA está atualmente configurado no nível de subscrição. Todas as suas contas AWS multicloud e projetos GCP sob a mesma subscrição herdarão as definições de subscrição.

      Saiba como configurar o fornecimento automático na sua subscrição.

  • Para ativar o plano Defender para Servidores, necessitará de:

    • Microsoft Defender para Servidores ativado na sua subscrição. Saiba como ativar os planos em Ativar funcionalidades de segurança reforçadas.

    • Uma conta AWS ativa, com instâncias EC2.

    • Azure Arc para servidores instalados nas suas instâncias EC2.

      Nota

      Para ativar o fornecimento automático do Azure Arc, necessitará de uma permissão do Proprietário na subscrição Azure relevante.

      • Se pretender instalar manualmente o Arco Azure nas suas instâncias EC2 existentes e futuras, utilize as instâncias EC2 para identificar casos que não tenham o Arco Azure instalado.
    • As extensões adicionais devem ser ativadas nas máquinas ligadas ao Arco.

      • Microsoft Defender para Ponto Final

      • Solução VA (TVM/ Qualys)

      • Agente Log Analytics (LA) em máquinas Arc. Certifique-se de que o espaço de trabalho selecionado tem solução de segurança instalada.

        O agente de LA encontra-se atualmente configurado no nível de subscrição, de modo a que todas as contas e projetos multicloud (tanto da AWS como do GCP) na mesma subscrição herdarão as definições de subscrição no que diz respeito ao agente de LA.

      Saiba como configurar o fornecimento automático na sua subscrição.

      Nota

      O Defender for Servers atribui etiquetas aos seus recursos AWS para gerir o processo de provisionamento automático. Tem de ter estas etiquetas devidamente atribuídas aos seus recursos para que o Defender for Cloud possa gerir os seus recursos: AccountId, Cloud, InstanceId, MDFCSecurityConnector

Ligar a conta AWS

Para ligar a sua conta AWS ao Defender for Cloud com um conector nativo:

  1. Se tiver conectores clássicos, retire-os.

    A utilização dos conectores clássicos e nativos pode produzir recomendações duplicadas.

  2. Inicie sessão no portal do Azure.

  3. Navegue para defenderas definições de Ambienteem Nuvem>.

  4. Selecione Adicionar ambiente>Amazon Web Services.

    Ligar uma conta AWS a uma subscrição do Azure.

  5. Introduza os detalhes da conta AWS, incluindo o local onde irá armazenar o recurso de conector.

    Passo 1 do assistente de conta AWS adicionado: Introduza os detalhes da conta.

    (Opcional) Selecione conta Gestão para criar um conector para uma conta de gestão. Serão criados conectores para cada conta de membro descoberta na conta de gestão fornecida. O provisionamento automático será ativado para todas as contas recém-activadas.

  6. Selecione Seguinte: Selecione os planos.

    Nota

    Cada plano tem os seus próprios requisitos para permissões, e pode incorrer em acusações.

    O separador planos selecionados é onde escolhe quais as capacidades do Defender para cloud para ativar esta conta AWS.

    Importante

    Para apresentar o estado atual das suas recomendações, o plano CSPM consulta as APIs de recurso AWS várias vezes ao dia. Estas chamadas de API só de leitura não incorrem em acusações, mas estão registadas em CloudTrail se tiver ativado um rasto para eventos de leitura. Como explicado na documentação da AWS, não há encargos adicionais para manter um rasto. Se estiver a exportar os dados da AWS (por exemplo, para um SIEM externo), este volume aumentado de chamadas também pode aumentar os custos de ingestão. Nesses casos, recomendamos a filtragem das chamadas apenas de leitura do Utilizador defender para cloud ou função ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (este é o nome de função padrão, confirme o nome de função configurado na sua conta).

  7. Por predefinição, o plano de Servidores está definido para On. Isto é necessário para estender o Defender para a cobertura do servidor ao seu AWS EC2. Certifique-se de que preencheu os requisitos de rede para o Arco Azure.

    • (Opcional) Selecione Configurar, para editar a configuração conforme necessário.
  8. Por predefinição, o plano de contentores está definido para On. Isto é necessário para que o Defender for Containers proteja os seus clusters AWS EKS. Certifique-se de que preencheu os requisitos de rede para o plano Defender para Contentores.

    Nota

    Kubernetes ativado por Azure Arc, a extensão Do Arco do Defender e a extensão Azure Policy Arco devem ser instalados. Utilize as recomendações dedicadas do Defender for Cloud para implementar as extensões (e o Arco, se necessário) como explicado nos clusters de Serviços Deseleios DaZon Elastic.

    • (Opcional) Selecione Configurar, para editar a configuração conforme necessário. Se optar por desativar esta configuração, a Threat detection (control plane) funcionalidade será desativada. Saiba mais sobre a disponibilidade do recurso.
  9. Por predefinição, o plano de bases de dados está definido para On. Isto é necessário para estender o Defender para a cobertura da SQL ao seu AWS EC2 e RDS Custom para SQL Server.

    • (Opcional) Selecione Configurar, para editar a configuração conforme necessário. Recomendamos que o deixe definido para a configuração predefinida.
  10. Selecione Seguinte: Configure o acesso.

  11. Descarregue o modelo CloudFormation.

  12. Utilizando o modelo CloudFormation descarregado, crie a pilha em AWS como instruído no ecrã. Se estiver a embarcar numa conta de gestão, terá de executar o modelo CloudFormation tanto como Stack como como StackSet. Os conectores serão criados para as contas dos membros até 24 horas após o embarque.

  13. Selecione Seguinte: Rever e gerar.

  14. Selecione Criar.

O Defender for Cloud começará imediatamente a digitalizar os seus recursos AWS e verá recomendações de segurança dentro de algumas horas. Para obter uma lista de referência de todas as recomendações o Defender for Cloud pode fornecer recursos AWS, consulte recomendações de Segurança para recursos AWS - um guia de referência.

Remover conectores 'clássicos'

Se tiver conectores existentes criados com a experiência clássica dos conectores de nuvem, remova-os primeiro:

  1. Inicie sessão no portal do Azure.

  2. Navegue para defenderas definições de Ambienteem Nuvem>.

  3. Selecione a opção de voltar à experiência clássica dos conectores.

    Voltando à experiência clássica de conectores de nuvem no Defender for Cloud.

  4. Para cada conector, selecione o botão de três pontos ... no final da linha e selecione Delete.

  5. Na AWS, elimine o papel ARN, ou as credenciais criadas para a integração.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Requer Microsoft Defender para o Plano de Servidores 2
Funções e permissões necessárias: Proprietário na subscrição relevante do Azure
O contribuinte também pode ligar uma conta AWS se um proprietário fornecer os principais detalhes do serviço
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet)

Ligar a conta AWS

Siga os passos abaixo para criar o seu conector de nuvem AWS.

Passo 1. Configurar o Centro de Segurança AWS:

  1. Para visualizar recomendações de segurança para várias regiões, repita os seguintes passos para cada região relevante.

    Importante

    Se estiver a utilizar uma conta de gestão AWS, repita os três passos seguintes para configurar a conta de gestão e todas as contas de membros conectados em todas as regiões relevantes

    1. Ativar a AWS Config.
    2. Ativar o centro de segurança AWS.
    3. Verifique se os dados estão a fluir para o Centro de Segurança. Quando ativa pela primeira vez o Security Hub, pode demorar várias horas para os dados estarem disponíveis.

Passo 2. Configurar a autenticação para Defender para Cloud em AWS

Existem duas formas de permitir que o Defender para cloud autentica a AWS:

  • Criar um papel IAM para Defender para Cloud (Recomendado) - O método mais seguro
  • Utilizador AWS para Defender para Cloud - Uma opção menos segura se não tiver o IAM ativado

Criar um papel IAM para Defender para Cloud

  1. A partir da sua consola Amazon Web Services, em Segurança, Conformidade de Identidade&, selecione IAM. Serviços da AWS.

  2. Selecione Funções e Crie papel.

  3. Selecione outra conta AWS.

  4. Introduza os seguintes detalhes:

    • ID de conta - introduza o ID da Conta da Microsoft (158177204117) como mostrado na página do conector AWS no Defender for Cloud.
    • Require External ID - deve ser selecionado
    • ID externo - insira o ID de subscrição como mostrado na página do conector AWS no Defender for Cloud
  5. Selecione Seguinte.

  6. Na secção políticas de permissões anexar , selecione as seguintes políticas geridas pela AWS:

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonssmAutomationrole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. Opcionalmente adicione tags. A adição de Tags ao utilizador não afeta a ligação.

  8. Selecione Seguinte.

  9. Na lista De Papéis, escolha o papel que criou

  10. Guarde o Nome de Recursos Da Amazónia (ARN) para mais tarde.

Criar um utilizador AWS para Defender para Cloud

  1. Abra o separador Utilizadores e selecione Adicionar utilizador.

  2. Na etapa Detalhes , introduza um nome de utilizador para Defender para Nuvem e certifique-se de que seleciona o acesso programático para o Tipo de Acesso AWS.

  3. Selecione As Próximas Permissões.

  4. Selecione Fixe diretamente as políticas existentes e aplique as seguintes políticas:

    • SecurityAudit
    • AmazonssmAutomationrole
    • AWSSecurityHubReadOnlyAccess
  5. Selecione Seguinte: Tags. Opcionalmente adicione tags. A adição de Tags ao utilizador não afeta a ligação.

  6. Selecione 'Revisão'.

  7. Guarde o ficheiro CSV da chave de acesso gerado automaticamente e o ficheiro CSV da chave de acesso secreto para mais tarde.

  8. Reveja o resumo e selecione Criar utilizador.

Passo 3. Configure o Agente SSM

O AWS Systems Manager é necessário para automatizar tarefas através dos seus recursos AWS. Se as suas instâncias EC2 não tiverem o Agente SSM, siga as instruções relevantes da Amazon:

Passo 4: Completo Azure Arc pré-requisitos

  1. Certifique-se de que os fornecedores de recursos Azure adequados estão registados :

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Crie um diretor de serviço para o embarque à escala. Como Proprietário na subscrição que pretende utilizar para o embarque, crie um principal de serviço para o Azure Arc a bordo, conforme descrito na Create a Service Principal para embarque à escala.

Passo 5. Ligue a AWS ao Defender para Cloud

  1. A partir do menu Defender for Cloud, abra as definições de Ambiente e selecione a opção de voltar à experiência clássica dos conectores.

    Voltando à experiência clássica de conectores de nuvem no Defender for Cloud.

  2. Selecione adicionar a conta AWS. Adicione o botão de conta AWS no Defender para a página de conectores multicloud da Cloud

  3. Configure as opções no separador de autenticação AWS :

    1. Introduza um nome de exibição para o conector.
    2. Confirme se a subscrição está correta. É a subscrição que incluirá as recomendações do connector e do AWS Security Hub.
    3. Dependendo da opção de autenticação, escolheu no Passo 2. Configurar a autenticação para Defender para Cloud em AWS:
  4. Selecione Seguinte.

  5. Configure as opções no separador Configuração Azure Arc :

    O Defender for Cloud descobre as instâncias EC2 na conta AWS conectada e utiliza sSM para embarcar no Arco Azure.

    Dica

    Para a lista de sistemas operativos suportados, veja quais os sistemas operativos para as minhas instâncias EC2 ?

    1. Selecione o Grupo de Recursos e a Região Azure para que os AWS EC2 descobertos sejam acedidos na subscrição selecionada.

    2. Insira o ID principal de serviço e o serviço principal cliente secret para Azure Arc como descrito aqui Criar um diretor de serviço para bordo em escala

    3. Se a máquina estiver a ligar-se à internet através de um servidor proxy, especifique o endereço IP do servidor proxy ou o nome e número de porta que a máquina utiliza para comunicar com o servidor proxy. Insira o valor no formato http://<proxyURL>:<proxyport>

    4. Selecione Rever + criar.

      Reveja as informações resumidas

      As secções Tags listarão todas as Tags Azure que serão criadas automaticamente para cada EC2 a bordo com os seus próprios detalhes relevantes para reconhecê-lo facilmente em Azure.

      Saiba mais sobre as etiquetas Azure Tags in Use para organizar os seus recursos Azure e a sua hierarquia de gestão.

Passo 6. Confirmação

Quando o conector é criado com sucesso, e o AWS Security Hub foi configurado corretamente:

  • O Defender for Cloud analisa o ambiente para instâncias AWS EC2, a bordo do Azure Arc, permitindo instalar o agente Log Analytics e fornecer recomendações de proteção e segurança de ameaças.
  • O serviço Defender for Cloud analisa novas instâncias AWS EC2 a cada 6 horas e a bordo de acordo com a configuração.
  • A norma AWS CIS será apresentada no Painel de Conformidade Regulamentar do Defender para a Cloud.
  • Se a política do Security Hub estiver ativada, as recomendações aparecerão no portal Defender for Cloud e no painel de conformidade regulamentar 5-10 minutos após a conclusão do embarque.

Recursos e recomendações da AWS na página de recomendações do Defender para cloud

Monitorizar os seus recursos AWS

Como pode ver na imagem anterior, a página de recomendações de segurança do Defender for Cloud exibe os seus recursos AWS. Pode utilizar o filtro de ambientes para desfrutar das capacidades multicloud do Defender para cloud: veja as recomendações para os recursos de Azure, AWS e GCP em conjunto.

Para ver todas as recomendações ativas para os seus recursos por tipo de recurso, utilize o Defender para a página de inventário de ativos da Cloud e filtre para o tipo de recurso AWS em que está interessado:

Filtro de tipo de recurso da página de inventário de ativos mostrando as opções AWS

FAQ - AWS no Defender para Cloud

Quais os sistemas operativos para as minhas instâncias EC2?

Para obter uma lista das AMIs com o Agente SSM pré-instalado consulte esta página nos docs AWS.

Para outros sistemas operativos, o Agente SSM deve ser instalado manualmente utilizando as seguintes instruções:

Para o plano CSPM, que permissões IAM são necessárias para descobrir os recursos da AWS?

São necessárias as seguintes permissões IAM para descobrir os recursos da AWS:

DataCollector Permissões AWS
Gateway de API apigateway:GET
Escalagem automática de aplicação application-autoscaling:Describe*
Auto escalonamento autoscaling-plans:Describe*
autoscaling:Describe*
Gestor de certificados acm-pca:Describe*
acm-pca:List*
acm:Describe* <br>acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
Registos CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Serviço Config config:Describe*
config:List*
DMS – serviço de migração de bases de dados dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
CES ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Pé de feijão elástico elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – equilíbrio de carga elástica (v1/2) elasticloadbalancing:Describe*
Pesquisa elástica es:Describe*
es:List*
EMR – redução do mapa elástico elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
Guarda guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
LAMDBA lambda:GetPolicy
lambda:List*
Firewall da rede network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 e S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Gerente secreto secretsmanager:Describe*
secretsmanager:List*
Serviço de notificação simples – SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Saber mais

Pode consultar os seguintes blogs:

Passos seguintes

Ligar a sua conta AWS faz parte da experiência multicloud disponível no Microsoft Defender for Cloud. Para obter informações relacionadas, consulte a seguinte página: