Share via

Como o Defender for Cloud Apps ajuda a proteger seu ambiente da Amazon Web Services (AWS)

  • Artigo

A Amazon Web Services é um provedor de IaaS que permite que sua organização hospede e gerencie todas as cargas de trabalho na nuvem. Além dos benefícios de aproveitar a infraestrutura na nuvem, os ativos mais críticos da sua organização podem estar expostos a ameaças. Os ativos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam alguns de seus aplicativos mais críticos, portas e redes virtuais privadas que permitem o acesso à sua organização.

Conectar a AWS ao Defender for Cloud Apps ajuda você a proteger seus ativos e detetar ameaças potenciais monitorando atividades administrativas e de login, notificando sobre possíveis ataques de força bruta, uso mal-intencionado de uma conta de usuário privilegiada, exclusões incomuns de VMs e buckets de armazenamento expostos publicamente.

Principais ameaças

  • Abuso de recursos de nuvem
  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Configuração incorreta de recursos e controle de acesso insuficiente

Como o Defender for Cloud Apps ajuda a proteger seu ambiente

Controle a AWS com políticas e modelos de políticas integrados

Você pode usar os seguintes modelos de política internos para detetar e notificá-lo sobre ameaças potenciais:

Type Nome
Modelo de política de atividade Falhas de login no Admin Console
Alterações na configuração do CloudTrail
Alterações na configuração da instância do EC2
Alterações na política do IAM
Início de sessão de um endereço IP duvidoso
Alterações na lista de controle de acesso à rede (ACL)
Alterações no gateway de rede
Atividade do bucket do S3
Alterações na configuração do grupo de segurança
Alterações na rede privada virtual
Política de deteção de anomalias integrada Atividade de endereços IP anónimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagens impossíveis
Atividade realizada pelo usuário encerrado (requer ID do Microsoft Entra como IdP)
Várias tentativas de login com falha
Atividades administrativas incomuns
Várias atividades incomuns de exclusão de armazenamento (visualização)
Várias atividades de VM de exclusão
Várias atividades incomuns de criação de VM (visualização)
Região incomum para recurso de nuvem (visualização)
Modelo de política de arquivo O bucket do S3 é acessível publicamente

Para obter mais informações sobre como criar políticas, consulte Criar uma política.

Automatize os controles de governança

Além de monitorar possíveis ameaças, você pode aplicar e automatizar as seguintes ações de governança da AWS para corrigir ameaças detetadas:

Type Ação
Governação do utilizador - Notificar o usuário em alerta (via Microsoft Entra ID)
- Exigir que o usuário entre novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)
Governação de dados - Tornar um balde S3 privado
- Remover um colaborador para um bucket do S3

Para obter mais informações sobre como remediar ameaças de aplicativos, consulte Governando aplicativos conectados.

Proteja a AWS em tempo real

Reveja as nossas melhores práticas para bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou arriscados.

Conectar a Amazon Web Services ao Microsoft Defender for Cloud Apps

Esta seção fornece instruções para conectar sua conta existente da Amazon Web Services (AWS) ao Microsoft Defender for Cloud Apps usando as APIs do conector. Para obter informações sobre como o Defender for Cloud Apps protege a AWS, consulte Proteger a AWS.

Você pode conectar a auditoria de segurança da AWS às conexões do Defender for Cloud Apps para obter visibilidade e controle sobre o uso do aplicativo AWS.

Etapa 1: configurar a auditoria da Amazon Web Services

  1. No console da Amazon Web Services, em Segurança, Identidade e Conformidade, selecione IAM.

    Identidade e acesso da AWS.

  2. Selecione Usuários e, em seguida, selecione Adicionar usuário.

    Usuários da AWS.

  3. Na etapa Detalhes, forneça um novo nome de usuário para o Defender for Cloud Apps. Certifique-se de que, em Tipo de acesso , selecione Acesso programático e selecione Próximas permissões.

    Crie um usuário na AWS.

  4. Selecione Anexar políticas existentes diretamente e, em seguida , Criar política.

    Anexar políticas existentes.

  5. Selecione a guia JSON :

    Guia AWS JSON.

  6. Cole o seguinte script na área fornecida:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selecione Next: Tags

    Código da AWS.

  8. Selecione Next: Review.

    Adicionar tags (opcional).

  9. Forneça um Nome e selecione Criar política.

    Forneça o nome da política da AWS.

  10. De volta à tela Adicionar usuário , atualize a lista, se necessário, selecione o usuário criado e selecione Avançar: Tags.

    Anexe a política existente na AWS.

  11. Selecione Next: Review.

  12. Se todos os detalhes estiverem corretos, selecione Criar usuário.

    Permissões de usuário na AWS.

  13. Quando receber a mensagem de êxito, selecione Baixar .csv para salvar uma cópia das credenciais do novo usuário. Você precisará deles mais tarde.

    Faça download do csv na AWS.

    Nota

    Depois de conectar a AWS, você receberá eventos por sete dias antes da conexão. Se você acabou de ativar o CloudTrail, receberá eventos a partir do momento em que ativou o CloudTrail.

Etapa 2: conectar a auditoria da Amazon Web Services ao Defender for Cloud Apps

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Na página Conectores de aplicativos, para fornecer as credenciais do conector da AWS, siga um destes procedimentos:

    Para um novo conector

    1. Selecione +Conectar um aplicativo, seguido por Amazon Web Services.

      conecte-se à auditoria da AWS.

    2. Na janela seguinte, forneça um nome para o conector e selecione Avançar.

      Nome do conector de auditoria da AWS.

    3. Na página Connect Amazon Web Services, selecione Auditoria de segurança e, em seguida, selecione Avançar.

    4. Na página Auditoria de segurança, cole a chave de acesso e a chave secreta do arquivo de .csv nos campos relevantes e selecione Avançar.

      Conecte a auditoria de segurança de aplicativos da AWS para um novo conector.

    Para um conector existente

    1. Na lista de conectores, na linha em que o conector da AWS aparece, selecione Editar configurações.

      Captura de tela da página Aplicativos Conectados, mostrando o link editar Auditoria de Segurança.

    2. Nas páginas Nome da instância e Conectar Amazon Web Services, selecione Avançar. Na página Auditoria de segurança, cole a chave de acesso e a chave secreta do arquivo de .csv nos campos relevantes e selecione Avançar.

      Conecte a auditoria de segurança de aplicativos da AWS para o conector existente.

  3. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Aplicações ligadas, selecione Conectores de Aplicações. Verifique se o status do App Connector conectado é Conectado.

Próximos passos

Controlar as aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.