Anslut dina AWS-konton till Microsoft Defender for Cloud

  • Artikel
  • 9 minuter för att läsa

Anteckning

Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.

Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.

När molnarbetsbelastningar ofta omfattar flera molnplattformar måste molnsäkerhetstjänsterna göra samma sak.

Microsoft Defender för moln skyddar arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).

Om du vill skydda dina AWS-baserade resurser kan du ansluta ett konto med någon av två metoder:

  • Klassiska molnanslutningsappar – Som en del av det första erbjudandet för flera moln introducerade vi dessa molnanslutningsappar som ett sätt att ansluta dina AWS- och GCP-konton. Om du redan har konfigurerat en AWS-anslutning via den klassiska molnanslutningsupplevelsen rekommenderar vi att du ansluter kontot igen med den nyare mekanismen. När du har lagt till ditt konto via sidan miljöinställningar tar du bort den gamla anslutningsappen för att undvika att se dubbla rekommendationer.

  • Sidan Miljöinställningar (i förhandsversion) (rekommenderas) – Den här förhandsgranskningssidan ger en avsevärt förbättrad, enklare onboarding-upplevelse (inklusive automatisk etablering). Den här mekanismen utökar även Defender for Clouds förbättrade säkerhetsfunktioner till dina AWS-resurser.

    • Defender for Clouds CSPM-funktioner utökar till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i dina säkerhetspoäng. Resurserna kommer också att utvärderas för kompatibilitet med inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Sidan för tillgångsinventering i Defender for Cloud är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
    • Microsoft Defender för containrar utökar identifiering av containerhot och avancerat skydd av Defender för Kubernetes till dina Amazon EKS-kluster.
    • Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows och Linux EC2-instanser. Den här planen omfattar den integrerade licensen för Microsoft Defender för slutpunkter, säkerhetsbaslinjer och utvärderingar på operativsystemnivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.

Den här skärmbilden visar AWS-konton som visas i Defender for Clouds översiktsinstrumentpanel.

Fyra AWS-projekt visas på översiktsinstrumentpanelen för Defender for Cloud

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Förhandsgranska.
I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.
Prissättning: CSPM-planen är kostnadsfri.
Defender for Containers-planen är kostnadsfri under förhandsversionen. Därefter debiteras den till samma pris som Defender for Kubernetes-planen för Azure-resurser.
För varje AWS-dator som är ansluten till Azure med Azure Arc-aktiverade servrar debiteras Defender for servers-planen till samma pris som Microsoft Defender för servrar för Azure-datorer. Om en AWS EC2 inte har Azure Arc agenten, debiteras du inte för den datorn.
Nödvändiga roller och behörigheter: Ägare till relevant Azure-prenumeration
Deltagare kan också ansluta ett AWS-konto om en ägare tillhandahåller information om tjänstens huvudnamn (krävs för defender för servrar-planen)
Moln: Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet)

Förutsättningar

Anslut ditt AWS-konto

Följ stegen nedan för att skapa din AWS-molnanslutning.

  1. Öppna Miljöinställningar på menyn i Defender för molnet.

  2. Välj Lägg till miljö > Amazon Web Services.

    Ansluta ett AWS-konto till en Azure-prenumeration.

  3. Ange information om AWS-kontot, inklusive platsen där du ska lagra anslutningsresursen och välj Nästa: Välj planer.

    Steg 1 i guiden Lägg till AWS-konto: Ange kontoinformationen.

  4. På fliken Välj planer väljer du vilka Defender for Cloud-funktioner som ska aktiveras för det här AWS-kontot.

    Anteckning

    Varje funktion har sina egna behörighetskrav och kan medföra avgifter.

    På fliken Välj planer väljer du vilka Defender for Cloud-funktioner som ska aktiveras för det här AWS-kontot.

    Viktigt

    För att presentera den aktuella statusen för dina rekommendationer frågar CSPM-planen AWS-resurs-API:erna flera gånger om dagen. Dessa skrivskyddade API-anrop medför inga avgifter, men de registreras i CloudTrail om du har aktiverat en spår för läshändelser. Enligt förklaringen i AWS-dokumentationentillkommer inga ytterligare avgifter för att hålla ett spår. Om du exporterar data från AWS (till exempel till en extern SIEM) kan den ökade mängden anrop också öka inmatningskostnaderna. I sådana fall rekommenderar vi att du filtrerar bort skrivskyddade anrop från Defender for Cloud-användaren eller roll-ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (det här är standardrollnamnet, bekräfta det rollnamn som konfigurerats på ditt konto).

    • Om du vill utöka Defender for Servers-täckningen till AWS EC2 ställer du in Serverplan och redigerar konfigurationen efter behov.

    • För att Defender for Kubernetes ska skydda dina AWS EKS-kluster Azure Arc Kubernetes och Defender-tillägget installeras. Ange Containerplan till och använd den dedikerade Defender for Cloud-rekommendationen för att distribuera tillägget (och Arc, om det behövs) enligt förklaringen i Skydda Amazon Elastic Kubernetes Service-kluster.

  5. Slutför konfigurationen:

    1. Välj Nästa: Konfigurera åtkomst.
    2. Ladda ned CloudFormation-mallen.
    3. Med hjälp av den nedladdade CloudFormation-mallen skapar du stacken i AWS enligt anvisningarna på skärmen.
    4. Välj Nästa: Granska och generera.
    5. Välj Skapa.

Defender for Cloud börjar genast genomskanna dina AWS-resurser och du ser säkerhetsrekommendationer inom några timmar.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kräver Microsoft Defender för servrar
Nödvändiga roller och behörigheter: Ägare till relevant Azure-prenumeration
Deltagare kan också ansluta ett AWS-konto om en ägare tillhandahåller information om tjänstens huvudnamn
Moln: Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet)

Anslut ditt AWS-konto

Följ stegen nedan för att skapa din AWS-molnanslutning.

Steg 1. Konfigurera AWS Security Hub:

  1. Om du vill visa säkerhetsrekommendationer för flera regioner upprepar du följande steg för varje relevant region.

    Viktigt

    Om du använder ett AWS-hanteringskonto upprepar du följande tre steg för att konfigurera hanteringskontot och alla anslutna medlemskonton i alla relevanta regioner

    1. Aktivera AWS Config.
    2. Aktivera AWS Security Hub.
    3. Kontrollera att data flödar till säkerhetshubben. Första gången du aktiverar Security Hub kan det ta flera timmar innan data är tillgängliga.

Steg 2. Konfigurera autentisering för Defender for Cloud i AWS

Det finns två sätt att tillåta att Defender for Cloud autentiserar till AWS:

  • Skapa en IAM-roll för Defender for Cloud (rekommenderas) – den säkraste metoden
  • AWS-användare för Defender for Cloud – ett mindre säkert alternativ om du inte har aktiverat IAM

Skapa en IAM-roll för Defender for Cloud

  1. Från din Amazon Web Services under Säkerhet, Identitetsefterlevnad & väljer du IAM. AWS-tjänster.

  2. Välj Roller och Skapa roll.

  3. Välj Ett annat AWS-konto.

  4. Ange följande information:

    • Konto-ID – Ange Microsoft-konto-ID (158177204117) enligt vad som visas på sidan för AWS-anslutning i Defender for Cloud.
    • Kräv externt ID – ska väljas
    • Externt ID – Ange prenumerations-ID:t som visas på sidan för AWS-anslutningstjänst i Defender for Cloud

  5. Välj Nästa.

  6. I avsnittet Attach permission policies (Koppla behörighetsprinciper) väljer du följande AWS-hanterade principer:

    • SecurityAudit ( arn:aws:iam::aws:policy/SecurityAudit )
    • AmazonSSMAutomationRole ( arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole )
    • AWSSecurityHubReadOnlyAccess ( arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess )

  7. Du kan också lägga till taggar. Att lägga till taggar till användaren påverkar inte anslutningen.

  8. Välj Nästa.

  9. I listan Roller väljer du den roll som du skapade

  10. Spara Amazon Resource Name (ARN) för senare tid.

Skapa en AWS-användare för Defender for Cloud

  1. Öppna fliken Användare och välj Lägg till användare.

  2. I steget Information anger du ett användarnamn för Defender for Cloud och ser till att du väljer Programmatisk åtkomst för AWS-åtkomsttypen.

  3. Välj Nästa behörigheter.

  4. Välj Bifoga befintliga principer direkt och tillämpa följande principer:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess

  5. Välj Nästa: Taggar. Du kan också lägga till taggar. Att lägga till taggar till användaren påverkar inte anslutningen.

  6. Välj Granska.

  7. Spara den automatiskt genererade CSV-filen med åtkomstnyckel-ID och hemlig åtkomstnyckel till senare.

  8. Granska sammanfattningen och välj Skapa användare.

Steg 3. Konfigurera SSM-agenten

AWS Systems Manager krävs för att automatisera uppgifter mellan dina AWS-resurser. Om dina EC2-instanser inte har SSM-agenten följer du de relevanta anvisningarna från Amazon:

Steg 4. Slutför Azure Arc förhandskrav

  1. Kontrollera att lämpliga Azure-resursproviders är registrerade:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration

  2. Skapa ett huvudnamn för tjänsten för registrering i stor skala. Som ägare till den prenumeration som du vill använda för registrering skapar du ett huvudnamn för tjänsten för Azure Arc-registrering enligt beskrivningen i Skapa ett huvudnamn för tjänsten för registrering i stor skala.

Steg 5. Anslut AWS till Defender for Cloud

  1. Från menyn i Defender för molnet öppnar du Miljöinställningar och väljer alternativet för att växla tillbaka till den klassiska anslutningsupplevelsen.

    Växla tillbaka till den klassiska molnanslutningsupplevelsen i Defender for Cloud.

  2. Välj Lägg till AWS-konto. Knappen Lägg till AWS-konto på sidan för Molnanslutningsappar för flera moln

  3. Konfigurera alternativen på fliken AWS-autentisering:

    1. Ange ett Visningsnamn för anslutningsappen.
    2. Bekräfta att prenumerationen är korrekt. Det är prenumerationen som innehåller anslutningsappen och AWS Security Hub-rekommendationer.
    3. Beroende på autentiseringsalternativet valde du i steg 2. Konfigurera autentisering för Defender for Cloud i AWS:

  4. Välj Nästa.

  5. Konfigurera alternativen på fliken Azure Arc Konfiguration:

    Defender for Cloud identifierar EC2-instanserna i det anslutna AWS-kontot och använder SSM för att registrera dem för Azure Arc.

    Tips

    En lista över operativsystem som stöds finns i Vilka operativsystem för mina EC2-instanser stöds? i Vanliga frågor och svar.

    1. Välj den resursgrupp och Azure-region som identifierade AWS EC2s ska publiceras till i den valda prenumerationen.

    2. Ange ID för tjänstens huvudnamn och Klienthemlighet för tjänstens huvudnamn för Azure Arc enligt beskrivningen här Skapa ett huvudnamn för tjänsten för registrering i stor skala

    3. Om datorn ansluter till Internet via en proxyserver anger du proxyserverns IP-adress eller det namn och portnummer som datorn använder för att kommunicera med proxyservern. Ange värdet i formatet http://<proxyURL>:<proxyport>

    4. Välj Granska + skapa.

      Granska sammanfattningsinformationen

      I avsnitten Taggar visas en lista över alla Azure-taggar som skapas automatiskt för varje inbyggd EC2 med egen relevant information för att enkelt identifiera den i Azure.

      Läs mer om Azure-taggar i Använda taggar för att organisera azure-resurser och hanteringshierarki.

Steg 6. Bekräftelse

När anslutningsappen har skapats och AWS Security Hub har konfigurerats korrekt:

  • Defender for Cloud söker igenom miljön efter AWS EC2-instanser, registrera dem för Azure Arc, vilket gör det möjligt att installera Log Analytics-agenten och tillhandahålla rekommendationer för skydd mot hot och säkerhet.
  • Defender for Cloud-tjänsten söker efter nya AWS EC2-instanser var 6:e timme och registrera dem enligt konfigurationen.
  • AWS CIS-standarden visas på instrumentpanelen för Defender for Clouds regelefterlevnad.
  • Om Security Hub-principen är aktiverad visas rekommendationerna i Defender for Cloud-portalen och instrumentpanelen för regelefterlevnad 5–10 minuter efter att onboard-integreringen har slutförts.

AWS-resurser och rekommendationer på sidan för molnrekommendationer i Defender

Övervaka dina AWS-resurser

Som du ser i föregående skärmbild visar Defender for Clouds sida med säkerhetsrekommendationer dina AWS-resurser. Du kan använda miljöfiltret för att använda Defender för molnets funktioner för flera moln: visa rekommendationer för Azure-, AWS- och GCP-resurser tillsammans.

Om du vill visa alla aktiva rekommendationer för dina resurser efter resurstyp använder du Defender for Clouds tillgångsinventeringssida och filtrerar på den AWS-resurstyp som du är intresserad av:

Resurstypsfilter på sidan för tillgångsinventering som visar AWS-alternativen

Vanliga frågor och svar – AWS i Defender for Cloud

Vilka operativsystem för mina EC2-instanser stöds?

Operativsystem som stöds för automatisk registrering till Azure Arc för AWS-datorer

  • Ubuntu 16.04 – SSM-agenten är förinstallerad som standard
  • Ubuntu 18.04 – SSM-agenten är förinstallerad som standard
  • Windows server – SSM-agenten är förinstallerad som standard
  • CentOS Linux 7 – SSM ska installeras manuellt eller publiceras separat
  • SUSE Linux Enterprise Server (SLES) 15 (x64) – SSM ska installeras manuellt eller publiceras separat
  • Red Hat Enterprise Linux (RHEL) 7 (x64) – SSM ska installeras manuellt eller publiceras separat

Nästa steg

Att ansluta ditt AWS-konto är en del av upplevelsen för flera moln som är tillgänglig i Microsoft Defender för molnet. Relaterad information finns på följande sida: