aws hesaplarınızı bulut için Microsoft Defender 'a Bağlan

  • Makale
  • Okumak için 9 dakika

Not

Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.

Microsoft güvenlik hizmetlerinin en son yeniden olarak yeniden olarak yeniden an kullanımı hakkında daha fazla bilgi edinmek için.

Bulut güvenlik hizmetleri genellikle birden çok bulut platformunu kapsayan bulut iş yükleri ile aynı olmalıdır.

Bulut için Microsoft Defender, Azure 'da, Amazon Web Services (AWS) ve Google Cloud Platform (GCP) iş yüklerini korur.

AWS tabanlı kaynaklarınızı korumak için, bir hesabı iki mekanizmalardan biriyle bağlayabilirsiniz:

  • Klasik bulut bağlayıcıları deneyimi -ilk çok bulut teklifi kapsamında, AWS ve GCP hesaplarınızı bağlamak için bir yol olarak bu bulut bağlayıcılarını sunuyoruz. Klasik bulut bağlayıcıları deneyimiyle bir AWS bağlayıcısını zaten yapılandırdıysanız, daha yeni mekanizmayı kullanarak hesabı yeniden bağlamayı öneririz. Hesabınızı ortam ayarları sayfası aracılığıyla eklediğinizde, yinelenen öneriler görmemek için eski bağlayıcıyı kaldırın.

  • Ortam ayarları sayfası (önizlemede) (önerilir)-Bu önizleme sayfası, büyük ölçüde geliştirilmiş, daha basit ve ekleme deneyimi (otomatik sağlama dahil) sağlar. Bu mekanizma Ayrıca, bulut 'un artırılmış güvenlik özellikleri için Defender 'ı AWS kaynaklarınıza genişletir.

    • Bulutun CSPM özellikleri Için Defender AWS kaynaklarınıza genişletilir. Bu aracısız plan, AWS kaynaklarınızı WS-specific güvenlik önerilerine göre değerlendirir ve bunlar güvenli puanınızın içine dahil edilmiştir. Kaynaklar ayrıca AWS 'ye (AWS CIS, AWS PCI DSS ve AWS temel güvenlik En Iyi uygulamalarına) özgü yerleşik standartlarla uyumluluk için değerlendirilir. Bulutun varlık Envanteri sayfası için Defender, Azure kaynaklarınızın yanı sıra AWS kaynaklarınızı yönetmenize yardımcı olan çoklu bulut özellikli bir özelliktir.
    • Kapsayıcılar Için Microsoft Defender , Kubernetes için iş parçacığı tehdidi algılama ve Defender 'ın gelişmiş SAVUNMALARı 'nı Amazon EKS kümelerinize genişletir.
    • sunucular için Microsoft Defender , tehdit algılama ve gelişmiş savunmaları Windows ve Linux EC2 örneklerine getirir. Bu plan, uç nokta, güvenlik temelleri ve işletim sistemi düzeyi değerlendirmeleri, güvenlik açığı değerlendirme taraması, uyarlamalı uygulama denetimleri (AAC), dosya bütünlüğü izleme (FIM) ve daha fazlasını içeren Microsoft Defender için tümleşik lisans içerir.

Bu ekran görüntüsünde, bulutun Genel Bakış Panosuiçin Defender 'da gösterilen AWS hesapları gösterilmektedir.

Bulutun Genel Bakış Panosu için Defender üzerinde listelenen dört AWS projesi

Kullanılabilirlik

Görünüş Ayrıntılar
Yayın durumu: Önizleme.
Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.
Fiyat Cspm planı ücretsizdir.
Kapsayıcılar Için Defender planı önizleme sırasında ücretsizdir. Bundan sonra, Azure kaynakları için Kubernetes planı için Defender ile aynı fiyata faturalandırılır.
Azure 'un Arc özellikli sunucularıylaAzure 'a bağlı her BIR AWS makinesi için, sunucular için Defender planı, Azure makineler Için Microsoft Defender planı ile aynı fiyata faturalandırılır. AWS EC2 Azure Arc Aracısı dağıtılırsa, bu makine için ücretlendirilmezsiniz.
Gerekli roller ve izinler: İlgili Azure aboneliğindeki sahibi
Bir sahip hizmet sorumlusu ayrıntılarını sağlıyorsa katkıda bulunan bir AWS hesabı da bağlanabilir (sunucular için Defender planı için gereklidir)
Larının Ticari bulutlar
Ulusal (Azure Kamu, Azure Çin 21Vianet)

Önkoşullar

  • AWS hesabını Azure aboneliğinize bağlamak için bir AWS hesabına erişmeniz gerekir.

  • Kubernetes planı Için Defender 'ı etkinleştirmek üzere şunları yapmanız gerekir:

    • EKS K8s API sunucusuna erişim izni olan en az bir Amazon EKS kümesi. Yeni bir EKS kümesi oluşturmanız gerekiyorsa, Amazon EKS – eksctl ile çalışmayabaşlama bölümündeki yönergeleri izleyin.
    • Yeni bir SQS kuyruğu oluşturmaya yönelik kaynak kapasitesi, Kinesı hortum teslim akışı ve kümenin bölgesindeki S3 demet.

  • Sunucu Için Defender planını etkinleştirmek üzere şunları yapmanız gerekir:

AWS hesabınıza bağlanma

AWS bulut bağlayıcınızı oluşturmak için aşağıdaki adımları izleyin.

  1. Bulut için Defender menüsünden ortam ayarları' nı açın.

  2. Ortam ekle > Amazon Web Services seçin.

    AWS hesabını bir Azure aboneliğine bağlama.

  3. AWS hesabının, bağlayıcı kaynağını depolayacağınız konum dahil ayrıntılarını girin ve Ileri ' yi seçin : planlar' ı seçin.

    AWS hesabı ekleme sihirbazının 1. adımı: hesap ayrıntılarını girin.

  4. Planları Seç sekmesi, bu AWS hesabı için hangi Defender 'ın bulut özelliklerini etkinleştireceğinizi seçersiniz.

    Not

    Her yetenek izinler için kendi gereksinimlerine sahiptir ve ücretlendirilemeyebilir.

    Planları Seç sekmesi, bu AWS hesabı için hangi Defender 'ın bulut özelliklerini etkinleştireceğinizi seçersiniz.

    Önemli

    Önerileriniz için geçerli durumu sunmak üzere CSPM planı, AWS kaynak API 'Lerini günde birkaç kez sorgular. Bu salt okunurdur bu API çağrıları ücret vermez, ancak okuma olayları için bir izleme etkinleştirdiyseniz Cloudizine kaydedilir. AWS belgelerindeaçıklandığı gibi, bir izinin tutulması için ek ücret alınmaz. Verileri AWS 'den dışarı aktarıyorsanız (örneğin, bir dış SıEM 'e), bu artan çağrı hacmi Ayrıca Alım maliyetlerini de artırabilir. Bu gibi durumlarda, Cloud User veya Account ARN: ARN: AWS: IAM:: [AccountID]: role/Cspmmonitortolarws için Defender 'dan salt okuma çağrılarının filtrelenmesini öneririz (Bu, varsayılan rol adıdır, hesabınızda yapılandırılan rol adını onaylayın).

    • AWS EC2 için Defender 'ı sunucu kapsamı için genişletmek üzere, sunucuların planını Açık olarak ayarlayın ve yapılandırmayı gerektiği gibi düzenleyin.

    • AWS EKS kümelerinizi korumak üzere Kubernetes için Defender için, Azure Arc özellikli Kubernetes ve Defender uzantısının yüklenmesi gerekir. Kapsayıcılar planını Açık olarak ayarlayın ve dağıtım için adanmış Defender önerisi, Amazon elastik Kubernetes hizmet kümelerini korumabölümünde açıklandığı gibi uzantıyı (ve gerekirse yayı) dağıtmak için kullanın.

  5. Kurulumu tamamladıktan sonra:

    1. İleri ' yi seçin: erişimi yapılandırma.
    2. Cloud, şablonunu indirin.
    3. İndirilen Cloudmesmesin şablonunu kullanarak, ekranda belirtildiği gibi AWS 'de yığın oluşturun.
    4. İleri ' yi seçin: gözden geçir ve oluştur.
    5. Oluştur’u seçin.

Bulut için Defender, AWS kaynaklarınızı hemen taramaya başlayacaktır ve birkaç saat içinde güvenlik önerileri görürsünüz.

Kullanılabilirlik

Görünüş Ayrıntılar
Yayın durumu: Genel kullanılabilirlik (GA)
Fiyat Sunucular Için Microsoft Defender gerektirir
Gerekli roller ve izinler: İlgili Azure aboneliğindeki sahibi
Bir sahip hizmet sorumlusu ayrıntılarını sağlıyorsa katkıda bulunan bir AWS hesabı da bağlanabilir
Larının Ticari bulutlar
Ulusal (Azure Kamu, Azure Çin 21Vianet)

AWS hesabınıza bağlanma

AWS bulut bağlayıcınızı oluşturmak için aşağıdaki adımları izleyin.

Adım 1. AWS güvenlik merkezini ayarlama:

  1. Birden çok bölgenin güvenlik önerilerini görüntülemek için, ilgili her bölge için aşağıdaki adımları tekrarlayın.

    Önemli

    AWS yönetim hesabı kullanıyorsanız, yönetim hesabını ve tüm bağlı üye hesaplarını tüm ilgili bölgelerde yapılandırmak için aşağıdaki üç adımı tekrarlayın

    1. AWS yapılandırmasınıetkinleştirin.
    2. AWS güvenlikmerkezini etkinleştirin.
    3. Verilerin güvenlik merkezine akan olduğunu doğrulayın. Güvenlik Merkezi 'ni ilk kez etkinleştirdiğinizde, verilerin kullanılabilir olması birkaç saat sürebilir.

Adım 2. AWS 'de bulut için Defender kimlik doğrulamasını ayarlama

Bulut için Defender 'ın AWS 'de kimlik doğrulamasına izin vermek için iki yol vardır:

  • Defender for Cloud için BIR IAM rolü oluşturma (önerilen)-en güvenli Yöntem
  • Bir ıAM etkin değilse, Defender Için AWS kullanıcısı -daha az güvenli bir seçenek

Bulut için Defender için bir ıAM rolü oluşturma

  1. Amazon Web Services konsolınızdan güvenlik, kimlik & uyumluluk altında IAM' i seçin. AWS Hizmetleri.

  2. Roller ' i ve rol oluştur' u seçin.

  3. Başka BIR AWS hesabı seçin.

  4. Şu ayrıntıları girin:

    • Hesap kimliği -MICROSOFT hesabı kimliğini (158177204117), Defender 'ın bulut için AWS bağlayıcı sayfasında gösterildiği gibi girin.
    • Dış kimlik gerektir -seçilmelidir
    • Dış kimlik -abonelik için Defender 'daki AWS bağlayıcı sayfasında gösterildiği gıbı abonelik kimliğini girin

  5. İleri’yi seçin.

  6. İzin Ilkeleri Ekle bölümünde aşağıdaki AWS yönetilen ilkeleriniseçin:

    • Securityauıdıt ( arn:aws:iam::aws:policy/SecurityAudit )
    • AmazonSSMAutomationRole ( arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole )
    • AWSSecurityHubReadOnlyAccess ( arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess )

  7. İsteğe bağlı olarak etiketler ekleyin. Kullanıcıya Etiketler eklemek bağlantıyı etkilemez.

  8. İleri’yi seçin.

  9. Roller listesinde, oluşturduğunuz rolü seçin

  10. Amazon kaynak adını (ARN) daha sonra kaydedin.

Bulut için bir AWS kullanıcısı oluşturun

  1. Kullanıcılar sekmesini açın ve Kullanıcı Ekle' yi seçin.

  2. Ayrıntılar adımında, bir Defender için bir Kullanıcı adı girin ve AWS erişim türü için programlı erişim ' i seçtiğinizden emin olun.

  3. Sonraki izinleri seçin.

  4. Mevcut ilkeleri doğrudan Ekle ' yi seçin ve aşağıdaki ilkeleri uygulayın:

    • Securityauıdıt
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess

  5. Sonraki: Etiketler' i seçin. İsteğe bağlı olarak etiketler ekleyin. Kullanıcıya Etiketler eklemek bağlantıyı etkilemez.

  6. Gözden geçir' i seçin.

  7. Otomatik olarak oluşturulan erişim anahtarı kimliğini ve gizli anahtar CSV dosyasını daha sonra için kaydedin.

  8. Özeti gözden geçirin ve Kullanıcı oluştur' u seçin.

3. Adım SSI aracısını yapılandırma

AWS sistem yöneticisi, AWS kaynaklarınızın tamamında görevleri otomatikleştirmek için gereklidir. EC2 örneklerinizin SSI Aracısı yoksa, Amazon ile ilgili yönergeleri izleyin:

4. Adım: Azure Arc önkoşullarını doldurun

  1. Uygun Azure kaynakları sağlayıcılarının kayıtlı olduğundan emin olun:

    • Microsoft. HybridCompute
    • Microsoft. GuestConfiguration

  2. Ölçekte ekleme için bir hizmet sorumlusu oluşturun. Ekleme için kullanmak istediğiniz abonelikte sahip olarak, ölçekte ekleme Için hizmet sorumlusu oluşturmabölümünde açıklandığı gibi, Azure Arc ekleme için bir hizmet sorumlusu oluşturun.

5. Adım. bulut için aws 'yi Defender 'a Bağlan

  1. Defender 'ın bulut menüsünde, ortam ayarları ' nı açın ve klasik bağlayıcılar deneyimine geri dönmek için seçeneği belirleyin.

    Defender 'ın bulut için içindeki klasik bulut bağlayıcıları deneyimine geri dönülüyor.

  2. AWS hesabı ekle' yi seçin. Bulutun çoklu bulut bağlayıcıları sayfası için Defender 'da AWS hesabı düğmesi ekleme

  3. AWS kimlik doğrulama sekmesindeki seçenekleri yapılandırın:

    1. Bağlayıcı için bir görünen ad girin.
    2. Aboneliğin doğru olduğunu onaylayın. Bağlayıcı ve AWS Güvenlik Merkezi önerilerini içerecek olan aboneliğiniz.
    3. Kimlik doğrulama seçeneğine bağlı olarak, adım 2 ' de seçmiş olursunuz . AWS 'de bulut için Defender kimlik doğrulamasını ayarla:

  4. İleri’yi seçin.

  5. Azure Arc yapılandırma sekmesindeki seçenekleri yapılandırın:

    Bulut için Defender, bağlı AWS hesabındaki EC2 örneklerini bulur ve bunları Azure yaya eklemek için SSD kullanır.

    İpucu

    Desteklenen işletim sistemlerinin listesi için bkz. EC2 örnekleri Için hangi işletim sistemleri destekleniyor? SSS.

    1. Bulunan AWS EC2s 'nin seçili abonelikte eklendi olacağı kaynak grubunu ve Azure bölgesini seçin.

    2. Burada açıklandığı gibi, Azure Arc için hizmet sorumlusu kimliği ve hizmet sorumlusu istemci gizli anahtarı ' nı, ölçekte ekleme için bir hizmet sorumlusu oluşturun

    3. Makine bir ara sunucu üzerinden İnternet 'e bağlanıyorsa, proxy sunucusu IP adresini veya makinenin proxy sunucusuyla iletişim kurmak için kullandığı ad ve bağlantı noktası numarasını belirtin. Değeri şu biçimde girin http://<proxyURL>:<proxyport>

    4. Gözden geçir ve oluştur’u seçin.

      Özet bilgilerini gözden geçirin

      Etiketler bölümleri, her eklendi EC2 için otomatik olarak oluşturulacak tüm Azure etiketlerini, Azure 'da kolayca tanımak için ilgili ayrıntılarla birlikte listeler.

      Azure kaynakları ve yönetim hiyerarşinizi düzenlemek için etiketleri kullanma etiketliAzure etiketleri hakkında daha fazla bilgi edinin.

6. Adım. Onay

Bağlayıcı başarıyla oluşturulduğunda ve AWS Güvenlik Merkezi düzgün şekilde yapılandırılmıştır:

  • Bulut için Defender, AWS EC2 örnekleri için ortamı tarar, Azure Arc 'a ekleyerek Log Analytics aracısını yüklemeyi ve tehdit koruması ve güvenlik önerileri sağlamayı sağlar.
  • Bulut hizmeti için Defender, her 6 saatte bir yeni AWS EC2 örnekleri tarar ve bunları yapılandırmaya göre yapar.
  • AWS CIS standardı, Defender 'ın yasal düzenleme uyumluluğu panosunda gösterilir.
  • Güvenlik Merkezi ilkesi etkinse, öneriler, bulut portalı için Defender 'da ve ekleme tamamlandıktan sonra mevzuat uyumluluk panosu 5-10 dakika içinde görüntülenir.

Bulut 'un öneriler sayfası için Defender 'daki AWS kaynakları ve önerileri

AWS kaynaklarınızı izleme

Önceki ekran görüntüsünde görebileceğiniz gibi, bulutun güvenlik önerileri sayfasına yönelik Defender AWS kaynaklarınızı görüntüler. Bulutun çoklu bulut özelliklerine yönelik Defender 'ın keyfini çıkarmak için ortamlar filtresini kullanabilirsiniz: Azure, AWS ve GCP kaynaklarına yönelik önerileri birlikte görüntüleyin.

Kaynaklarınızın tüm etkin önerilerini kaynak türüne göre görüntülemek için, bulutun varlık envanteri sayfasında Defender 'ı kullanın ve ilgilendiğiniz AWS kaynak türüne filtre uygulayın:

AWS seçeneklerini gösteren varlık envanteri sayfasının kaynak türü filtresi

SSS-bulut için Defender 'da AWS

EC2 örneklerim için hangi işletim sistemleri destekleniyor?

AWS makineleri için Azure yaya otomatik olarak ekleme için desteklenen işletim sistemi

  • Ubuntu 16,04-SSI Aracısı varsayılan olarak önceden yüklenir
  • Ubuntu 18,04-SSI Aracısı varsayılan olarak önceden yüklenir
  • Windows server-ssı aracısı varsayılan olarak önceden yüklenir
  • CentOS Linux 7 – SSI el ile yüklenmeli veya ayrı olarak eklenmelidir
  • SUSE Linux Enterprise Server (sles) 15 (x64)-ssı el ile veya eklendi olarak yüklenmelidir
  • Red Hat Enterprise Linux (rhel) 7 (x64)-ssm el ile veya eklendi olarak yüklenmelidir

Sonraki adımlar

AWS hesabınızı bağlamak, bulut için Microsoft Defender 'da bulunan çok bulut deneyiminin bir parçasıdır. İlgili bilgiler için şu sayfaya bakın: