Defender for Cloud 应用如何帮助保护你的 Amazon Web Services (AWS) 环境

  • 项目

Amazon Web Services 是一家 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了利用云中基础结构的好处外,组织最关键的资产可能会受到威胁。 暴露的资产包括具有潜在敏感信息的存储实例、运行某些关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网。

将 AWS 连接到 Defender for Cloud Apps,通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户、异常删除虚拟机以及公开暴露的存储桶,来帮助你保护资产并检测潜在威胁。

主要威胁

  • 滥用云资源
  • 帐户被盗用和内部威胁
  • 数据泄露
  • 资源配置错误和访问控制不足

Defender for Cloud Apps 如何保护你的环境

使用内置策略和策略模板控制 AWS

可以使用以下内置策略模板来检测潜在威胁并向你发出通知:

类型 名称
活动策略模板 管理控制台登录失败
CloudTrail 配置更改
EC2 实例配置更改
IAM 策略更改
从风险性 IP 地址登录
网络访问控制列表 (ACL) 更改
网关更改
S3 配置更改
安全组配置更改
虚拟专用网更改
内置异常情况检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
多次失败的登录尝试
异常管理活动
异常的多个存储删除活动(预览)
多个删除虚拟机活动
异常的多个虚拟机创建活动(预览)
云资源的异常区域(预览)
文件策略模板 S3 存储桶可公开访问

有关创建策略的详细信息,请参阅创建策略

自动执行治理控制

除了监视潜在威胁之外,你还可以应用并自动执行以下 AWS 治理操作,来修复检测到的威胁:

类型 操作
用户治理 - 发出警报时通知用户(通过 Microsoft Entra ID)
- 要求用户再次登录(通过 Microsoft Entra ID)
- 暂停用户(通过 Microsoft Entra ID)
数据管理 - 将 S3 存储桶设为专用
- 删除 S3 存储桶的协作者

有关修复应用威胁的更多信息,请参阅治理连接的应用

实时保护 AWS

查看有关阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。

将 Amazon Web Services 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用连接器 API 将现有 Amazon Web Services (AWS) 帐户连接到 Microsoft Defender for Cloud Apps 的说明。 有关 Defender for Cloud Apps 如何保护 AWS 的信息,请参阅保护 AWS

可以将 AWS 安全审核连接到 Defender for Cloud Apps 连接,以便深入了解和控制 AWS 应用的使用。

步骤 1:配置 Amazon Web Services 审核

  1. 在 Amazon Web Services 控制台的“安全性”、“标识和符合性”下,选择“IAM”。

    AWS identity and access.

  2. 选择“用户”,然后选择“添加用户”

    AWS users.

  3. 在“详细信息”步骤中,为 Defender for Cloud Apps 提供新用户名。 请务必选中“访问类型”下的“编程访问”,再选择“下一权限”

    Create user in AWS.

  4. 选择“直接附加现有策略”,然后选择“创建策略”

    Attach existing policies.

  5. 选择“JSON”选项卡:

    AWS JSON tab.

  6. 将以下脚本粘贴到提供的区域:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. 选择“下一步:标记”

    AWS code.

  8. 选择“下一步:查看”

    Add tags (optional).

  9. 提供“名称”,并选择“创建策略”

    Provide AWS policy name.

  10. 返回到“添加用户”屏幕,视需要刷新列表,选择已创建的用户,再选择“下一步:标记”

    Attach existing policy in AWS.

  11. 选择“下一步:查看”

  12. 如果所有详细信息正确无误,请选择“创建用户”

    User permissions in AWS.

  13. 收到成功消息时,选择“下载 .csv”,以保存新用户凭证的副本。 稍后需要用到这些。

    Download csv in AWS.

    注意

    连接 AWS 后,将收到连接前七天内的所有事件。 如果仅仅启用了 CloudTrail,将会收到启用 CloudTrail 后发生的事件。

步骤 2:将 Amazon Web Services 审核连接到 Defender for Cloud Apps

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”

  2. 在“应用连接器”页面中,要提供 AWS 连接器凭证,请执行以下操作之一:

    对于新连接器

    1. 选择“+ 连接应用”,然后选择“Amazon Web Services”

      connect AWS auditing.

    2. 在下一个窗口中,提供连接器的名称,然后选择“下一步”

      AWS auditing connector name.

    3. 在“连接 Amazon Web Services”页面,选择“安全审核”,然后选择“下一步”

    4. 在“安全审核”页面,将 .csv 文件中的访问密钥密钥粘贴到相关字段中,然后选择“下一步”

      Connect AWS app security auditing for new connector.

    对于现有连接器

    1. 在连接器列表中显示 AWS 连接器的行上,选择编辑设置

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. 在“实例名称”和“连接 Amazon Web Services”页面,选择“下一步”。 在“安全审核”页面,将 .csv 文件中的访问密钥密钥粘贴到相关字段中,然后选择“下一步”

      Connect AWS app security auditing for existing connector.

  3. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。

后续步骤

使用策略控制云应用

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证