Jak Defender for Cloud Apps pomáhá chránit vaše prostředí Amazon Web Services (AWS)

  • Článek

Amazon Web Services je poskytovatel IaaS, který vaší organizaci umožňuje hostovat a spravovat celé úlohy v cloudu. Spolu s výhodami využívání infrastruktury v cloudu můžou být nejdůležitější prostředky vaší organizace vystavené hrozbám. Vystavené prostředky zahrnují instance úložiště s potenciálně citlivými informacemi, výpočetní prostředky, které pracují s některými nejdůležitějšími aplikacemi, porty a virtuálními privátními sítěmi, které umožňují přístup k vaší organizaci.

Připojení AWS to Defender for Cloud Apps pomáhá zabezpečit vaše prostředky a detekovat potenciální hrozby monitorováním aktivit správy a přihlašování, upozorňováním na možné útoky hrubou silou, škodlivým použitím privilegovaného uživatelského účtu, neobvyklým odstraněním virtuálních počítačů a veřejně vystavenými kontejnery úložiště.

Hlavní hrozby

  • Zneužití cloudových prostředků
  • Ohrožené účty a vnitřní hrozby
  • Únik dat
  • Chybná konfigurace prostředků a nedostatečná kontrola přístupu

Jak Defender for Cloud Apps pomáhá chránit vaše prostředí

Řízení AWS pomocí předdefinovaných zásad a šablon zásad

K detekci a upozornění na potenciální hrozby můžete použít následující předdefinované šablony zásad:

Typ Název
Šablona zásad aktivit selhání přihlášení ke konzole Správa
Změny konfigurace CloudTrail
Změny konfigurace instance EC2
Změny zásad IAM
Přihlášení z rizikové IP adresy
Změny seznamu řízení přístupu k síti (ACL)
Změny brány sítě
Změny konfigurace S3
Změny konfigurace skupiny zabezpečení
Změny virtuální privátní sítě
Předdefinované zásady detekce anomálií Aktivita z anonymních IP adres
Aktivita z občasné země
Aktivita z podezřelých IP adres
Nemožné cestování
Aktivita prováděná ukončeným uživatelem (vyžaduje ID Microsoft Entra jako zprostředkovatele identity)
Několik neúspěšných pokusů o přihlášení
Neobvyklé administrativní aktivity
Neobvyklé více aktivit odstranění úložiště (Preview)
Několik aktivit odstranění virtuálních počítačů
Neobvyklé aktivity vytváření několika virtuálních počítačů (Preview)
Neobvyklá oblast pro cloudový prostředek (Preview)
Šablona zásad souborů Kontejner S3 je veřejně přístupný

Další informace o vytváření zásad najdete v tématu Vytvoření zásady.

Automatizace ovládacích prvků zásad správného řízení

Kromě monitorování potenciálních hrozeb můžete použít a automatizovat následující akce zásad správného řízení AWS k nápravě zjištěných hrozeb:

Typ Akce
Zásady správného řízení uživatelů - Upozornit uživatele na upozornění (přes Microsoft Entra ID)
– Vyžadovat, aby se uživatel znovu přihlásil (přes Microsoft Entra ID)
- Pozastavit uživatele (přes Microsoft Entra ID)
Zásady správného řízení dat – Nastavení kontejneru S3 jako soukromé
– Odebrání spolupracovníka pro kbelík S3

Další informace o nápravě hrozeb z aplikací najdete v tématu Řízení připojených aplikací.

Ochrana AWS v reálném čase

Projděte si naše osvědčené postupy pro blokování a ochranu stahování citlivých dat do nespravovaných nebo rizikových zařízení.

Připojení Amazon Web Services do Microsoft Defenderu for Cloud Apps

Tato část obsahuje pokyny pro připojení stávajícího účtu Amazon Web Services (AWS) k Microsoft Defenderu for Cloud Apps pomocí rozhraní API konektoru. Informace o tom, jak Defender for Cloud Apps chrání AWS, najdete v tématu Ochrana AWS.

Auditování zabezpečení AWS můžete připojit k připojení Defenderu for Cloud Apps, abyste získali přehled o používání aplikací AWS a kontrolu nad nimi.

Krok 1: Konfigurace auditování Amazon Web Services

  1. V konzole Amazon Web Services v části Zabezpečení, Identita a Dodržování předpisů vyberte IAM.

    AWS identity and access.

  2. Vyberte Uživatelé a pak vyberte Přidat uživatele.

    AWS users.

  3. V kroku Podrobnosti zadejte nové uživatelské jméno pro Defender for Cloud Apps. Ujistěte se, že v části Typ přístupu vyberete Programový přístup a vyberete Další oprávnění.

    Create user in AWS.

  4. Vyberte Připojit existující zásady přímo a pak vytvořte zásadu.

    Attach existing policies.

  5. Vyberte kartu JSON:

    AWS JSON tab.

  6. Do zadané oblasti vložte následující skript:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Vybrat další: Značky

    AWS code.

  8. Vyberte Další: Zkontrolovat.

    Add tags (optional).

  9. Zadejte název a vyberte Vytvořit zásadu.

    Provide AWS policy name.

  10. Zpátky na obrazovce Přidat uživatele aktualizujte seznam v případě potřeby a vyberte uživatele, který jste vytvořili, a vyberte Další: Značky.

    Attach existing policy in AWS.

  11. Vyberte Další: Zkontrolovat.

  12. Pokud jsou všechny podrobnosti správné, vyberte Vytvořit uživatele.

    User permissions in AWS.

  13. Až se zobrazí zpráva o úspěchu, vyberte Stáhnout .csv a uložte kopii přihlašovacích údajů nového uživatele. Budete je potřebovat později.

    Download csv in AWS.

    Poznámka:

    Po připojení AWS obdržíte události po dobu sedmi dnů před připojením. Pokud jste právě povolili CloudTrail, obdržíte události z doby, kdy jste cloudTrail povolili.

Krok 2: Připojení auditování Amazon Web Services v programu Defender for Cloud Apps

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors).

  2. Na stránce Konektor aplikace s zadejte přihlašovací údaje konektoru AWS:

    Pro nový konektor

    1. Vyberte +Připojení aplikaci a potom Amazon Web Services.

      connect AWS auditing.

    2. V dalším okně zadejte název konektoru a pak vyberte Další.

      AWS auditing connector name.

    3. Na stránce Připojení Amazon Web Services vyberte Auditování zabezpečení a pak vyberte Další.

    4. Na stránce Auditování zabezpečení vložte přístupový klíč a tajný klíč ze souboru .csv do příslušných polí a vyberte Další.

      Connect AWS app security auditing for new connector.

    Pro existující konektor

    1. V seznamu konektorů vyberte na řádku, ve kterém se zobrazí konektor AWS, možnost Upravit nastavení.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Na stránce Název instance a Připojení stránky Amazon Web Services vyberte Další. Na stránce Auditování zabezpečení vložte přístupový klíč a tajný klíč ze souboru .csv do příslušných polí a vyberte Další.

      Connect AWS app security auditing for existing connector.

  3. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors). Ujistěte se, že je stav připojené aplikace Připojení or Připojení.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.