Sdílet prostřednictvím

Jak Defender for Cloud Apps pomáhá chránit vaše prostředí Amazon Web Services (AWS)

  • Článek

Amazon Web Services je poskytovatel IaaS, který vaší organizaci umožňuje hostovat a spravovat celé úlohy v cloudu. Spolu s výhodami využívání infrastruktury v cloudu můžou být nejdůležitější prostředky vaší organizace vystavené hrozbám. Vystavené prostředky zahrnují instance úložiště s potenciálně citlivými informacemi, výpočetní prostředky, které pracují s některými nejdůležitějšími aplikacemi, porty a virtuálními privátními sítěmi, které umožňují přístup k vaší organizaci.

Připojení AWS to Defender for Cloud Apps pomáhá zabezpečit vaše prostředky a detekovat potenciální hrozby monitorováním aktivit správy a přihlašování, upozorňováním na možné útoky hrubou silou, škodlivým použitím privilegovaného uživatelského účtu, neobvyklým odstraněním virtuálních počítačů a veřejně vystavenými kontejnery úložiště.

Hlavní hrozby

  • Zneužití cloudových prostředků
  • Ohrožené účty a vnitřní hrozby
  • Únik dat
  • Chybná konfigurace prostředků a nedostatečná kontrola přístupu

Jak Defender for Cloud Apps pomáhá chránit vaše prostředí

Řízení AWS pomocí předdefinovaných zásad a šablon zásad

K detekci a upozornění na potenciální hrozby můžete použít následující předdefinované šablony zásad:

Typ Název
Šablona zásad aktivit selhání přihlášení ke konzole Správa
Změny konfigurace CloudTrail
Změny konfigurace instance EC2
Změny zásad IAM
Přihlášení z rizikové IP adresy
Změny seznamu řízení přístupu k síti (ACL)
Změny brány sítě
Aktivita kbelíku S3
Změny konfigurace skupiny zabezpečení
Změny virtuální privátní sítě
Předdefinované zásady detekce anomálií Aktivita z anonymních IP adres
Aktivita z občasné země
Aktivita z podezřelých IP adres
Nemožné cestování
Aktivita prováděná ukončeným uživatelem (vyžaduje ID Microsoft Entra jako zprostředkovatele identity)
Několik neúspěšných pokusů o přihlášení
Neobvyklé administrativní aktivity
Neobvyklé více aktivit odstranění úložiště (Preview)
Několik aktivit odstranění virtuálních počítačů
Neobvyklé aktivity vytváření několika virtuálních počítačů (Preview)
Neobvyklá oblast pro cloudový prostředek (Preview)
Šablona zásad souborů Kontejner S3 je veřejně přístupný

Další informace o vytváření zásad najdete v tématu Vytvoření zásady.

Automatizace ovládacích prvků zásad správného řízení

Kromě monitorování potenciálních hrozeb můžete použít a automatizovat následující akce zásad správného řízení AWS k nápravě zjištěných hrozeb:

Typ Akce
Zásady správného řízení uživatelů - Upozornit uživatele na upozornění (přes Microsoft Entra ID)
– Vyžadovat, aby se uživatel znovu přihlásil (přes Microsoft Entra ID)
- Pozastavit uživatele (přes Microsoft Entra ID)
Zásady správného řízení dat – Nastavení kontejneru S3 jako soukromé
– Odebrání spolupracovníka pro kbelík S3

Další informace o nápravě hrozeb z aplikací najdete v tématu Řízení připojených aplikací.

Ochrana AWS v reálném čase

Projděte si naše osvědčené postupy pro blokování a ochranu stahování citlivých dat do nespravovaných nebo rizikových zařízení.

Připojení Amazon Web Services do Microsoft Defenderu for Cloud Apps

Tato část obsahuje pokyny pro připojení stávajícího účtu Amazon Web Services (AWS) k Microsoft Defenderu for Cloud Apps pomocí rozhraní API konektoru. Informace o tom, jak Defender for Cloud Apps chrání AWS, najdete v tématu Ochrana AWS.

Auditování zabezpečení AWS můžete připojit k připojení Defenderu for Cloud Apps, abyste získali přehled o používání aplikací AWS a kontrolu nad nimi.

Krok 1: Konfigurace auditování Amazon Web Services

  1. V konzole Amazon Web Services v části Zabezpečení, Identita a Dodržování předpisů vyberte IAM.

    Identita a přístup k AWS.

  2. Vyberte Uživatelé a pak vyberte Přidat uživatele.

    Uživatelé AWS.

  3. V kroku Podrobnosti zadejte nové uživatelské jméno pro Defender for Cloud Apps. Ujistěte se, že v části Typ přístupu vyberete Programový přístup a vyberete Další oprávnění.

    Vytvořte uživatele v AWS.

  4. Vyberte Připojit existující zásady přímo a pak vytvořte zásadu.

    Připojte existující zásady.

  5. Vyberte kartu JSON:

    Karta AWS JSON

  6. Do zadané oblasti vložte následující skript:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Vybrat další: Značky

    Kód AWS.

  8. Vyberte Další: Zkontrolovat.

    Přidejte značky (volitelné).

  9. Zadejte název a vyberte Vytvořit zásadu.

    Zadejte název zásady AWS.

  10. Zpátky na obrazovce Přidat uživatele aktualizujte seznam v případě potřeby a vyberte uživatele, který jste vytvořili, a vyberte Další: Značky.

    Připojte existující zásady v AWS.

  11. Vyberte Další: Zkontrolovat.

  12. Pokud jsou všechny podrobnosti správné, vyberte Vytvořit uživatele.

    Uživatelská oprávnění v AWS.

  13. Až se zobrazí zpráva o úspěchu, vyberte Stáhnout .csv a uložte kopii přihlašovacích údajů nového uživatele. Budete je potřebovat později.

    Stáhněte si csv v AWS.

    Poznámka:

    Po připojení AWS obdržíte události po dobu sedmi dnů před připojením. Pokud jste právě povolili CloudTrail, obdržíte události z doby, kdy jste cloudTrail povolili.

Krok 2: Připojení auditování Amazon Web Services v programu Defender for Cloud Apps

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors).

  2. Na stránce Konektor aplikace s zadejte přihlašovací údaje konektoru AWS:

    Pro nový konektor

    1. Vyberte +Připojení aplikaci a potom Amazon Web Services.

      připojení auditování AWS.

    2. V dalším okně zadejte název konektoru a pak vyberte Další.

      Název konektoru auditování AWS

    3. Na stránce Připojení Amazon Web Services vyberte Auditování zabezpečení a pak vyberte Další.

    4. Na stránce Auditování zabezpečení vložte přístupový klíč a tajný klíč ze souboru .csv do příslušných polí a vyberte Další.

      Připojení auditování zabezpečení aplikací AWS pro nový konektor.

    Pro existující konektor

    1. V seznamu konektorů vyberte na řádku, ve kterém se zobrazí konektor AWS, možnost Upravit nastavení.

      Snímek obrazovky se stránkou Připojení ed Apps (Aplikace) zobrazující odkaz upravit auditování zabezpečení

    2. Na stránce Název instance a Připojení stránky Amazon Web Services vyberte Další. Na stránce Auditování zabezpečení vložte přístupový klíč a tajný klíč ze souboru .csv do příslušných polí a vyberte Další.

      Připojení auditování zabezpečení aplikací AWS pro existující konektor.

  3. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed apps (Aplikace) vyberte App Připojení ors (Připojení ors). Ujistěte se, že je stav připojené aplikace Připojení or Připojení.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.