Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt

Amazon Web Services ist ein IaaS-Anbieter, mit dem Ihre Organisation ihre gesamten Workloads in der Cloud hosten und verwalten kann. Die Nutzung der Infrastruktur in der Cloud hat jedoch die Kehrseite, dass kritische Ressourcen Ihrer Organisation Bedrohungen ausgesetzt sein können. Anfällige Ressourcen sind Speicherinstanzen mit potenziell vertraulichen Informationen, Computerressourcen, die einige Ihrer wichtigsten Anwendungen, Ports und virtuellen privaten Netzwerke betreiben, die den Zugriff auf Ihre Organisation ermöglichen.

Durch die Verbindung von AWS mit Defender for Cloud Apps können Sie Ihre Ressourcen sichern und potenzielle Bedrohungen erkennen, indem Sie administrative und Anmeldeaktivitäten überwachen und über mögliche Brute-Force-Angriffe, die böswillige Verwendung eines privilegierten Benutzerkontos, ungewöhnliche Löschungen von VMs und öffentlich verfügbare gemachte Speicherbuckets benachrichtigen.

Größte Bedrohungen

  • Missbrauch von Cloudressourcen
  • Kompromittierte Konten und Insiderbedrohungen
  • Datenlecks
  • Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung

So hilft Ihnen Defender for Cloud Apps beim Schutz Ihrer Umgebung

Steuern von AWS mit integrierten Richtlinien und Richtlinienvorlagen

Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu melden:

Typ Name
Aktivitätsrichtlinienvorlage Fehler bei der Anmeldung über die Verwaltungskonsole
Änderungen der CloudTrail-Konfiguration
EC2-Instanzkonfigurationsänderungen
IAM-Richtlinienänderungen
Anmeldung von einer riskanten IP-Adresse
Änderungen an der Zugriffssteuerungsliste (ACL) für das Netzwerk
Änderungen am Netzwerkgateway
S3-Konfigurationsänderungen
Konfigurationsänderungen bei Sicherheitsgruppen
Änderungen am virtuellen privaten Netzwerk
Integrierte Anomalieerkennungsrichtlinie Aktivitäten von anonymen IP-Adressen
Aktivität aus selten verwendetem Land
Aktivität von verdächtigen IP-Adressen
Unmöglicher Ortswechsel
Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP)
Mehrere fehlerhafte Anmeldeversuche
Ungewöhnliche Administratoraktivitäten
Mehrere ungewöhnliche Löschaktivitäten im Speicher (Vorschau)
Mehrere Aktivitäten zum Löschen von VMs
Mehrere ungewöhnliche VM-Erstellungsaktivitäten (Vorschau)
Ungewöhnliche Region für Cloudressource (Vorschau)
Dateirichtlinienvorlage S3-Bucket ist öffentlich zugänglich

Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.

Automatisieren von Governance-Kontrollen

Neben der Überwachung potenzieller Bedrohungen können Sie die folgenden AWS-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:

Typ Aktion
Benutzer-Governance – Mitteilen des Benutzers über die Benachrichtigung (über Microsoft Entra-ID)
– Benutzer müssen sich erneut anmelden (über Microsoft Entra-ID)
– Benutzer sperren (über Microsoft Entra-ID)
Datengovernance - Einen S3-Bucket auf privat setzen
- Zugriff eines Mitarbeiters auf einen S3-Bucket aufheben

Weitere Informationen zum Beheben von Bedrohungen aus Apps finden Sie unter Verwalten verbundener Apps.

Echtzeitschutz von AWS

Überprüfen Sie unsere bewährten Methoden zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.

Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps

Dieser Abschnitt enthält Anweisungen zum Verbinden Ihres vorhandenen Amazon Web Services (AWS)-Kontos mit Microsoft Defender für Cloud-Apps mithilfe der Connector-APIs. Informationen darüber, wie Defender for Cloud Apps AWS schützt, finden Sie unter Schutz von AWS.

Sie können die AWS-Sicherheitsüberwachung mit Defender for Cloud Apps verbinden, um erhöhte Sichtbarkeit und Kontrolle über die Nutzung von AWS-Apps zu erhalten.

Schritt 1: Konfigurieren der Amazon Web Services-Überwachung

  1. Wählen Sie in Ihrer Amazon Web Services-Konsole unter "Sicherheit, Identität & Compliance" die Option "IAM" aus.

    AWS identity and access.

  2. Wählen Sie Benutzer und dann Benutzer hinzufügen.

    AWS users.

  3. Geben Sie beim Schritt Details einen neuen Benutzernamen für Defender for Cloud Apps an. Wählen Sie unter Zugriffstyp die Option Programmgesteuerter Zugriff, und klicken Sie auf Nächste Berechtigungen.

    Create user in AWS.

  4. Wählen Sie Vorhandene Richtlinien direkt anfügen und dann Richtlinie erstellen.

    Attach existing policies.

  5. Wählen Sie die Registerkarte JSON:

    AWS JSON tab.

  6. Fügen Sie das folgende Skript in den zur Verfügung gestellten Bereich ein:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Klicken Sie auf Weiter: Tags.

    AWS code.

  8. Klicken Sie auf Weiter: Review (Weiter: Überprüfen).

    Add tags (optional).

  9. Geben Sie einen Namen ein, und wählen Sie Richtlinie erstellen.

    Provide AWS policy name.

  10. Aktualisieren Sie auf dem Bildschirm Benutzer hinzufügen bei Bedarf die Liste, und wählen Sie den/die Benutzer*in aus, den/die Sie erstellt haben. Klicken Sie anschließend auf Weiter: Tags.

    Attach existing policy in AWS.

  11. Klicken Sie auf Weiter: Review (Weiter: Überprüfen).

  12. Wenn alle Informationen richtig sind, klicken Sie auf Benutzer erstellen.

    User permissions in AWS.

  13. Wenn Sie die Meldung erhalten, dass der Vorgang erfolgreich war, klicken Sie auf CSV herunterladen, um eine Kopie der neuen Benutzeranmeldeinformationen zu speichern. Sie benötigen sie später.

    Download csv in AWS.

    Hinweis

    Nachdem Sie eine Verbindung mit AWS hergestellt haben, empfangen Sie die Ereignisse der letzten sieben Tage vor der Verbindungsherstellung. Wenn Sie CloudTrail gerade aktiviert haben, empfangen Sie die Ereignisse ab dem Zeitpunkt, an dem Sie CloudTrail aktiviert haben.

Schritt 2: Verbinden der Amazon Web Services-Überwachung mit Defender for Cloud Apps

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors.

  2. Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldedaten des AWS-Connectors bereitzustellen:

    Neuer Connector

    1. Wählen Sie +App verbinden, gefolgt von Amazon Web Services.

      connect AWS auditing.

    2. Geben Sie dem Connector im nächsten Fenster einen Namen, und wählen Sie Weiter.

      AWS auditing connector name.

    3. Wählen Sie auf der Seite Amazon Web Services verbinden die Sicherheitsüberwachung und dann Weiter.

    4. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.

      Connect AWS app security auditing for new connector.

    Bestehender Connector

    1. Wählen Sie in der Liste der Connectors in der Zeile, in der der AWS-Connector angezeigt wird, die Option Einstellungen bearbeiten.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Wählen Sie auf den Seiten Instanzname und Amazon Web Services verbinden die Option Weiter. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.

      Connect AWS app security auditing for existing connector.

  3. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors. Stellen Sie sicher, dass der Status des verbundenen App-Connectors Verbunden lautet.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.