Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt
Amazon Web Services ist ein IaaS-Anbieter, mit dem Ihre Organisation ihre gesamten Workloads in der Cloud hosten und verwalten kann. Die Nutzung der Infrastruktur in der Cloud hat jedoch die Kehrseite, dass kritische Ressourcen Ihrer Organisation Bedrohungen ausgesetzt sein können. Anfällige Ressourcen sind Speicherinstanzen mit potenziell vertraulichen Informationen, Computerressourcen, die einige Ihrer wichtigsten Anwendungen, Ports und virtuellen privaten Netzwerke betreiben, die den Zugriff auf Ihre Organisation ermöglichen.
Durch die Verbindung von AWS mit Defender for Cloud Apps können Sie Ihre Ressourcen sichern und potenzielle Bedrohungen erkennen, indem Sie administrative und Anmeldeaktivitäten überwachen und über mögliche Brute-Force-Angriffe, die böswillige Verwendung eines privilegierten Benutzerkontos, ungewöhnliche Löschungen von VMs und öffentlich verfügbare gemachte Speicherbuckets benachrichtigen.
Größte Bedrohungen
- Missbrauch von Cloudressourcen
- Kompromittierte Konten und Insiderbedrohungen
- Datenlecks
- Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung
So hilft Ihnen Defender for Cloud Apps beim Schutz Ihrer Umgebung
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Einschränken der Gefährdung von freigegebenen Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
Steuern von AWS mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu melden:
| type | Name |
|---|---|
| Aktivitätsrichtlinienvorlage | Fehler bei der Anmeldung über die Verwaltungskonsole Änderungen der CloudTrail-Konfiguration EC2-Instanzkonfigurationsänderungen IAM-Richtlinienänderungen Anmeldung von einer riskanten IP-Adresse Änderungen an der Zugriffssteuerungsliste (ACL) für das Netzwerk Änderungen am Netzwerkgateway S3 Eimer Aktivität Konfigurationsänderungen bei Sicherheitsgruppen Änderungen am virtuellen privaten Netzwerk |
| Integrierte Anomalieerkennungsrichtlinie | Aktivitäten von anonymen IP-Adressen Aktivität aus selten verwendetem Land Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP) Mehrere fehlerhafte Anmeldeversuche Ungewöhnliche Administratoraktivitäten Mehrere ungewöhnliche Löschaktivitäten im Speicher (Vorschau) Mehrere Aktivitäten zum Löschen von VMs Mehrere ungewöhnliche VM-Erstellungsaktivitäten (Vorschau) Ungewöhnliche Region für Cloudressource (Vorschau) |
| Dateirichtlinienvorlage | S3-Bucket ist öffentlich zugänglich |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Automatisieren von Governance-Kontrollen
Neben der Überwachung potenzieller Bedrohungen können Sie die folgenden AWS-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
| type | Aktion |
|---|---|
| Benutzer-Governance | – Mitteilen des Benutzers über die Benachrichtigung (über Microsoft Entra-ID) – Benutzer müssen sich erneut anmelden (über Microsoft Entra-ID) – Benutzer sperren (über Microsoft Entra-ID) |
| Datengovernance | - Einen S3-Bucket auf privat setzen - Zugriff eines Mitarbeiters auf einen S3-Bucket aufheben |
Weitere Informationen zum Beheben von Bedrohungen aus Apps finden Sie unter Verwalten verbundener Apps.
Echtzeitschutz von AWS
Überprüfen Sie unsere bewährten Methoden zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps
Dieser Abschnitt enthält Anweisungen für die Verbindung Ihres bestehenden Amazon Web Services (AWS)-Kontos mit Microsoft Defender for Cloud Apps unter Verwendung der Connector-APIs. Informationen darüber, wie Defender for Cloud Apps AWS schützt, finden Sie unter Schutz von AWS.
Sie können die AWS-Sicherheitsüberwachung mit Defender for Cloud Apps verbinden, um erhöhte Sichtbarkeit und Kontrolle über die Nutzung von AWS-Apps zu erhalten.
Schritt 1: Konfigurieren der Amazon Web Services-Überwachung
Wählen Sie in Ihrer Amazon Web Services-Konsole unter Sicherheit, Identität & Compliance den Eintrag IAM.
Wählen Sie Benutzer und dann Benutzer hinzufügen.
Geben Sie beim Schritt Details einen neuen Benutzernamen für Defender for Cloud Apps an. Vergewissern Sie sich, dass Sie unter Zugriffsart Programmatischen Zugriff und Nächste Berechtigungen auswählen.
Wählen Sie Vorhandene Richtlinien direkt anfügen und dann Richtlinie erstellen.
Wählen Sie die Registerkarte JSON:
Fügen Sie das folgende Skript in den zur Verfügung gestellten Bereich ein:
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }Klicken Sie auf Weiter: Tags.
Klicken Sie auf Weiter: Review (Weiter: Überprüfen).
Geben Sie einen Namen ein, und wählen Sie Richtlinie erstellen.
Aktualisieren Sie auf dem Bildschirm Benutzer hinzufügen bei Bedarf die Liste, und wählen Sie den/die Benutzer*in aus, den/die Sie erstellt haben. Klicken Sie anschließend auf Weiter: Tags.
Klicken Sie auf Weiter: Review (Weiter: Überprüfen).
Wenn alle Informationen richtig sind, klicken Sie auf Benutzer erstellen.
Wenn Sie die Meldung erhalten, dass der Vorgang erfolgreich war, klicken Sie auf CSV herunterladen, um eine Kopie der neuen Benutzeranmeldeinformationen zu speichern. Sie benötigen sie später.
Hinweis
Nachdem Sie eine Verbindung mit AWS hergestellt haben, empfangen Sie die Ereignisse der letzten sieben Tage vor der Verbindungsherstellung. Wenn Sie CloudTrail gerade aktiviert haben, empfangen Sie die Ereignisse ab dem Zeitpunkt, an dem Sie CloudTrail aktiviert haben.
Schritt 2: Verbinden der Amazon Web Services-Überwachung mit Defender for Cloud Apps
Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors.
Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldedaten des AWS-Connectors bereitzustellen:
Neuer Connector
Wählen Sie +App verbinden, gefolgt von Amazon Web Services.
Geben Sie dem Connector im nächsten Fenster einen Namen, und wählen Sie Weiter.
Wählen Sie auf der Seite Amazon Web Services verbinden die Sicherheitsüberwachung und dann Weiter.
Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.
Bestehender Connector
Wählen Sie in der Liste der Connectors in der Zeile, in der der AWS-Connector angezeigt wird, die Option Einstellungen bearbeiten.
Wählen Sie auf den Seiten Instanzname und Amazon Web Services verbinden die Option Weiter. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors. Stellen Sie sicher, dass der Status des verbundenen App-Connectors Verbunden lautet.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.