Verbinden Ihres AWS-Kontos mit Microsoft Defender für Cloud

Workloads umfassen in der Regel mehrere Cloudplattformen. Cloudsicherheitsdienste müssen das Gleiche tun. Microsoft Defender for Cloud schützt Workloads in Amazon Web Services (AWS), aber Sie müssen die Verbindung zwischen diesem Dienst und Defender for Cloud einrichten.

Im folgenden Screenshot sehen Sie die AWS-Konten, die im Übersichtsdashboard von Defender for Cloud angezeigt werden.

Sie können mehr erfahren, indem Sie sich das Video Neuer AWS-Connector in Defender for Cloud aus der Videoserie Defender für Cloud im Einsatz ansehen.

Eine Referenzliste aller Empfehlungen, die Defender for Cloud für AWS-Ressourcen bietet, finden Sie unter Sicherheitsempfehlungen für AWS-Ressourcen: Referenzleitfaden.

AWS-Authentifizierungsvorgang

Zwischen Microsoft Defender for Cloud und AWS wird die Verbundauthentifizierung verwendet. Alle Ressourcen im Zusammenhang mit der Authentifizierung werden im Rahmen der Bereitstellung der CloudFormation-Vorlage erstellt, einschließlich:

• Ein Identitätsanbieter (OpenID Connect)

• Rollen für Identity & Access Management (IAM) mit einem Verbundprinzipal (der mit den Identitätsanbietern verbunden ist)

Die Architektur des cloudübergreifenden Authentifizierungsprozesses sieht wie folgt aus:

Der CSPM-Dienst von Microsoft Defender for Cloud ruft ein Microsoft Entra-Token mit einer Gültigkeitsdauer von 1 Stunde ab, das von Microsoft Entra ID mit dem RS256-Algorithmus signiert wird.

Das Microsoft Entra-Token wird gegen kurzlebige AWS-Anmeldeinformationen getauscht, und der CSPM-Dienst von Defender for Cloud übernimmt die IAM-Rolle für CSPM (mit Webidentität angenommen).

Da es sich bei dem Prinzipal der Rolle wie in einer Richtlinie für Vertrauensstellungen definiert um eine Verbundidentität handelt, prüft der AWS-Identitätsanbieter das Microsoft Entra-Token mit Microsoft Entra ID anhand eines Prozesses, der Folgendes umfasst:

• Prüfen der Zielgruppe

• Überprüfung der digitalen Tokensignatur

• Zertifikatfingerabdruck

Die CSPM-Rolle von Microsoft Defender for Cloud wird erst dann angenommen, wenn die für die Vertrauensbeziehung festgelegten Prüfbedingungen erfüllt sind. Die für die Rollenebene festgelegten Bedingungen dienen zur Prüfung innerhalb von AWS und ermöglichen nur der CSPM-Anwendung von Microsoft Defender for Cloud (geprüfte Zielgruppe) den Zugriff auf die spezifische Rolle (und keine anderen Microsoft Token).

Nachdem das Microsoft Entra-Token vom AWS-Identitätsanbieter validiert wurde, tauscht der AWS-Sicherheitstokendienst das Token gegen kurzzeitig gültige AWS-Anmeldeinformationen aus, die der CSPM-Service zum Überprüfen des AWS-Kontos verwendet.

Voraussetzungen

Die in diesem Artikel aufgeführten Verfahren setzen Folgendes voraus:

• Ein Microsoft Azure-Abonnement Falls Sie kein Azure-Abonnement haben, können Sie sich kostenlos registrieren.

• Einrichten von Microsoft Defender for Cloud in Ihrem Azure-Abonnement.

• Zugriff auf ein AWS-Konto.

• Berechtigung Mitwirkender für das entsprechende Azure-Abonnement und Berechtigung Administrator für das AWS-Konto.

Hinweis

Der AWS-Connector ist in den nationalen Government-Clouds (Azure Government, Microsoft Azure, betrieben von 21Vianet) nicht verfügbar.

Anforderungen an den nativen Connector-Plan

Jeder Plan hat seine eigenen Anforderungen an den nativen Connector.

Defender für Container

Wenn Sie den Plan Microsoft Defender for Containers auswählen, benötigen Sie Folgendes:

• Mindestens einen Amazon EKS-Cluster mit Zugriffsberechtigung auf den EKS Kubernetes-API-Server. Wenn Sie einen neuen EKS-Cluster erstellen müssen, befolgen Sie die Anweisungen unter Erste Schritte mit Amazon EKS – eksctl.
• Die Ressourcenkapazität zum Erstellen einer neuen Amazon SQS-Warteschlange, des Kinesis Data Fire Hose-Übermittlungsstreams und des Amazon S3-Buckets in der Region des Clusters.

Defender für SQL

Wenn Sie den Plan Microsoft Defender für SQL auswählen, benötigen Sie Folgendes:

• Microsoft Defender für SQL muss für das Abonnement aktiviert sein. Erfahren Sie, wie Sie Ihre Datenbanken schützen.
• Ein aktives AWS-Konto mit EC2-Instanzen, die SQL Server oder RDS Custom für SQL Server ausführen.
• Azure Arc für Server muss auf Ihren EC2 bzw. RDS Custom für SQL Server-Instanzen installiert sein.

Es wird empfohlen, den Prozess für die automatische Bereitstellung zu verwenden, um Azure Arc auf allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Zum Aktivieren der automatischen Azure Arc-Bereitstellung benötigen Sie die Berechtigungen der Besitzer-Rolle für das entsprechende Azure-Abonnement.

AWS Systems Manager (SSM) verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Auf einigen Amazon Machine Images ist der SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agent verfügen, installieren Sie ihn mithilfe der folgenden Anweisungen von Amazon: Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Windows).

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt. Es ermöglicht Kernfunktionen für den AWS Systems Manager-Dienst.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

• Microsoft Defender für den Endpunkt
• Eine Lösung zur Sicherheitsrisikobewertung (TVM oder Qualys)
• Der Log Analytics-Agent auf Azure Arc-verbundenen Maschinen oder der Azure Monitor-Agent

Stellen Sie sicher, dass im ausgewählten Log Analytics-Arbeitsbereich die Sicherheitslösung installiert ist. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und Google Cloud Platform-Projekte (GCP) unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.

Defender für Server

Wenn Sie den Plan Microsoft Defender for Servers auswählen, benötigen Sie Folgendes:

• Microsoft Defender für Server muss für das Abonnement aktiviert sein. Informationen zum Aktivieren von Plänen finden Sie unter Aktivieren erweiterter Sicherheitsfeatures.
• Ein aktives AWS-Konto mit EC2-Instanzen.
• Azure Arc für Server muss auf Ihren EC2-Instanzen installiert sein.

Es wird empfohlen, den Prozess für die automatische Bereitstellung zu verwenden, um Azure Arc auf allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Zum Aktivieren der automatischen Azure Arc-Bereitstellung benötigen Sie die Berechtigungen der Besitzer-Rolle für das entsprechende Azure-Abonnement.

AWS Systems Manager verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Auf einigen Amazon Machine Images ist der SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agenten verfügen, installieren Sie ihn mit Hilfe einer der folgenden Anweisungen von Amazon:

• Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Windows)
• Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Linux)

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt, die Kernfunktionen für den AWS Systems Manager-Dienst aktiviert.

Sie müssen über den SSM-Agent für die automatische Bereitstellung von Arc-Agent auf EC2-Computern verfügen. Wenn SSM nicht vorhanden ist oder aus der EC2-Instanz entfernt wird, kann die Arc-Bereitstellung nicht erfolgreich durchgeführt werden.

Hinweis

Im Rahmen der CloudFormation-Vorlage, die während des Onboardingprozesses ausgeführt wird, wird ein Automatisierungsprozess erstellt und alle 30 Tage über alle EC2s ausgelöst, die während der ersten Ausführung der Cloudformation vorhanden waren. Ziel dieser geplanten Überprüfung ist es, sicherzustellen, dass alle relevanten EC2s über ein IAM-Profil mit der erforderlichen IAM-Richtlinie verfügen, mit der Defender für Cloud auf die relevanten Sicherheitsfeatures zugreifen, verwalten und bereitstellen kann (einschließlich der Arc-Agent-Bereitstellung). Der Scan gilt nicht für EC2s, die nach der Ausführung der CloudFormation-Vorlage erstellt wurden.

Wenn Sie Azure Arc manuell auf Ihren vorhandenen und zukünftigen EC2-Instanzen installieren möchten, verwenden Sie die Empfehlung EC2-Instanzen sollten mit Azure Arc verbunden sein, um Instanzen zu identifizieren, auf denen Azure Arc nicht installiert ist.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

• Microsoft Defender für den Endpunkt
• Eine Lösung zur Sicherheitsrisikobewertung (TVM oder Qualys)
• Der Log Analytics-Agent auf Azure Arc-verbundenen Maschinen oder der Azure Monitor-Agent

Stellen Sie sicher, dass im ausgewählten Log Analytics-Arbeitsbereich die Sicherheitslösung installiert ist. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und GCP-Projekte unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.

Hinweis

Da der Log Analytics-Agent (auch bekannt als MMA) im August 2024 eingestellt wird, sind vor dem Einstellungsdatum alle Defender for Servers-Features und Sicherheitsfunktionen, die derzeit davon abhängen (einschließlich der auf dieser Seite beschriebenen Features), entweder über die Microsoft Defender for Endpoint-Integration oder das agentlose Überprüfen verfügbar. Weitere Informationen zur Roadmap für die einzelnen Features, die derzeit auf dem Log Analytics-Agent basieren, finden Sie in dieser Ankündigung.

Zusätzlich zu Ihren EC2-Instanzen weist Defender for Servers Ihren Azure Arc-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, sodass Defender for Cloud sie verwalten kann: AccountId, Cloud, InstanceId und MDFCSecurityConnector.

Defender CSPM

Wenn Sie den Microsoft Defender CSPM-Plan auswählen, benötigen Sie Folgendes:

• Ein Microsoft Azure-Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
• Verbinden Sie Ihre Nicht-Azure-Computer und Ihre AWS-Konten.
• Um Zugriff auf alle im CSPM-Plan verfügbaren Features zu erhalten, muss der Plan vom Abonnementbesitzer aktiviert werden.

Erfahren Sie, wie Sie Defender CSPM aktivieren.

Herstellen einer Verbindung mit Ihrem AWS-Konto

So verbinden Sie Ihr AWS mithilfe eines nativen Connectors mit Defender for Cloud:

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.

3. Wählen Sie Umgebung hinzufügen>Amazon Web Services aus.

   

4. Geben Sie die Details des AWS-Kontos ein, einschließlich des Speicherorts für die Connectorressource.

   

Hinweis

(Optional) Wählen Sie Verwaltungskonto aus, um einen Connector zu einem Verwaltungskonto zu erstellen. Anschließend werden Connectors für jedes Mitgliedskonto erstellt, das unter dem bereitgestellten Verwaltungskonto ermittelt wird. Die automatische Bereitstellung wird auch für alle neu integrierten Konten aktiviert.

(Optional) Verwenden Sie das Dropdownmenü für AWS-Regionen, um bestimmte AWS-Regionen auszuwählen, die überprüft werden sollen. Alle Regionen sind standardmäßig ausgewählt.

Auswählen von Defender-Plänen

In diesem Abschnitt des Assistenten wählen Sie die Defender for Cloud-Pläne aus, die Sie aktivieren möchten.

1. Klicken Sie auf Weiter: Pläne auswählen.

   Auf der Registerkarte Pläne auswählen wählen Sie aus, welche Defender for Cloud-Funktionen für dieses AWS-Konto aktiviert werden sollen. Jeder Plan verfügt über eigene Anforderungen für Berechtigungen und kann Gebühren verursachen.

   

   Wichtig

   Um den aktuellen Status Ihrer Empfehlungen anzuzeigen, fragt der Microsoft Defender Cloud Security Posture Management-Plan mehrmals täglich die AWS-Ressourcen-APIs ab. Für diese schreibgeschützten API-Aufrufe werden keine Gebühren berechnet, sie werden jedoch in CloudTrail registriert, wenn Sie einen Trail für Leseereignisse aktiviert haben.

   Wie in der AWS-Dokumentation erläutert, fallen für einen Trail keine zusätzlichen Gebühren an. Wenn Sie die Daten aus AWS exportieren (z. B. in ein externes SIEM-System), können sich durch diese erhöhte Anzahl von Aufrufen auch die Erfassungskosten erhöhen. In solchen Fällen wird empfohlen, die schreibgeschützten Aufrufe aus der Benutzer- oder ARN-Rolle im Defender for Cloud herauszufiltern: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Dies ist der Standardrollenname. Bestätigen Sie den für Ihr Konto konfigurierten Rollennamen.)

2. Standardmäßig ist der Plan Server auf Ein festgelegt. Diese Einstellung ist erforderlich, um die Abdeckung von Defender for Servers auf AWS EC2 zu erweitern. Stellen Sie sicher, dass die Netzwerkanforderungen für Azure Arc erfüllt sind.

   Optional wählen Sie Konfigurieren aus, um die Konfiguration nach Bedarf zu bearbeiten.

   Hinweis

   Die entsprechenden Azure Arc-Server für EC2-Instanzen oder GCP-VMs, die nicht mehr vorhanden sind (und die entsprechenden Azure Arc-Server mit dem Status Getrennt oder Abgelaufen) werden nach 7 Tagen entfernt. Durch diesen Prozess werden irrelevante Azure ARC-Entitäten entfernt, sodass nur Azure Arc-Server angezeigt werden, die sich auf vorhandene Instanzen beziehen.

3. Standardmäßig ist der Plan Container auf Ein festgelegt. Diese Einstellung ist erforderlich, damit Microsoft Defender for Containers Ihre AWS EKS-Cluster schützen kann. Stellen Sie sicher, dass die Netzwerkanforderungen für den Microsoft Defender for Containers-Plan erfüllt sind.

   Hinweis

   Kubernetes mit Azure Arc-Unterstützung, die Azure Arc-Erweiterungen für den Defender-Agent und Azure Policy für Kubernetes müssen installiert sein. Verwenden Sie die dedizierten Defender for Cloud-Empfehlungen, um die Erweiterungen (und bei Bedarf Azure Arc), wie unter Schützen von Amazon Elastic Kubernetes Service-Clustern erläutert, bereitzustellen.

   Optional wählen Sie Konfigurieren aus, um die Konfiguration nach Bedarf zu bearbeiten. Wenn Sie diese Konfiguration deaktivieren, ist auch das Feature Bedrohungserkennung (Steuerungsebene) deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

4. Standardmäßig ist der Datenbanken-Plan auf Ein festgelegt. Diese Einstellung ist erforderlich, um die Abdeckung von Defender for SQL auf Ihre AWS EC2- und RDS Custom for SQL Server-Instanzen zu erweitern.

   (Optional) Wählen Sie Konfigurieren aus, um die Konfiguration nach Bedarf zu bearbeiten. Es wird empfohlen, die Standardkonfiguration beizubehalten.

5. Wählen Sie Zugriff konfigurieren und dann Folgendes:

   a. Wählen Sie einen Bereitstellungstyp aus:

   • Standardzugriff: Ermöglicht es Defender for Cloud, Ihre Ressourcen zu überprüfen, und enthält automatisch zukünftige Funktionen.
   • Zugriff mit den geringsten Rechten: Gewährt Defender for Cloud nur Zugriff auf die aktuellen Berechtigungen, die für die ausgewählten Pläne erforderlich sind. Wenn Sie die Berechtigungen mit den geringsten Rechten auswählen, erhalten Sie Benachrichtigungen zu allen neuen Rollen und Berechtigungen, die erforderlich sind, um den vollständigen Funktionsumfang für die Connectorintegrität zu erhalten.

   b. Wählen Sie die Bereitstellungsmethode aus: AWS CloudFormation oder Terraform.

   

   Hinweis

   Wenn Sie ein Verwaltungskonto auswählen, um einen Connector zu einem Verwaltungskonto zu erstellen, ist die Registerkarte zum Durchführen des Onboardings mit Terraform in der Benutzeroberfläche nicht sichtbar, Sie können aber weiterhin Terraform für das Onboarding verwenden, ähnlich wie beim Onboarding Ihrer AWS/GCP-Umgebung in Microsoft Defender for Cloud mit Terraform – Microsoft Community Hub.

6. Befolgen Sie die Anweisungen auf dem Bildschirm für die ausgewählte Bereitstellungsmethode, um die erforderlichen Abhängigkeiten von AWS abzuschließen. Wenn Sie das Onboarding für ein Verwaltungskonto durchführen, müssen Sie die CloudFormation-Vorlage sowohl als Stack als auch als StackSet ausführen. Connectors werden für die Mitgliedskonten bis zu 24 Stunden nach dem Onboarding erstellt.

7. Wählen Sie Weiter: Überprüfen und generieren aus.

8. Klicken Sie auf Erstellen.

Defender for Cloud beginnt sofort mit der Überprüfung Ihrer AWS-Ressourcen. Sicherheitsempfehlungen werden innerhalb weniger Stunden angezeigt.

Bereitstellen einer CloudFormation-Vorlage in Ihrem AWS-Konto

Im Rahmen der Herstellung einer Verbindung eines AWS-Kontos mit Microsoft Defender for Cloud müssen Sie eine CloudFormation-Vorlage für das AWS-Konto bereitstellen. Diese Vorlage erstellt alle erforderlichen Ressourcen für die Verbindung.

Sie müssen die CloudFormation-Vorlage mit Stack (oder StackSet, wenn Sie ein Verwaltungskonto haben) bereitstellen. Beim Bereitstellen der Vorlage bietet der Erstellungs-Assistent von Stack die folgenden Optionen.

• Amazon S3-URL: Laden Sie die heruntergeladene CloudFormation-Vorlage mit Ihren eigenen Sicherheitskonfigurationen in Ihren eigenen S3-Bucket hoch. Geben Sie im AWS-Bereitstellungs-Assistenten die URL zum S3-Bucket ein.

• Hochladen einer Vorlagendatei: AWS erstellt automatisch einen S3-Bucket, in dem die CloudFormation-Vorlage gespeichert wird. Die Automatisierung für den S3-Bucket weist eine fehlerhafte Sicherheitskonfiguration auf, weshalb die Empfehlung S3 buckets should require requests to use Secure Socket Layer eingeblendet wird. Sie können diese Empfehlung entfernen, indem Sie die folgende Richtlinie anwenden:

  { 
    "Id": "ExamplePolicy", 
    "Version": "2012-10-17", 
    "Statement": [ 
      { 
        "Sid": "AllowSSLRequestsOnly", 
        "Action": "s3:*", 
        "Effect": "Deny", 
        "Resource": [ 
          "<S3_Bucket ARN>", 
          "<S3_Bucket ARN>/*" 
        ], 
        "Condition": { 
          "Bool": { 
            "aws:SecureTransport": "false" 
          } 
        }, 
        "Principal": "*" 
      } 
    ] 
  } 
  

  Hinweis

  Beim Ausführen von CloudFormation StackSets beim Onboarding eines AWS-Verwaltungskontos tritt möglicherweise die folgende Fehlermeldung auf: You must enable organizations access to operate a service managed stack set

  Dieser Fehler gibt an, dass Sie den vertrauenswürdigen Zugriff für AWS-Organisationen nicht aktiviert haben.

  Um diese Fehlermeldung zu beheben, verfügt Ihre CloudFormation StackSets-Seite über eine Eingabeaufforderung mit einer Schaltfläche, die Sie auswählen können, um den vertrauenswürdigen Zugriff zu aktivieren. Nachdem der vertrauenswürdige Zugriff aktiviert wurde, muss der CloudFormation-Stapel erneut ausgeführt werden.

Überwachen Ihrer AWS-Ressourcen

Auf der Seite „Sicherheitsempfehlungen“ von Defender for Cloud werden Ihre AWS-Ressourcen angezeigt. Sie können den Umgebungsfilter verwenden, um die Multicloudfunktionen von Defender for Cloud zu nutzen.

Zum Anzeigen aller aktiven Empfehlungen für Ihre Ressourcen nach Ressourcentyp verwenden Sie die Ressourcenbestandsseite von Defender for Cloud, und filtern Sie nach dem gewünschten AWS-Ressourcentyp.

Integrieren in Microsoft Defender XDR

Wenn Sie Defender for Cloud aktivieren, werden Defender for Cloud-Warnungen automatisch in das Microsoft Defender Portal integriert. Es sind keine weiteren Schritte erforderlich.

Die Integration zwischen Microsoft Defender for Cloud und Microsoft Defender XDR integriert Ihre Cloud-Umgebungen in Microsoft Defender XDR. Mit den in Microsoft Defender XDR integrierten Warnmeldungen und Cloud-Korrelationen von Defender for Cloud können SOC-Teams jetzt über eine einzige Schnittstelle auf alle Sicherheitsinformationen zugreifen.

Erfahren Sie mehr über die Warnungen in Microsoft Defender XDR von Defender for Cloud.

Weitere Informationen

Sehen Sie sich die folgenden Blogs an:

• Ignite 2021: News zu Microsoft Defender for Cloud
• Sicherheitsstatusverwaltung und Serverschutz für AWS und GCP

Bereinigen von Ressourcen

Für diesen Artikel müssen Sie keine Ressourcen bereinigen.

Nächste Schritte

Das Herstellen einer Verbindung mit Ihrem AWS-Konto ist Teil der in Microsoft Defender for Cloud verfügbaren Multi-Cloud-Umgebung:

• Schützen Sie alle Ihre Ressourcen mit Defender for Cloud.
• Richten Sie Ihre lokalen Computer und GCP-Projekte ein.
• Hier erhalten Sie Antworten auf allgemeine Fragen zum Onboarding Ihres AWS-Kontos.
• Problembehandlung bei Multi-Cloud-Connectors