Wie Defender for Cloud Apps Ihre AWS-Umgebung (Amazon Web Services) schützt

Amazon Web Services ist ein IaaS-Anbieter, mit dem Ihre organization ihre gesamten Workloads in der Cloud hosten und verwalten können. Neben den Vorteilen der Verwendung von Infrastruktur in der Cloud sind die wichtigsten Ressourcen Ihrer organization möglicherweise Bedrohungen ausgesetzt. Verfügbar gemachte Ressourcen umfassen Speicherinstanzen mit potenziell vertraulichen Informationen, Computeressourcen, die einige Ihrer wichtigsten Anwendungen betreiben, Ports und virtuelle private Netzwerke, die den Zugriff auf Ihre organization ermöglichen.

Wenn Sie AWS mit Defender for Cloud Apps verbinden, können Sie Ihre Ressourcen schützen und potenzielle Bedrohungen erkennen, indem Sie Verwaltungs- und Anmeldeaktivitäten überwachen, über mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos, ungewöhnliche Löschungen von virtuellen Computern (VMs) und öffentlich verfügbar gemachte Speicherbuckets benachrichtigen.

Hauptbedrohungen

Das Verbinden von AWS mit Defender for Cloud Apps hilft Ihnen, die folgenden Bedrohungen zu erkennen und darauf zu reagieren:

  • Missbrauch von Cloudressourcen
  • Kompromittierte Konten und Insider-Bedrohungen
  • Datenlecks
  • Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung

Wie Defender for Cloud Apps ihre Umgebung schützt

Defender for Cloud Apps trägt dazu bei, Ihre AWS-Umgebung auf folgende Weise zu schützen:

Steuern von AWS mit integrierten Richtlinien und Richtlinienvorlagen

Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:

Von Bedeutung

Dateirichtlinien werden am 6. Januar 2027 eingestellt. Um den dateibasierten Datenschutz für diese App aufrechtzuerhalten, migrieren Sie zu Microsoft Purview DLP- oder automatischen Bezeichnungsrichtlinien.

Typ Name
Vorlage für Aktivitätsrichtlinien Anmeldefehler bei der Admin-Konsole
Änderungen an der EC2-instance-Konfiguration
IAM-Richtlinienänderungen
Anmeldung von einer riskanten IP-Adresse
Änderungen an der Netzwerkzugriffssteuerungsliste (Network Access Control List, ACL)
Änderungen am Netzwerkgateway
Aktivität des S3-Buckets
Konfigurationsänderungen für Sicherheitsgruppen
Änderungen am virtuellen privaten Netzwerk
Integrierte Richtlinie zur Anomalieerkennung Aktivität von anonymen IP-Adressen
Aktivität aus seltenen Ländern
Aktivität von verdächtigen IP-Adressen
Unmögliche Reise
Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP)
Mehrere fehlgeschlagene Anmeldeversuche
Ungewöhnliche administrative Aktivitäten
Vorlage für Dateirichtlinien S3-Bucket ist öffentlich zugänglich

Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.

Automatisieren von Governancekontrollen

Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden AWS-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:

Typ Aktion
Benutzerverwaltung – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID)
– Benutzer muss sich erneut anmelden (über Microsoft Entra ID)
– Benutzer anhalten (über Microsoft Entra ID)
Datenverwaltung – Einen S3-Bucket als privat festlegen
– Einen Mitwirkenden aus einem S3-Bucket entfernen

Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.

AWS in Echtzeit schützen

Lesen Sie unsere bewährten Methoden zum Blockieren und Schützen des Downloads von vertrauliche Daten auf nicht verwaltete oder riskante Geräte.

Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps

Verwenden Sie die Connector-APIs, um Ihr vorhandenes Amazon Web Services (AWS)-Konto mit Microsoft Defender for Cloud Apps zu verbinden. Informationen dazu, wie Defender for Cloud Apps AWS schützt, finden Sie unter Schützen von AWS.

Sie können AWS-Sicherheitsaudits mit Verbindungen in Defender for Cloud Apps verbinden, um Transparenz über die Nutzung von AWS-Apps zu erhalten und diese zu steuern.

Schritt 1: Konfigurieren der Amazon Web Services-Überwachung

Führen Sie die folgenden Schritte aus, um die AWS-Überwachung für Defender for Cloud Apps zu konfigurieren:

  1. Anmelden bei der Amazon Web Services-Konsole

  2. Fügen Sie einen neuen Benutzer für Defender for Cloud Apps hinzu, und gewähren Sie dem Benutzer programmgesteuerten Zugriff.

  3. Wählen Sie Richtlinie erstellen aus, und geben Sie einen Namen für ihre neue Richtlinie ein.

  4. Wählen Sie die Registerkarte JSON aus, und fügen Sie das folgende Skript ein:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  5. Wählen Sie .csvherunterladen aus, um eine Kopie der Anmeldeinformationen des neuen Benutzers zu speichern. Sie benötigen sie später.

    Hinweis

    Nachdem Sie AWS verbunden haben, erhalten Sie Ereignisse aus den sieben Tagen vor dem Verbindungszeitpunkt. Wenn Sie CloudTrail gerade aktiviert haben, erhalten Sie Ereignisse ab dem Zeitpunkt, zu dem Sie CloudTrail aktiviert haben.

Schritt 2: Verbinden der Amazon Web Services-Überwachung mit Defender for Cloud Apps

Führen Sie die folgenden Schritte aus, um die AWS-Überwachung mit Defender for Cloud Apps zu verbinden:

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.

  2. Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldeinformationen des AWS-Connectors anzugeben:

Für einen neuen Connector

  1. Wählen Sie +App verbinden, gefolgt von Amazon Web Services aus.

    Screenshot, der zeigt, wo sie die Schaltfläche +App verbinden im Microsoft Defender-Portal finden.

  2. Geben Sie im nächsten Fenster einen Namen für den Connector ein, und wählen Sie dann Weiter aus.

    Screenshot, der zeigt, wie Sie den Instanznamen für Ihren neuen AWS-Connector hinzufügen.

  3. Wählen Sie auf der Seite Amazon Web Services verbindendie Option Sicherheitsüberwachung und dann Weiter aus.

  4. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den Geheimen Schlüssel aus der .csv-Datei in die relevanten Felder ein, und wählen Sie Weiter aus.

    Screenshot: Seite zur Überwachung der AWS-App-Sicherheit und der Eingabe des Zugriffsschlüssels und des geheimen Schlüssels

Für einen vorhandenen Connector

  1. Wählen Sie in der Liste der Connectors in der Zeile, in der der AWS-Connector angezeigt wird, Die Option Einstellungen bearbeiten aus.

  2. Wählen Sie auf den Seiten Instanzname und Amazon Web Services verbindendie Option Weiter aus. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den Geheimen Schlüssel aus der .csv-Datei in die relevanten Felder ein, und wählen Sie Weiter aus.

    Screenshot: Seite zur Überwachung der AWS-App-Sicherheit und der Eingabe des Zugriffsschlüssels und des geheimen Schlüssels

  3. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der Status des verbundenen App-Connectors Verbunden ist.

Nächste Schritte