Wie Defender for Cloud Apps Ihre AWS-Umgebung (Amazon Web Services) schützt
Artikel
Amazon Web Services ist ein IaaS-Anbieter, mit dem Ihre organization ihre gesamten Workloads in der Cloud hosten und verwalten können. Neben den Vorteilen der Nutzung der Infrastruktur in der Cloud können die wichtigsten Ressourcen Ihrer organization Bedrohungen ausgesetzt sein. Verfügbar gemachte Ressourcen umfassen Speicherinstanzen mit potenziell vertraulichen Informationen, Computeressourcen, die einige Ihrer wichtigsten Anwendungen betreiben, Ports und virtuelle private Netzwerke, die den Zugriff auf Ihre organization ermöglichen.
Wenn Sie AWS mit Defender for Cloud Apps verbinden, können Sie Ihre Ressourcen schützen und potenzielle Bedrohungen erkennen, indem Sie Verwaltungs- und Anmeldeaktivitäten überwachen, über mögliche Brute-Force-Angriffe, böswillige Verwendung eines privilegierten Benutzerkontos, ungewöhnliche Löschungen von VMs und öffentlich verfügbar gemachte Speicherbuckets benachrichtigen.
Hauptbedrohungen
Missbrauch von Cloudressourcen
Kompromittierte Konten und Insider-Bedrohungen
Datenlecks
Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung
Steuern von AWS mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
Typ
Name
Aktivitätsrichtlinienvorlage
Anmeldefehler bei Admin-Konsole Änderungen an der CloudTrail-Konfiguration Änderungen an der EC2-instance-Konfiguration IAM-Richtlinienänderungen Anmeldung von einer riskanten IP-Adresse Änderungen an der Netzwerkzugriffssteuerungsliste (Network Access Control List, ACL) Änderungen am Netzwerkgateway S3-Bucketaktivität Konfigurationsänderungen für Sicherheitsgruppen Änderungen am virtuellen privaten Netzwerk
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden AWS-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
Typ
Aktion
Benutzergovernance
– Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID)
Datengovernance
– Einen S3-Bucket privat machen – Entfernen eines Mitarbeiters für einen S3-Bucket
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps
Dieser Abschnitt enthält Anweisungen zum Verbinden Ihres vorhandenen AWS-Kontos (Amazon Web Services) mit Microsoft Defender for Cloud Apps mithilfe der Connector-APIs. Informationen dazu, wie Defender for Cloud Apps AWS schützt, finden Sie unter Schützen von AWS.
Sie können die AWS-Sicherheitsüberwachung mit Defender for Cloud Apps Verbindungen verbinden, um Einblick in die Verwendung und Kontrolle über die VERWENDUNG von AWS-Apps zu erhalten.
Schritt 1: Konfigurieren der Amazon Web Services-Überwachung
Wählen Sie in Ihrer Amazon Web Services-Konsole unter Sicherheit, Identität & Compliance die Option IAM aus.
Wählen Sie Benutzer und dann Benutzer hinzufügen aus.
Geben Sie im Schritt Details einen neuen Benutzernamen für Defender for Cloud Apps an. Stellen Sie sicher, dass Sie unter Zugriffstypdie Option Programmgesteuerter Zugriff und dann Nächste Berechtigungen auswählen.
Wählen Sie Vorhandene Richtlinien direkt anfügen und dann Richtlinie erstellen aus.
Wählen Sie die Registerkarte JSON aus:
Fügen Sie das folgende Skript in den bereitgestellten Bereich ein:
Geben Sie einen Namen an, und wählen Sie Richtlinie erstellen aus.
.
Aktualisieren Sie im Bildschirm Benutzer hinzufügen die Liste bei Bedarf, und wählen Sie den erstellten Benutzer aus, und wählen Sie Weiter: Tags aus.
Wählen Sie Weiter: Überprüfen aus.
Wenn alle Details korrekt sind, wählen Sie Benutzer erstellen aus.
Wenn Sie die Erfolgsmeldung erhalten, wählen Sie download .csv aus, um eine Kopie der Anmeldeinformationen des neuen Benutzers zu speichern. Diese benötigen Sie später.
Hinweis
Nachdem Sie eine Verbindung mit AWS hergestellt haben, erhalten Sie sieben Tage vor der Verbindung Ereignisse. Wenn Sie CloudTrail gerade aktiviert haben, erhalten Sie Ereignisse ab dem Zeitpunkt, zu dem Sie CloudTrail aktiviert haben.
Schritt 2: Verbinden der Amazon Web Services-Überwachung mit Defender for Cloud Apps
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldeinformationen des AWS-Connectors anzugeben:
Für einen neuen Connector
Wählen Sie +App verbinden, gefolgt von Amazon Web Services aus.
Geben Sie im nächsten Fenster einen Namen für den Connector ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Amazon Web Services verbindendie Option Sicherheitsüberwachung und dann Weiter aus.
Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den Geheimen Schlüssel aus der .csv-Datei in die relevanten Felder ein, und wählen Sie Weiter aus.
Für einen vorhandenen Connector
Wählen Sie in der Liste der Connectors in der Zeile, in der der AWS-Connector angezeigt wird, Die Option Einstellungen bearbeiten aus.
Wählen Sie auf den Seiten Instanzname und Amazon Web Services verbindendie Option Weiter aus. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den Geheimen Schlüssel aus der .csv-Datei in die relevanten Felder ein, und wählen Sie Weiter aus.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.
Microsoft Defender for Cloud Apps ist ein Cloud Access Security Broker (CASB), der in mehreren Clouds ausgeführt wird. Dieser Dienst bietet umfassende Sichtbarkeit, Kontrolle bei der Datenübertragung, und modernste Analysen, die Cyberbedrohungen in all Ihren Clouddiensten erkennen und abwehren. Erfahren Sie, wie Sie Defender for Cloud Apps in Ihrer Organisation verwenden.