Editar

Soluciones de seguridad de Azure para AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Esta guía muestra cómo Microsoft Defender for Cloud Apps y Microsoft Sentinel puede mejorar la protección del acceso de las cuentas y los entornos de Amazon Web Services (AWS).

Las organizaciones de AWS que usan Microsoft Entra ID para Microsoft 365 o la protección de acceso y la identidad en la nube híbrida pueden implementar Microsoft Entra ID para las cuentas de AWS de forma rápida y sencilla, a menudo sin costo adicional.

Architecture

En este diagrama se resume cómo se pueden beneficiar las instalaciones de AWS de los componentes principales de seguridad de Microsoft:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Descargue un archivo de PowerPoint de esta arquitectura.

Flujo de trabajo

  • Microsoft Entra ID proporciona un inicio de sesión único (SSO) centralizado y una autenticación segura a través de la autenticación multifactor y la función de acceso condicional. Microsoft Entra ID admite las identidades basadas en roles y la autorización de AWS para acceder a los recursos de AWS. Para más información e instrucciones detalladas, consulte Identidad y administración de acceso de Microsoft Entra ID para AWS. Microsoft Entra Permissions Management es un producto de gestión de derechos de la infraestructura de la nube (CIEM) que proporciona una visibilidad y un control completos de los permisos para cualquier identidad o recurso de AWS. Puede usar la administración de permisos de Microsoft Entra para:

    • Obtenga una vista multidimensional del riesgo mediante la evaluación de identidades, permisos y recursos.
    • Automatice la aplicación de la directiva de privilegios mínimos en toda la infraestructura multinube.
    • Use la detección de anomalías y valores atípicos para evitar infracciones de datos causadas por el uso indebido y la explotación malintencionada de los permisos.

    Para obtener más información e instrucciones detalladas de incorporación, consulte Incorporación de una cuenta de Amazon Web Services (AWS).

  • Defender para aplicaciones en la nube:

    • Se integra con la característica de acceso condicional de Microsoft Entra para aplicar restricciones adicionales.
    • Ayuda a supervisar y proteger las sesiones después del inicio de sesión.
    • Usa el análisis del comportamiento del usuario (UBA) y otras API de AWS para supervisar las sesiones y los usuarios y para apoyar la protección de la información.

  • Microsoft Defender for Cloud muestra las recomendaciones de seguridad de AWS en el portal de Defender for Cloud junto con las recomendaciones de Azure. Defender for Cloud ofrece más de 160 recomendaciones para infraestructura como servicio (IaaS) y servicios de plataforma como servicio (PaaS). También proporciona compatibilidad con estándares normativos, incluidos los estándares de Center for Internet Security (CIS) y del sector de tarjetas de pago (PCI), y para el estándar de mejores prácticas de seguridad de los fundamentos de AWS. Defender for Cloud también proporciona protección de cargas de trabajo en la nube (CWP) para clústeres de Amazon EKS, instancias de AWS EC2 y servidores SQL que se ejecutan en AWS EC2.

  • Microsoft Sentinel se integra con Defender for Cloud Apps y AWS para detectar amenazas y responder automáticamente a ellas. Microsoft Sentinel supervisa el entorno de AWS en busca de problemas de configuración, posible malware y amenazas avanzadas para las identidades, los dispositivos, las aplicaciones y los datos de AWS.

Componentes

Defender for Cloud Apps para obtener visibilidad y control

Cuando varios usuarios o roles realizan cambios administrativos, una consecuencia puede ser el desfase de configuración de la arquitectura y los estándares de seguridad previstos. Los estándares de seguridad también pueden cambiar con el tiempo. El personal de seguridad debe detectar de forma constante y coherente los nuevos riesgos, evaluar las opciones de mitigación y actualizar la arquitectura de seguridad para evitar posibles infracciones. La administración de la seguridad en varios entornos de nube pública y de infraestructura privada puede ser pesada.

Defender for Cloud Apps es una plataforma de agente de seguridad de acceso a la nube (CASB) con funcionalidades de administración de la posición de seguridad en la nube (CSPM). Defender for Cloud Apps se puede conectar a varios servicios y aplicaciones en la nube para recopilar registros de seguridad, supervisar el comportamiento de los usuarios e imponer restricciones que las propias plataformas no pueden ofrecer.

Defender for Cloud Apps proporciona varias características que se pueden integrar con AWS para obtener ventajas inmediatas:

  • El conector de aplicaciones de Defender for Cloud Apps utiliza varias API de AWS, incluida la API UBA, para buscar problemas de configuración y amenazas en la plataforma AWS.
  • Los controles de acceso de AWS pueden aplicar restricciones de inicio de sesión basadas en la aplicación, el dispositivo, la dirección IP, la ubicación, el ISP registrado y los atributos de usuario específicos.
  • Los controles de sesión para AWS bloquean cargas de malware potenciales o descargas basadas en laInteligencia contra amenazas de Microsoft Defender o en la inspección de contenido en tiempo real.
  • Los controles de sesión también pueden usar la inspección de contenido en tiempo real y la detección de datos confidenciales para imponer reglas de prevención de pérdida de datos (DLP) que impiden operaciones de cortar, copiar, pegar o imprimir.

Defender for Cloud Apps está disponible de forma independiente o como parte de Microsoft Enterprise Mobility + Security E5, que incluye Microsoft Entra ID P2. Para obtener información sobre precios y licencias, consulte Opciones de precios de Enterprise Mobility + Security.

Plataformas de Defender for Cloud para CSPM y CWP (CWPP)

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo. Defender for Cloud ayuda a proteger las cargas de trabajo en Azure, AWS y Google Cloud Platform (GCP).

Defender for Cloud proporciona una conexión sin agente a su cuenta de AWS. Defender for Cloud también ofrece planes para proteger los recursos de AWS:

Microsoft Sentinel para la detección de amenazas avanzada

Las amenazas pueden proceder de una amplia gama de dispositivos, aplicaciones, ubicaciones y tipos de usuario. La DLP requiere inspeccionar el contenido durante la carga o la descarga, ya que la revisión posterior podría ser demasiado tarde. AWS no tiene funcionalidades nativas para la administración de dispositivos y aplicaciones, acceso condicional basado en riesgos, controles basados en sesión ni UBA en línea.

Es fundamental que las soluciones de seguridad reduzcan la complejidad y proporcionen una protección completa independientemente de si los recursos están en entornos multinube, locales o híbridos. Defender for Cloud proporciona CSPM y CWP. Defender for Cloud identifica puntos débiles de configuración en AWS para ayudar a reforzar la posición de seguridad general. También ayuda a proporcionar protección contra amenazas para clústeres de Amazon EKS Linux, instancias de AWS EC2 y servidores SQL server en AWS EC2.

Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR) que centraliza y coordina la detección de amenazas y la automatización de la respuesta para las operaciones de seguridad modernas. Microsoft Sentinel puede supervisar las cuentas de AWS para comparar eventos entre varios firewalls, dispositivos de red y servidores. Microsoft Sentinel combina los datos de supervisión con la inteligencia sobre amenazas, las reglas de análisis y el aprendizaje automático para detectar técnicas de ataque avanzadas y responder a ellas.

Puede conectar AWS y Defender for Cloud Apps con Microsoft Sentinel. A continuación, puede ver las alertas de Defender for Cloud Apps y ejecutar comprobaciones de amenazas adicionales que usan varias fuentes de Inteligencia sobre amenazas de Defender. Microsoft Sentinel puede iniciar una respuesta coordinada fuera de Defender for Cloud Apps. Microsoft Sentinel también puede integrarse con soluciones de administración de servicios de TI (ITSM) y conservar datos a largo plazo con fines de cumplimiento.

Detalles del escenario

Microsoft ofrece varias soluciones de seguridad que pueden ayudar a proteger los entornos y las cuentas de Amazon Web Services (AWS).

Se pueden integrar otros componentes de seguridad de Microsoft con Microsoft Entra ID para proporcionar seguridad adicional para las cuentas de AWS:

  • Defender for Cloud Apps respalda Microsoft Entra ID con la protección de las sesiones y la supervisión del comportamiento de los usuarios.
  • Defender for Cloud proporciona protección contra amenazas a las cargas de trabajo de AWS. También ayuda a reforzar proactivamente la seguridad de los entornos de AWS y usa un enfoque sin agente para conectarse a esos entornos.
  • Microsoft Sentinel se integra con Microsoft Entra ID y Defender for Cloud Apps para detectar amenazas y responder automáticamente a ellas en entornos de AWS.

Estas soluciones de seguridad de Microsoft son ampliables y ofrecen múltiples niveles de protección. Puede implementar una o más de estas soluciones junto con otros tipos de protección para obtener una arquitectura de seguridad completa que ayude a proteger las implementaciones actuales y futuras de AWS.

Posibles casos de uso

En este artículo se proporciona a los arquitectos de identidad de AWS, los administradores y los analistas de seguridad información detallada inmediata e instrucciones detalladas para implementar varias soluciones de identidad de Microsoft.

Recomendaciones

Tenga en cuenta los siguientes puntos al desarrollar una solución de seguridad.

Recomendaciones de seguridad

Los siguientes principios y directrices son importantes en cualquier solución de seguridad en la nube:

  • Asegúrese de que la organización pueda supervisar, detectar y proteger automáticamente el acceso de los usuarios y mediante programación en los entornos en la nube.
  • Revise continuamente las cuentas actuales para garantizar la gobernanza y el control de las identidades y los permisos.
  • Siga los principios de privilegios mínimos y confianza cero. Asegúrese de que los usuarios puedan acceder solo a los recursos específicos que necesitan, desde dispositivos de confianza y lugares conocidos. Reduzca los permisos de cada administrador y desarrollador para proporcionar solo los derechos que necesitan para la función que desempeñan. Realice revisiones periódicas.
  • Supervise continuamente los cambios en la configuración de la plataforma, en especial si proporcionan oportunidades para la elevación de privilegios o la persistencia de ataques.
  • Evite la filtración de datos no autorizada mediante la inspección y el control del contenido de forma activa.
  • Aproveche las soluciones que ya posee, como Microsoft Entra ID P2, que pueden aumentar la seguridad sin gastos adicionales.

Seguridad básica de la cuenta de AWS

Para garantizar la higiene de seguridad básica de las cuentas y los recursos de AWS, haga lo siguiente:

  • Revise la guía de seguridad de AWS en Procedimientos recomendados para proteger las cuentas y los recursos de AWS.
  • Reduzca el riesgo de la carga y descarga de malware y otro contenido malintencionado mediante la inspección activa de todas las transferencias de datos a través de la consola de administración de AWS. El contenido que cargue o descargue directamente en los recursos de la plataforma de AWS, como los servidores web o las bases de datos, podría necesitar una protección adicional.
  • Considere la posibilidad de proteger el acceso a otros recursos, por ejemplo:
    • Recursos creados dentro de la cuenta de AWS.
    • Plataformas de carga de trabajo específicas, como Windows Server, Linux Server o contenedores.
    • Dispositivos que los administradores y desarrolladores usan para acceder a la consola de administración de AWS.

Implementación de este escenario

Siga los pasos de las secciones siguientes para implementar una solución de seguridad.

Planeación y preparación

Para prepararse para la implementación de soluciones de seguridad de Azure, revise y registre la información actual de las cuentas de Microsoft Entra y AWS. Si tiene más de una cuenta de AWS implementada, repita estos pasos con cada una de ellas.

  1. En la consola de administración de facturación de AWS, registre la siguiente información actual de la cuenta de AWS:

    • ID de cuenta de AWS: un identificador único.
    • Nombre de la cuenta: o usuario raíz.
    • Método de pago: si se asigna a una tarjeta de crédito o a un contrato de facturación de empresa.
    • Contactos alternativos: quién tiene acceso a la información de la cuenta de AWS.
    • Preguntas de seguridad: se actualizan y registran de forma segura para el acceso de emergencia.
    • Regiones de AWS: se habilitan o deshabilitan para cumplir con la directiva de seguridad de los datos.

  2. En Azure Portal, revise el inquilino de Microsoft Entra:

    • Evalúe la información del inquilino para ver si este tiene una licencia de Microsoft Entra ID P1 o P2. Una licencia P2 proporciona características de administración de identidades avanzada de Microsoft Entra.
    • Evalúe las aplicaciones empresariales para ver si las aplicaciones existentes usan el tipo de aplicación de AWS, como se muestra en http://aws.amazon.com/ en la columna Homepage URL (Dirección URL de la página principal).

Implementación de Defender for Cloud Apps

Una vez que implemente la administración central y la autenticación segura que requiere la administración moderna de identidad y acceso, puede implementar Defender for Cloud Apps para:

  • Recopilar datos de seguridad y llevar a cabo detecciones de amenazas para las cuentas de AWS.
  • Implementar controles avanzados para mitigar el riesgo y evitar la pérdida de datos.

Para implementar Defender for Cloud Apps:

  1. Agregue un conector de aplicaciones de Defender for Cloud Apps para AWS.
  2. Configurar directivas de supervisión de Defender for Cloud Apps para las actividades de AWS.
  3. Cree una aplicación empresarial para el inicio de sesión único en AWS.
  4. Creación de una aplicación de control de aplicaciones de acceso condicional en Defender for Cloud Apps.
  5. Configure las directivas de sesión de Microsoft Entra para las actividades de AWS.
  6. Probar las directivas de Defender for Cloud Apps para AWS.

Adición de un conector de aplicaciones de AWS

  1. En el portal de Defender for Cloud Apps, expanda Investigar y seleccione Aplicaciones conectadas.

  2. En la página Conectores de aplicaciones, seleccione el Signo de más (+) y, a continuación, seleccione Amazon Web Services de la lista.

  3. Use un nombre único para el conector. En el nombre, incluya un identificador para la empresa y la cuenta específica de AWS, por ejemplo Contoso-AWS-Account1.

  4. Siga las instrucciones en Conectar AWS a Microsoft Defender for Cloud Apps para crear un usuario de gestión de identidad y acceso (IAM) de AWS adecuado.

    1. Defina una directiva para permisos restringidos.
    2. Cree una cuenta de servicio usar esos permisos en nombre del servicio Defender for Cloud Apps.
    3. Proporcione las credenciales para el conector de aplicaciones.

El tiempo necesario para establecer la conexión inicial depende de los tamaños de registro de la cuenta de AWS. Una vez completada la conexión, verá una confirmación de conexión:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Configuración de directivas de supervisión de Defender for Cloud Apps para actividades de AWS

Después de activar el conector de aplicaciones, Defender for Cloud Apps muestra nuevas plantillas y opciones en el generador de configuración de directivas. Puede crear directivas directamente desde las plantillas y modificarlas para sus necesidades. También puede desarrollar una directiva sin usar las plantillas.

Para implementar directivas mediante las plantillas:

  1. En la ventana de navegación izquierdo de Defender for Cloud Apps, expanda Control y seleccione Plantillas.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Busque aws y revise las plantillas de directiva disponibles para AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Para usar una plantilla, seleccione el Signo más (+) a la derecha del elemento de la plantilla.

  4. Cada tipo de directiva tiene distintas opciones. Revise los ajustes de configuración y guarde la directiva. Repita este paso para cada plantilla.

    Screenshot of the Create file policy page, with various options visible.

    Para utilizar las directivas de archivos, asegúrese de que la configuración de supervisión de archivos está activada en la configuración de Defender for Cloud Apps:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

A medida que Defender for Cloud Apps detecta alertas, las muestra en la página Alertas del portal de Defender for Cloud Apps:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Cree una aplicación empresarial para el inicio de sesión único en AWS.

Siga las instrucciones que se indican en Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con el inicio de sesión único de AWS para crear una aplicación empresarial para el SSO en AWS. Aquí tiene un resumen del procedimiento:

  1. Añada el SSO de AWS desde la galería.
  2. Configuración y prueba del inicio de sesión único de Microsoft Entra para el SSO de AWS:
    1. Configuración del inicio de sesión único de Microsoft Entra.
    2. Configuración del inicio de sesión único de AWS.
    3. Creación de un usuario de prueba de SSO de AWS.
    4. Pruebe el inicio de sesión único.

Creación de una aplicación de control de aplicaciones de acceso condicional en Defender for Cloud Apps

  1. Vaya al portal de Defender for Cloud Apps, seleccione Investigar, y luego seleccione Aplicaciones conectadas.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Seleccione Aplicaciones de Control de aplicaciones de acceso condicional y, a continuación, seleccione Agregar.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. En el cuadro Buscar una aplicación, introduzca Amazon Web Services y seleccione la aplicación. Seleccione Iniciar asistente.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Seleccione Rellenar los datos manualmente. Escriba el valor de url del servicio de consumidor de aserciones que se muestra en la captura de pantalla siguiente y, a continuación, seleccione Siguiente.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. En la página siguiente, omita los pasos de configuración externa. Seleccione Siguiente.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Seleccione Rellenar los datos manualmente y, a continuación, siga estos pasos para escribir los datos:

    1. En Red de servicio de inicio de sesión único, introduzca el valor de Red de inicio de sesión para la aplicación empresarial que creó para AWS.
    2. En Cargar certificado SAML del proveedor de identidades, seleccione Examinar.
    3. Busque el certificado de la aplicación empresarial que ha creado.
    4. Descargue el certificado en el dispositivo local y cárguelo en el asistente.
    5. Seleccione Siguiente.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. En la página siguiente, omita los pasos de configuración externa. Seleccione Siguiente.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. En la página siguiente, omita los pasos de configuración externa. Seleccione Finalizar.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. En la página siguiente, omita los pasos Comprobar la configuración. Seleccione Cerrar.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Configuración de directivas de sesión de Microsoft Entra para actividades de AWS

Las directivas de sesión son una combinación eficaz de directivas de acceso condicional de Microsoft Entra y la funcionalidad de proxy inverso de Defender for Cloud Apps. Estas directivas proporcionan supervisión y control de comportamientos sospechosos en tiempo real.

  1. En Microsoft Entra ID, cree una nueva directiva de acceso condicional con la siguiente configuración:

    • En Nombre, introduzca Consola AWS - Controles de sesión.
    • En Usuarios y grupos, seleccione los dos grupos de roles que creó anteriormente:
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • En Aplicaciones o acciones en la nube, seleccione la aplicación empresarial que creó anteriormente, como Contoso-AWS-Account 1.
    • En Sesión, seleccione Usar control de aplicaciones de acceso condicional.

  2. En Habilitar directiva, seleccione Activar.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Seleccione Crear.

Después de crear la directiva de acceso condicional de Microsoft Entra, configure una directiva de sesión de Defender for Cloud Apps para controlar el comportamiento de los usuarios durante las sesiones de AWS.

  1. En el portal de Defender for Cloud Apps, expanda Control y seleccione Directivas.

  2. En la página Directivas, seleccione Crear directiva y, a continuación, seleccione Directiva de sesión en la lista.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. En la página Crear directiva de sesión, en Plantilla de directiva, seleccione Block upload of potential malware (based on Microsoft Threat Intelligence) (Bloquear la carga de posible malware [según la Inteligencia sobre amenazas de Microsoft]).

  4. En Actividades que coincidan con todas las siguientes opciones, modifique el filtro de actividad para incluir App, equals y Amazon Web Services. Quite la selección predeterminada del dispositivo.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Revise los demás valores y, a continuación, seleccione Crear.

Prueba de las directivas de Defender for Cloud Apps para AWS

Pruebe todas las directivas con regularidad para asegurarse de que siguen siendo eficaces y pertinentes. Estas son algunas pruebas recomendadas:

  • Cambios en la directiva de IAM: esta directiva se desencadena cada vez que intenta modificar la configuración en AWS IAM. Por ejemplo, al seguir el procedimiento más adelante en esta sección de implementación para crear una nueva cuenta y directiva de IAM, verá una alerta.

  • Errores de inicio de sesión en la consola: los intentos fallidos de inicio de sesión en una de las cuentas de prueba desencadenan esta directiva. Los detalles de la alerta muestran que el intento proviene de uno de los centros de datos regionales de Azure.

  • Directiva de actividad del cubo S3: cuando se intenta crear una nueva cuenta de almacenamiento de AWS S3 y se configura para que esté disponible públicamente, se activa esta directiva.

  • Directiva de detección de malware: si configura la detección de malware como una directiva de sesión, puede probarla siguiendo estos pasos:

    1. Descargue un archivo de prueba seguro en el sitio web del European Institute for Computer Anti-Virus Research (EICAR).
    2. Intente cargar ese archivo en una cuenta de almacenamiento de AWS S3.

    La directiva bloquea inmediatamente el intento de carga y aparece una alerta en el portal de Defender for Cloud Apps.

Implementación de Defender for Cloud

Puede usar un conector nativo en la nube para conectar una cuenta de AWS a Defender for Cloud. El conector proporciona una conexión sin agentes a su cuenta de AWS. Puede usar esta conexión para recopilar recomendaciones de CSPM. Mediante el uso de planes de Defender for Cloud, puede proteger los recursos de AWS con CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Para proteger los recursos basados en AWS, siga estos pasos, que en las secciones siguientes se describen en detalle:

  1. Conexión a una cuenta de AWS.
  2. Supervisión de AWS.

Conexión de una cuenta de AWS

Para conectar su cuenta de AWS a Defender for Cloud mediante un conector nativo, siga estos pasos:

  1. Revise los requisitos previos para conectar una cuenta de AWS. Asegúrese de completarlos antes de continuar.

  2. Si tiene conectores clásicos, quítelos siguiendo los pasos descritos en Eliminación de conectores clásicos. El uso de los conectores clásicos y nativos puede generar recomendaciones duplicadas.

  3. Inicie sesión en Azure Portal.

  4. Seleccione Microsoft Defender for Cloud, y luego seleccione Configuración del entorno.

  5. Seleccione Agregar entorno>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Escriba los detalles de la cuenta de AWS, incluida la ubicación de almacenamiento del recurso del conector. Opcionalmente, seleccione Cuenta de administración para crear un conector a una cuenta de administración. Los conectores se crean para cada cuenta de miembro detectada en la cuenta de administración proporcionada. El aprovisionamiento automático está activado para todas las cuentas recién incorporadas.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Seleccione Siguiente: Seleccionar planes.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. De manera predeterminada, el plan de servidores está activado. Esta configuración es necesaria para ampliar la cobertura de Defender for Servers a su AWS EC2. Asegúrese de que ha cumplido los requisitos de red para Azure Arc. Opcionalmente, para editar la configuración, seleccione Configurar.

  9. De manera predeterminada, el plan de contenedores está activado. Esta configuración es necesaria para tener la protección de Defender for Containers para los clústeres de AWS EKS. Asegúrese de cumplir los requisitos de red para el plan Defender para contenedores. Opcionalmente, para editar la configuración, seleccione Configurar. Si deshabilita esta configuración, la característica de detección de amenazas para el plano de control está deshabilitada. Para ver una lista de características, consulte Disponibilidad de características de Defender for Containers.

  10. De manera predeterminada, el plan de bases de datos está activado. Esta configuración es necesaria para ampliar la cobertura de Defender para SQL a la instancia de AWS EC2 y RDS Custom para SQL Server. Opcionalmente, para editar la configuración, seleccione Configurar. Se recomienda utilizar la configuración predeterminada.

  11. Seleccione Siguiente: Configurar acceso.

  12. Descargue la plantilla de CloudFormation.

  13. Siga las instrucciones en pantalla para usar la plantilla de CloudFormation descargada para crear la pila en AWS. Si se incorpora una cuenta de administración, es necesario ejecutar la plantilla de CloudFormation como Stack y como StackSet. Los conectores se crean para las cuentas miembro en un plazo de 24 horas después de la incorporación.

  14. Seleccione Next: Review and generate (Siguiente: Revisar y crear).

  15. Seleccione Crear.

Defender for Cloud comienza inmediatamente a examinar los recursos de AWS. En unas pocas horas, verá recomendaciones de seguridad. Para obtener una lista de todas las recomendaciones que Defender for Cloud puede proporcionar para los recursos de AWS, consulte Recomendaciones de seguridad para recursos de AWS: guía de referencia.

Supervisión de los recursos de AWS

En la página recomendaciones de seguridad de Defender for Cloud se muestran los recursos de AWS. Puede usar el filtro de entornos para aprovechar las funcionalidades de varias nubes de Defender for Cloud, como ver las recomendaciones para los recursos de Azure, AWS y GCP juntos.

Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página de inventario de recursos de Defender for Cloud. Establezca el filtro para mostrar el tipo de recurso de AWS que le interesa.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Implementación de Microsoft Sentinel

Si conecta una cuenta de AWS y Defender for Cloud Apps a Microsoft Sentinel, puede utilizar las funciones de supervisión que comparan los eventos en varios firewalls, dispositivos de red y servidores.

Habilitación del conector de Microsoft Sentinel para AWS

Después de habilitar el conector de Microsoft Sentinel para AWS, puede supervisar los incidentes y la ingesta de datos de AWS.

Al igual que con la configuración de Defender for Cloud Apps, esta conexión requiere que se configure la característica IAM de AWS para proporcionar credenciales y permisos.

  1. En la característica IAM de AWS, siga los pasos que se indican en Conexión de AWS CloudTrail a Microsoft Sentinel.

  2. Para completar la configuración en Azure Portal, en Microsoft Sentinel>Conectores de datos, seleccione el conector Amazon Web Services.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Seleccione Open connector page (Abrir página del conector).

  4. En Configuración, introduzca el valor ARN del rol de la configuración de AWS IAM en el campo Role to add (Rol que se va a añadir), y seleccione Add (Añadir).

  5. Seleccione Next steps (Pasos siguientes) y, luego, seleccione las actividades AWS Network Activities (Actividades de red de AWS) y AWS User Activities (Actividades de usuario de AWS) que se van a supervisar.

  6. En Relevant analytic templates (Plantillas analíticas pertinentes), seleccione Create rule (Crear regla) junto a las plantillas analíticas de AWS que desea activar.

  7. Configure cada regla y seleccione Create (Crear).

La siguiente tabla muestra las plantillas de reglas que están disponibles para comprobar los comportamientos de las entidades de AWS y los indicadores de amenaza. Los nombres de las reglas describen su finalidad y los orígenes de datos potenciales enumeran los orígenes de datos que puede utilizar cada regla.

Nombre de la plantilla analítica Orígenes de datos
Known IRIDIUM IP (Dirección IP de IRIDIUM conocida) DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Actividad de Azure, AWS
Full Admin policy created and then attached to Roles, Users, or Groups (Directiva de administración completa creada y adjunta a roles, usuarios o grupos) AWS
Failed AzureAD logons but success logon to AWS Console (Inicios de sesión de Azure AD con errores pero inicio de sesión correcto en la consola de AWS) Microsoft Entra ID, AWS
Failed AWS Console logons but success logon to AzureAD (Inicios de sesión en la consola de AWS con errores pero inicio de sesión correcto en Azure AD) Microsoft Entra ID, AWS
Autenticación multifactor deshabilitada para un usuario Microsoft Entra ID, AWS
Changes to AWS Security Group ingress and egress settings (Cambios en la configuración de entrada y salida del grupo de seguridad de AWS) AWS
Monitor AWS Credential abuse or hijacking (Supervisión del abuso o el secuestro de credenciales de AWS) AWS
Changes to AWS Elastic Load Balancer security groups (Cambios en los grupos de seguridad del equilibrador de carga elástico de AWS) AWS
Changes to Amazon VPC settings (Cambios en la configuración de VPC de Amazon) AWS
New UserAgent observed in last 24 hours (Nuevo valor de UserAgent observado en las últimas 24 horas) Microsoft 365, Azure Monitor, AWS
Login to AWS Management Console without multifactor authentication (Inicio de sesión en la consola de administración de AWS sin autenticación multifactor) AWS
Changes to internet facing AWS RDS Database instances (Cambios en las instancias de base de datos de AWS RDS con acceso a Internet) AWS
Changes made to AWS CloudTrail logs (Cambios realizados en los registros de AWS CloudTrail) AWS
Defender Threat Intelligence map IP entity to AWS CloudTrail (La inteligencia de amenazas de Defender mapea la entidad IP a AWS CloudTrail) Plataformas de inteligencia de amenazas de Defender, AWS

Las plantillas habilitadas tienen el indicador IN USE (En uso) en la página de detalles del conector.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Supervisión de incidentes de AWS

Microsoft Sentinel crea incidentes basados en los análisis y detecciones que usted active. Cada incidente puede incluir uno o varios eventos, lo que reduce el número total de investigaciones que son necesarias para detectar amenazas potenciales y responder a ellas.

Microsoft Sentinel muestra incidentes que Defender for Cloud Apps genera, si está conectado e incidentes que Crea Microsoft Sentinel. La columna Nombres de producto muestra el origen del incidente.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Comprobación de la ingesta de datos

Consulte periódicamente los datos del conector para comprobar que los datos se ingieren de forma continuada en Microsoft Sentinel. En el gráfico siguiente se muestra una nueva conexión:

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Si el conector deja de ingerir datos y el valor del gráfico de líneas cae, compruebe las credenciales que usa para conectarse a la cuenta de AWS. Compruebe también que AWS CloudTrail todavía puede recopilar los eventos.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribió el siguiente colaborador.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes