Conectar cuentas de AWS a Microsoft Defender for Cloud

Las cargas de trabajo suelen abarcar varias plataformas en la nube, por lo que los servicios de seguridad en la nube deben hacer lo mismo. Microsoft Defender for Cloud ayuda a proteger las cargas de trabajo en Amazon Web Services (AWS), pero debe configurar la conexión entre ellas y Defender for Cloud.

La siguiente captura de pantalla muestra las cuentas de AWS que aparecen en el panel de vista general de Defender for Cloud.

Para obtener más información, vea el vídeo Nuevo conector de AWS en Defender for Cloud en la serie de vídeos Defender for Cloud en el campo.

Nota

Si tiene una cuenta de AWS conectada a Microsoft Sentinel, no puede conectarla a Defender for Cloud. Para asegurarse de que el conector funciona correctamente, siga las instrucciones de Conexión de una cuenta de AWS conectada de Sentinel a Defender for Cloud.

Proceso de autenticación de AWS

Defender for Cloud y AWS usan la autenticación federada. Todos los recursos relacionados con la autenticación se crean como parte de la implementación de la plantilla de CloudFormation, entre los que se incluyen:

• Un proveedor de identidades (OpenID Connect)
• Roles de gestión de identidades y acceso (IAM) con un principal federado (conectado a los proveedores de identidades)

La arquitectura del proceso de autenticación entre nubes incluye:

El servicio CSPM de Defender for Cloud adquiere un token entra con una vigencia de validez de 1 hora, firmada por Entra ID mediante el algoritmo RS256.

El token Entra se intercambia por credenciales de corta duración de AWS, y el servicio CSPM de Defender for Cloud asume el rol IAM de CSPM (utilizando identidad web).

Dado que la entidad de seguridad del rol es una identidad federada definida en una directiva de relación de confianza, el proveedor de identidades de AWS valida el token de Entra con Entra ID a través de un proceso que incluya:

• validación de audiencia
• validación de firma digital de token
• huella digital del certificado

El rol CSPM de Defender for Cloud solo se asume después de que se hayan cumplido las condiciones de validación definidas en la relación de confianza. Las condiciones definidas para el nivel de rol se usan para la validación en AWS y solo permite el acceso de la aplicación CSPM de Microsoft Defender for Cloud (audiencia validada) al rol específico (y no a ningún otro token de Microsoft).

Una vez que el token Entra es validado por el proveedor de identidades de AWS, AWS STS intercambia el token por credenciales temporales de AWS, que el servicio CSPM utiliza para examinar la cuenta de AWS.

Requisitos previos

Para completar los procedimientos de este artículo, necesita:

• Una suscripción de Microsoft Azure. Si no tienes una suscripción de Azure, puedes registrarte para obtener una gratuita.

• Configuración de Microsoft Defender for Cloud en su suscripción de Azure.

• Acceso a una cuenta de AWS.

• Permiso de nivel de colaborador para la suscripción de Azure pertinente.

• Si CIEM se habilita como parte de Defender para CSPM, el usuario que habilite el conector también necesitará el rol de administrador de seguridad y el permiso Application.ReadWrite.All para el inquilino.

Nota

El conector de AWS no está disponible en las nubes gubernamentales nacionales (Azure Government, Microsoft Azure operado por 21Vianet).

Requisitos del plan de conector nativo

Cada plan tiene sus propios requisitos para el conector nativo.

Defender para contenedores

Si elige el plan Microsoft Defender para contenedores, necesita:

• Al menos un clúster de Amazon EKS con permiso para acceder al servidor API de EKS Kubernetes. Si necesita crear un nuevo clúster de EKS, siga las instrucciones de Introducción a Amazon EKS: eksctl.
• La capacidad de recursos para crear una nueva cola de Amazon SQS, un flujo de entrega de Kinesis Data Firehose y un bucket de Amazon S3 en la región del clúster.

Defender para SQL

Si elige el plan Microsoft Defender para SQL, necesitará:

• Microsoft Defender para SQL habilitado en la suscripción. Obtenga información sobre cómo proteger sus bases de datos.
• Una cuenta de AWS activa, con instancias EC2 que ejecutan SQL Server o RDS Custom para SQL Server.
• Azure Arc para servidores instalados en las instancias EC2 o RDS Custom para SQL Server.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita permiso Propietario en la suscripción de Azure correspondiente.

AWS Systems Manager (SSM) usa el agente SSM para controlar el aprovisionamiento automático. Algunas imágenes de máquina de Amazon ya tienen el agente SSM preinstalado. Si sus instancias EC2 no tienen el Agente SSM, instálelo siguiendo estas instrucciones de Amazon: Instalar Agente SSM para un entorno híbrido y multicloud (Windows).

Asegúrese de que su Agente SSM tiene la directiva administrada AmazonSSMManagedInstanceCore. Habilita la funcionalidad principal para el servicio AWS Systems Manager.

Habilite estas otras extensiones en las máquinas conectadas a Azure Arc:

• Microsoft Defender para punto de conexión
• Una solución de evaluación de vulnerabilidades (TVM o Qualys)
• Extensión de Defender para SQL. Para obtener más información, consulte Habilitar Defender para servidores SQL en máquinas.

Obtenga información sobre la supervisión de componentes para Defender for Cloud.

Defender para bases de datos de código abierto (versión preliminar)

Si elige el plan de bases de datos relacionales de código abierto de Defender para código abierto, necesita:

• Necesita una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.

• Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.

• Conecte su cuenta de Azure o la cuenta de AWS.

Disponibilidad de la región: todas las regiones públicas de AWS (excepto Tel Aviv, Milán, Jakarta, España y Bahréin).

Defender para servidores

Si elige el plan de Microsoft Defender para servidores, necesita lo siguiente:

• Microsoft Defender para servidores está habilitado en la suscripción. Obtenga información sobre cómo habilitar planes en Habilitación de las características de seguridad mejoradas.
• Una cuenta de AWS activa, con instancias de EC2.
• Azure Arc para servidores instalado en las instancias de EC2.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita permiso Propietario en la suscripción de Azure correspondiente.

AWS Systems Manager aprovisiona automáticamente mediante el agente SSM. Algunas imágenes de máquina de Amazon ya tienen el agente SSM preinstalado. Si las instancias EC2 no tienen el agente de SSM, instálela mediante cualquiera de las instrucciones siguientes de Amazon:

• Instalar Agente SSM para un entorno híbrido y multinube (Windows)
• Instalar Agente SSM para un entorno híbrido y multinube (Linux)

Asegúrese de que su Agente SSM tiene la directiva administrada AmazonSSMManagedInstanceCore, que habilita la funcionalidad principal para el servicio AWS Systems Manager.

Debe tener el agente SSM para el aprovisionamiento automático del agente de Arc en máquinas EC2. Si el SSM no existe o se quita de EC2, el aprovisionamiento de Arc no podrá continuar.

Nota

Como parte de la plantilla de CloudFormation que se ejecuta durante el proceso de incorporación, se crea y desencadena un proceso de automatización cada 30 días, en todos los EC2 que existían durante la ejecución inicial de CloudFormation. El objetivo de este examen programado es asegurarse de que todos los EC2 pertinentes tengan un perfil de IAM con la directiva de IAM necesaria que permita a Defender for Cloud administrar y proporcionar las características de seguridad pertinentes (incluido el aprovisionamiento del agente de Arc) y acceder a ellas. El análisis no se aplica a los EC2 que se crearon después de la ejecución de CloudFormation.

Si quiere instalar manualmente Azure Arc en las instancias de EC2 existentes y futuras, use la recomendación de Las instancias de EC2 deben estar conectadas a Azure Arc para identificar las instancias que no tienen instalado Azure Arc.

Habilite estas otras extensiones en las máquinas conectadas a Azure Arc:

• Microsoft Defender para punto de conexión
• Una solución de evaluación de vulnerabilidades (TVM o Qualys)

Nota

Como el agente de Log Analytics (también conocido como MMA) se retiró en agosto de 2024, todas las características y funcionalidades de seguridad de Defender for Servers que dependen actualmente, incluidas las descritas en esta página, estarán disponibles a través de la integración de Microsoft Defender para punto de conexión o el examen sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.

Defender para servidores asigna etiquetas a los recursos de Azure ARC sobre las instancias ec2 para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas correctamente asignadas a sus recursos para que Defender for Cloud pueda administrarlos: AccountId, Cloud, InstanceId y MDFCSecurityConnector.

Defender CSPM

Si elige el plan CSPM de Microsoft Defender, necesita lo siguiente:

• Una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
• Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.
• Conecte las máquinas que no son de Azure y las cuentas de AWS.
• Para obtener acceso a todas las características disponibles en el plan de CSPM, el propietario de la suscripción debe habilitar el plan.
• Para habilitar las capacidades CIEM (Cloud Infrastructure Entitlement Management), la cuenta Entra ID utilizada para el proceso de incorporación debe tener el rol de directorio Administrador de aplicaciones o Administrador de aplicaciones en la nube para su inquilino (o derechos de administrador equivalentes para crear registros de aplicaciones). Este requisito solo es necesario durante el proceso de incorporación.

Obtenga más información acerca de cómo habilitar CSPM de Defender.

Conecte una cuenta de AWS

Importante

Si su cuenta de AWS ya está conectada a Microsoft Sentinel, no podrá conectarla a Defender for Cloud. Para asegurarse de que el conector funciona correctamente, siga las instrucciones de Conexión de una cuenta de AWS conectada de Sentinel a Defender for Cloud.

Use solo la cuenta de administración para la incorporación. No se admiten cuentas delegadas.

Para conectar aws a Defender for Cloud mediante un conector nativo:

1. Inicie sesión en Azure Portal.

2. Vaya a Defender for Cloud>Configuración del entorno.

3. Seleccione Agregar entorno>Amazon Web Services.

   

4. Escriba los detalles de la cuenta de AWS, incluida la ubicación donde almacena el recurso del conector.

   

   La lista desplegable Regiones de AWS permite seleccionar las regiones a las que Defender for Cloud realiza llamadas API. Cada región que se deseleccione en la lista desplegable implica que Defender for Cloud no realizará llamadas API a esas regiones.

5. Seleccione un intervalo para examinar el entorno de AWS cada 4, 6, 12 o 24 horas.

   Algunos recopiladores de datos se ejecutan con intervalos fijos de examen y no se ven afectados por las configuraciones de intervalos personalizados. En la siguiente tabla se muestran los intervalos fijos de detección para cada recopilador de datos excluido:

   Nombre del recopilador de datos	Intervalo de detección
   EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3BucketTags S3Region EKSCluster EKSClusterName EKSNodegroup EKSNombreDelGrupoDeNodos AutoScalingAutoScalingGroup	1 hora
   EcsClusterArn EcsService EcsServiceArn EcsTaskDefinition EcsTaskDefinitionArn EcsTaskDefinitionTags AwsPolicyVersion LocalPolicyVersion AwsEntitiesForPolicy EntidadesLocalesParaPolítica BucketEncryption BucketPolicy S3PublicAccessBlockConfiguration (Configuración de Bloqueo de Acceso Público S3) BucketVersioning S3LifecycleConfiguration BucketPolicyStatus S3ReplicationConfiguration S3AccessControlList S3BucketLoggingConfig ConfiguraciónDeBloqueoDeAccesoPúblico	12 horas

   Nota

   (Opcional) Seleccione Cuenta de administración para crear un conector a una cuenta de administración. A continuación, se crean conectores para cada cuenta de miembro detectada en la cuenta de administración proporcionada. El aprovisionamiento automático también está habilitado para todas las cuentas recién incorporadas.

   (Opcional) Use el menú desplegable regiones de AWS para seleccionar regiones de AWS específicas que se van a examinar. Todas las regiones se seleccionan de manera predeterminada.

A continuación, revise y seleccione los planes de Defender for Cloud para habilitar esta cuenta de AWS.

Seleccionar planes de Defender

En esta sección del asistente, seleccionará los planes de Defender for Cloud que desea habilitar.

1. Seleccione Siguiente: Seleccionar planes.

   La pestaña Seleccionar planes es donde elige qué funcionalidades de Defender for Cloud habilitar para esta cuenta de AWS. Cada plan tiene sus propios requisitos de para los permisos y puede incurrir en cargos.

   

   Importante

   Para presentar el estado actual de las recomendaciones, el plan de administración de posturas de seguridad en la nube de Microsoft Defender consulta las API de recursos de AWS varias veces al día. Estas llamadas API de solo lectura no conllevan ningún cargo, pero se registran en CloudTrail si habilita un registro para eventos de lectura.

   La documentación de AWS explica que no hay ningún cargo adicional por mantener un rastro. Si va a exportar los datos de AWS (por ejemplo, a un sistema SIEM externo), este mayor volumen de llamadas también podría aumentar los costos de ingesta. En tales casos, se recomienda filtrar las llamadas de solo lectura del usuario de Defender for Cloud o el rol ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Este es el nombre de rol predeterminado. Confirme el nombre del rol configurado en su cuenta).

2. De manera predeterminada, el plan Servidores está establecido en Activado. Esta configuración es necesaria para ampliar la cobertura de Defender para servidores a AWS EC2. Asegúrese de haber cumplido los Requisitos de red para Azure Arc.

   Si lo desea, seleccione Configurar para editar la configuración según sea necesario.

   Nota

   Los respectivos servidores de Azure Arc para instancias EC2 o máquinas virtuales GCP que ya no existen (y los respectivos servidores de Azure Arc con un estado Desconectado o Expirado) se quitan después de siete días. Este proceso elimina las entidades irrelevantes de Azure Arc para garantizar que solo se muestren los servidores de Azure Arc relacionados con las instancias existentes.

3. De manera predeterminada, el plan Contenedores está establecido en Activado. Esta configuración es necesaria para que Defender para contenedores proteja los clústeres de AWS EKS. Asegúrese de que ha cumplido los requisitos de red para el plan Defender para contenedores.

   Nota

   Kubernetes habilitado para Azure Arc, las extensiones de Azure Arc para el sensor de Defender y Azure Policy para Kubernetes deben estar instalados. Utilice las recomendaciones dedicadas de Defender for Cloud para implementar las extensiones (y Azure Arc, si es necesario), como se explica en Proteger clústeres de Amazon Elastic Kubernetes Service.

   Si lo desea, seleccione Configurar para editar la configuración según sea necesario. Si decide desactivar esta configuración, también se desactivará la función Detección de amenazas (plano de control). Más información sobre la disponibilidad de la característica.

4. De manera predeterminada, el plan Bases de datos está establecido en Activado. Esta configuración es necesaria para ampliar la cobertura de Defender for SQL a AWS EC2 y RDS Custom for SQL Server y bases de datos relacionales de código abierto en RDS.

   (Opcional) Seleccione Configurar para editar la configuración según sea necesario. Se recomienda dejar la configuración predeterminada.

5. Seleccione Configurar acceso y seleccione lo siguiente:

   a) Seleccione un tipo de implementación:

   • Acceso predeterminado: permite que Defender for Cloud examine los recursos e incluya automáticamente funcionalidades futuras.
   • Acceso de mínimo privilegio: concede a Defender for Cloud acceso únicamente a los permisos actuales necesarios para los planes seleccionados. Si selecciona los permisos con privilegios mínimos, recibirá notificaciones sobre los nuevos roles y permisos necesarios para obtener una funcionalidad completa para la salud del conector.

   b. Seleccione un método de implementación: AWS CloudFormation o Terraform.

   

   Nota

   Si selecciona Cuenta de administración para crear un conector en una cuenta de administración, la pestaña que se va a incorporar con Terraform no está visible en la interfaz de usuario, pero todavía puede incorporarse mediante Terraform, de forma similar a lo que se describe en Incorporación del entorno de AWS/GCP a Microsoft Defender for Cloud con Terraform - Microsoft Community Hub.

6. Siga las instrucciones en pantalla del método de implementación seleccionado para completar las dependencias necesarias en AWS. Si va a incorporar una cuenta de administración, deberá ejecutar la plantilla de CloudFormation como Stack y como StackSet. Los conectores se crean para las cuentas de los miembros hasta 24 horas después de la incorporación.

7. Seleccione Siguiente: Revisar y generar.

8. Seleccione Crear.

Defender for Cloud comienza inmediatamente a examinar los recursos de AWS. Las recomendaciones de seguridad aparecen en unas pocas horas.

Implementación de una plantilla de CloudFormation en su cuenta de AWS

Como parte de la conexión de una cuenta de AWS a Microsoft Defender for Cloud, implementará una plantilla de CloudFormation en la cuenta de AWS. Esta plantilla crea todos los recursos necesarios para la conexión.

Implemente la plantilla CloudFormation utilizando Stack (o StackSet si tiene una cuenta de administración). Al implementar la plantilla, el asistente de creación de Stack ofrece las siguientes opciones.

• Dirección URL de Amazon S3: cargue la plantilla de CloudFormation descargada en su cubo de S3 con sus propias configuraciones de seguridad. Escriba la dirección URL del cubo S3 en el asistente para la implementación de AWS.

• Cargar un archivo de plantilla: AWS crea automáticamente un cubo de S3 en el que se guarda la plantilla de CloudFormation. La automatización del cubo de S3 tiene una configuración incorrecta de seguridad que hace que aparezca la recomendación S3 buckets should require requests to use Secure Socket Layer. Para corregir esta recomendación, aplique la directiva siguiente:

  { 
    "Id": "ExamplePolicy", 
    "Version": "2012-10-17", 
    "Statement": [ 
      { 
        "Sid": "AllowSSLRequestsOnly", 
        "Action": "s3:*", 
        "Effect": "Deny", 
        "Resource": [ 
          "<S3_Bucket ARN>", 
          "<S3_Bucket ARN>/*" 
        ], 
        "Condition": { 
          "Bool": { 
            "aws:SecureTransport": "false" 
          } 
        }, 
        "Principal": "*" 
      } 
    ] 
  } 
  

  Nota

  Al ejecutar CloudFormation StackSets al incorporar una cuenta de administración de AWS, podría aparecer el siguiente mensaje de error: You must enable organizations access to operate a service managed stack set

  Este error indica que no ha habilitado el acceso de confianza para AWS Organizations.

  Para corregir este mensaje de error, la página CloudFormation StackSets tiene un aviso con un botón que puede seleccionar para habilitar el acceso de confianza. Una vez habilitado el acceso de confianza, CloudFormation Stack debe ejecutarse de nuevo.

Supervisión de los recursos de AWS

En la página recomendaciones de seguridad de Defender for Cloud se muestran los recursos de AWS. Puede usar el filtro de entornos para disfrutar de funcionalidades multinube en Defender for Cloud.

Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página inventario de recursos de Defender for Cloud y filtre por el tipo de recurso de AWS que le interese.

Visualización de la cobertura actual

Defender for Cloud proporciona acceso a informes a través de Azure Workbooks. Los libros de trabajo son informes personalizables que proporcionan información sobre su postura de seguridad.

El libro de cobertura le ayuda a comprender la cobertura actual mostrando qué planes están habilitados en sus suscripciones y recursos.

Integración con Microsoft Defender XDR

Al habilitar Defender for Cloud, las alertas de seguridad se integran automáticamente en el portal de Microsoft Defender.

La integración de Microsoft Defender for Cloud con Microsoft Defender XDR lleva sus entornos de nube a Microsoft Defender XDR. Ahora que las alertas y correlaciones en la nube de Defender for Cloud están integradas en Microsoft Defender XDR, los equipos de SOC pueden acceder a toda la información de seguridad desde una sola interfaz.

Obtenga más información sobre las alertas de Defender for Cloud en Microsoft Defender XDR.

Más información

Consulte los siguientes blogs:

• Ignite 2021: noticias de Microsoft Defender for Cloud
• Administración de la posición de seguridad y protección del servidor para AWS y GCP

Limpieza de recursos

No es necesario limpiar ningún recurso para este artículo.

Pasos siguientes

La conexión de la cuenta de AWS forma parte de la experiencia multinube disponible en Microsoft Defender for Cloud:

• Asignación de acceso a los propietarios de cargas de trabajo.
• Proteja todos los recursos con Defender for Cloud.
• Configure sus máquinas locales y proyectos GCP.
• Obtenga respuestas a preguntas comunes sobre la incorporación de su cuenta de AWS.
• Solución de problemas de los conectores de varias nubes.