Démarrage rapide : connecter vos comptes AWS à Microsoft Defender pour le cloud

Les charges de travail cloud couvrant généralement plusieurs plates-formes cloud, les services de sécurité cloud se doivent d’en faire de même. Microsoft Defender pour le cloud protège les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).

Pour protéger vos ressources basées sur AWS, vous pouvez connecter un compte AWS avec l’un des deux connecteurs suivants :

  • Connecteur cloud natif (recommandé) : Fournit une connexion sans agent à votre compte AWS que vous pouvez étendre avec des plans Defender pour le cloud afin de sécuriser vos ressources AWS :

  • Connecteur cloud classique : Nécessite une configuration dans votre compte AWS pour créer un utilisateur que Defender pour le cloud peut utiliser pour se connecter à votre environnement AWS. Si vous avez des connecteurs cloud classiques, nous vous recommandons de les supprimer et d’utiliser le connecteur natif pour vous reconnecter au compte. L’utilisation conjointe des connecteurs classiques et natifs peut produire des recommandations redondantes.

Pour obtenir une liste de référence de toutes les recommandations que Defender pour le Cloud peut fournir pour les ressources AWS, consultez Recommandations de sécurité pour les ressources AWS-Guide de référence.

Cette capture d’écran montre des comptes AWS dans le tableau de bord de vue d’ensemble de Defender pour le cloud.

Quatre projets AWS listés dans le tableau de bord de vue d’ensemble de Defender pour le cloud

Vous pouvez en savoir plus en regardant cette vidéo Defender for Cloud dans la série de vidéos Field :

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale (GA)
Prix : Le plan CSPM est gratuit.
Le plan Defender pour SQL est facturé au même prix que les ressources Azure.
Le plan Defender pour les conteneurs est gratuit pendant la préversion. Après quoi, il sera facturé pour AWS au même prix que les ressources Azure.
Pour chaque machine AWS connectée à Azure, le plan Defender pour les serveurs est facturé au même prix que le plan Microsoft Defender pour les serveurs des machines Azure.
En savoir plus sur les prix et la facturation des plans Defender
Rôles et autorisations obligatoires : Autorisation de Contributeur pour l’abonnement Azure concerné.
Administrateur sur le compte AWS.
Clouds : Clouds commerciaux
National (Azure Government, Azure China 21Vianet)

Prérequis

Le connecteur cloud natif nécessite :

  • Accès à un compte AWS.

  • Pour activer le plan Defender pour les conteneurs, vous aurez besoin des ressources suivantes :

    • Au moins un cluster Amazon EKS avec l’autorisation d’accéder au serveur d’API K8s EKS. Si vous devez créer un cluster EKS, suivez les instructions de Bien démarrer avec Amazon EKS – eksctl.
    • Une capacité de ressources suffisante pour créer une file d’attente SQS, un flux de livraison Kinesis Firehose et un compartiment S3 dans la région du cluster.
  • Pour activer le plan Defender pour SQL, vous avez besoin des ressources suivantes :

    • Microsoft Defender pour SQL activé sur votre abonnement. Découvrez comment activer la protection sur toutes vos bases de données.

    • Un compte AWS actif, avec des instances EC2 exécutant SQL Server ou RDS Custom pour SQL Server.

    • Azure Arc pour serveurs installé sur vos instances EC2/RDS Custom pour SQL Server.

      • (Recommandé) Utilisez le processus de provisionnement automatique pour installer Azure Arc sur toutes vos instances EC2 existantes et futures.

        L’approvisionnement automatique est géré par AWS Systems Manager (SSM) à l’aide de l’agent SSM. L’agent SSM est préinstallé sur certaines Amazon Machine Images (AMI). Si l’agent SSM est déjà préinstallé, les AMI sont répertoriées dans AMI avec l’agent SSM préinstallé. Si vos instances EC2 ne disposent pas de l’agent SSM, vous devez l’installer à l’aide de l’une des instructions pertinentes suivantes d’Amazon :

      Notes

      Pour activer l’approvisionnement automatique d’Azure Arc, vous devez disposer d’une autorisation de Propriétaire sur l’abonnement Azure concerné.

    • Des extensions supplémentaires doivent être activées sur les machines connectés à Arc.

    • Agent Log Analytics (LA) sur les machines Arc, et s’assurer qu’une solution de sécurité est installée sur l’espace de travail sélectionné. L’agent LA est actuellement configuré au niveau de l’abonnement. Tous vos comptes AWS multicloud et vos projets GCP du même abonnement héritent des paramètres de l’abonnement.

      Découvrez comment configurer l’approvisionnement automatique dans votre abonnement.

  • Pour activer le plan Defender pour les serveurs, vous avez besoin des ressources suivantes :

    • Microsoft Defender pour les serveurs est activé sur votre abonnement. Pour savoir comment activer des plans, consultez Activation des fonctionnalités de sécurité renforcée.

    • Un compte AWS actif, avec des instances EC2.

    • Azure Arc pour serveurs est installé sur vos instances EC2.

      Notes

      Pour activer le provisionnement automatique d’Azure Arc, vous devez disposer d’une autorisation de Propriétaire sur l’abonnement Azure concerné.

    • Des extensions supplémentaires doivent être activées sur les machines connectés à Arc.

      • Microsoft Defender for Endpoint

      • Solution VA (TVM/Qualys)

      • Agent Log Analytics (LA) sur les machines Arc. Vérifiez que la solution de sécurité est installée sur l’espace de travail sélectionné.

        L’agent LA est configuré au niveau de l’abonnement, de sorte que tous les comptes et projets multiclouds (à partir d’AWS et GCP) sous le même abonnement héritent des paramètres d’abonnement en ce qui concerne l’agent LA.

      Découvrez comment configurer l’approvisionnement automatique dans votre abonnement.

      Notes

      Defender pour serveurs attribue des étiquettes à vos ressources AWS pour gérer le processus d’approvisionnement automatique. Vous devez avoir ces balises correctement affectées à vos ressources afin que Defender pour le cloud puissent gérer vos ressources : AccountId, Cloud, InstanceId, MDFCSecurityConnector

Connecter votre compte AWS

Pour connecter votre compte AWS à Defender pour le cloud avec un connecteur natif :

  1. Si vous avez des connecteurs classiques, supprimez-les.

    L’utilisation conjointe des connecteurs classiques et natifs peut produire des recommandations redondantes.

  2. Connectez-vous au portail Azure.

  3. Accédez à Defender pour le cloud>Paramètres d’environnement.

  4. Sélectionnez Ajouter un environnement>Amazon Web Services.

    Connexion d’un compte AWS à un abonnement Azure.

  5. Entrez les détails du compte AWS, y compris l’emplacement où stocker la ressource de connecteur.

    Étape 1 de l’Assistant Ajout d’un compte AWS : Entrer les détails du compte.

    (Facultatif) Sélectionnez Compte de gestion pour créer un connecteur à un compte de gestion. Des connecteurs sont créés pour chaque compte membre découvert sous le compte de gestion fourni. Le provisionnement automatique est activé pour tous les comptes nouvellement intégrés.

  6. Sélectionnez Suivant : sélectionner des plans.

    Notes

    Chaque plan a ses propres exigences en matière d’autorisations et peut entraîner des frais.

    L’onglet Sélectionner des plans vous permet de choisir les fonctionnalités Defender pour le cloud à activer pour ce compte AWS.

    Important

    Pour présenter l’état actuel de vos recommandations, le plan CSPM interroge les API de ressources AWS plusieurs fois par jour. Ces appels d’API en lecture seule ne sont pas facturés, mais ils sont inscrits dans CloudTrail si vous avez activé un traçage pour les événements de lecture. Comme expliqué dans la documentation AWS, aucun frais supplémentaire n’est facturé pour la conservation d’un seul traçage. Si vous exportez les données à en dehors d’AWS (par exemple vers une solution SIEM externe), cette augmentation du volume des appels peut également augmenter les coûts d’ingestion. Dans ce cas, nous vous recommandons de filtrer les appels en lecture seule de l’utilisateur de Defender pour le cloud ou de l’ARN du rôle : arn:aws:iam::[accountId]:role/CspmMonitorAws (il s’agit du nom de rôle par défaut : vérifiez le nom du rôle configuré sur votre compte).

  7. Par défaut, le plan Serveurs est défini sur Activé. Cela est nécessaire pour étendre la couverture Defender pour serveur à votre instance AWS EC2. Vérifiez que vous avez satisfait aux exigences réseau pour Azure Arc.

    • (Facultatif) Sélectionnez Configurer pour modifier la configuration comme requis.
  8. Par défaut, le plan Conteneurs est défini sur Activé. Cela est nécessaire pour que Defender pour les conteneurs protège vos clusters AWS EKS. Vérifiez que vous disposez de la Configuration réseau requise pour le plan Defender pour les conteneurs.

    Notes

    Vous devez installer Kubernetes avec Azure Arc, l’extension Defender Arc et l’extension Azure Policy Arc. Utilisez les recommandations Defender pour le cloud dédiées pour déployer les extensions (et Arc, si nécessaire), comme expliqué dans Protéger les clusters Amazon Elastic Kubernetes Service.

    • (Facultatif) Sélectionnez Configurer pour modifier la configuration comme requis. Si vous décidez de désactiver cette configuration, la fonctionnalité Threat detection (control plane) sera désactivée. Apprenez-en davantage sur la disponibilité de la fonctionnalité.
  9. Par défaut, le plan Bases de données est défini sur Activé. Cela est nécessaire pour étendre la couverture Defender pour SQL à votre instance AWS EC2 et RDS Custom pour SQL Server.

    • (Facultatif) Sélectionnez Configurer pour modifier la configuration comme requis. Nous vous recommandons de conserver la configuration par défaut.
  10. Sélectionnez Suivant : Configurer l’accès.

  11. Téléchargez le modèle CloudFormation.

  12. Utilisez le modèle CloudFormation téléchargé pour créer la pile dans AWS, comme indiqué à l’écran. Si vous intégrez un compte de gestion, vous devez exécuter le modèle CloudFormation à la fois en tant que Stack et StackSet. Des connecteurs sont créés pour les comptes membres jusqu’à 24 heures après l’intégration.

  13. Sélectionnez Suivant : Vérifier et générer.

  14. Sélectionnez Create (Créer).

Defender pour le cloud commence immédiatement l’analyse de vos ressources AWS et affiche des recommandations de sécurité au bout de quelques heures. Pour obtenir une liste de référence de toutes les recommandations que Defender pour le Cloud peut fournir pour les ressources AWS, consultez Recommandations de sécurité pour les ressources AWS - Guide de référence.

Supprimer les connecteurs « classiques »

Si vous avez des connecteurs existants créés avec l’expérience de connecteurs cloud classiques, supprimez-les en premier :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Paramètres d’environnement.

  3. Sélectionnez l’option permettant de revenir à l’expérience des connecteurs classiques.

    Retour à l’expérience des connecteurs cloud classiques dans Defender pour le cloud.

  4. Pour chaque connecteur, sélectionnez le bouton à trois points à la fin de la ligne, puis Supprimer.

  5. Sur AWS, supprimez le rôle ARN ou les informations d’identification créées pour l’intégration.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Nécessite Defender pour les serveurs Plan 2
Rôles et autorisations obligatoires : Propriétaire sur l’abonnement Azure approprié
Le contributeur peut également connecter un compte AWS si un propriétaire fournit les détails du principal de service
Clouds : Clouds commerciaux
National (Azure Government, Azure China 21Vianet)

Connecter votre compte AWS

Suivez les étapes ci-dessous pour créer votre connecteur cloud AWS.

Étape 1. Configurer AWS Security Hub :

  1. Pour afficher les recommandations de sécurité pour plusieurs régions, répétez les étapes suivantes pour chaque région concernée.

    Important

    Si vous utilisez un compte d’administration AWS, répétez les trois étapes suivantes pour configurer le compte d’administration et tous les comptes membres connectés dans toutes les régions concernées

    1. Activez Configuration d’AWS.
    2. Activer AWS Security Hub.
    3. Vérifiez que les données sont transmises à Security Hub. Lorsque vous activez Security Hub pour la première fois, plusieurs heures peuvent être nécessaires pour que les données soient disponibles.

Étape 2. Configurer l’authentification de Defender pour le cloud dans AWS

Il existe deux façons d’autoriser Defender pour le cloud à s’authentifier auprès de AWS :

  • Créer un rôle IAM pour Defender pour le cloud (recommandé) : méthode la plus sécurisée
  • Utilisateur AWS pour Defender pour le cloud : option moins sécurisée si IAM n’est pas activé

Créer un rôle IAM pour Defender pour le cloud

  1. Depuis votre console Amazon Web Services, sous Security, Identity & Compliance (Sécurité, identité et conformité), sélectionnez IAM. Services AWS.

  2. Sélectionnez Rôles et Créer un rôle.

  3. Sélectionnez Another AWS account (Autre compte AWS).

  4. Entrez les informations suivantes :

    • ID de compte : entrez l’ID de compte Microsoft (158177204117) comme indiqué dans la page du connecteur AWS dans Defender pour le cloud.
    • Exiger un ID externe : doit être sélectionné
    • ID externe : entrez l’ID d’abonnement comme indiqué dans la page du connecteur AWS dans Defender pour le cloud
  5. Sélectionnez Suivant.

  6. Dans la section Attacher des stratégies d’autorisation, sélectionnez les stratégies managées AWS suivantes :

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. Ajoutez des étiquettes si vous le souhaitez. L’ajout d’étiquettes à l’utilisateur n’affecte pas la connexion.

  8. Sélectionnez Suivant.

  9. Dans la liste Rôles, choisissez le rôle que vous avez créé

  10. Enregistrez le Nom de ressource Amazon (ARN) pour plus tard.

Créer un utilisateur AWS pour Defender pour le Cloud

  1. Ouvrez l’onglet Utilisateurs, puis sélectionnez Ajouter un utilisateur.

  2. À l’étape Détails, entrez un nom d’utilisateur pour Defender pour le cloud, et veillez à sélectionner Accès programmatique pour le type d’accès AWS.

  3. Sélectionnez Next: Permissions (Suivant : Autorisations).

  4. Sélectionnez Attacher directement des stratégies existantes et appliquez les stratégies suivantes :

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. Sélectionnez Suivant : Balises. Ajoutez des étiquettes si vous le souhaitez. L’ajout d’étiquettes à l’utilisateur n’affecte pas la connexion.

  6. Sélectionnez Révision.

  7. Enregistrez l’ID de clé d’accès généré automatiquement et le fichier CSV de la clé d’accès secrète pour plus tard.

  8. Passez en revue le récapitulatif et sélectionnez Créer un utilisateur.

Étape 3. Configurer l’agent SSM

AWS Systems Manager est requis pour l’automatisation des tâches entre vos ressources AWS. Si vos instances EC2 ne disposent pas de l’agent SSM, suivez les instructions correspondantes d’Amazon :

Étape 4. Satisfaire les prérequis Azure Arc

  1. Vérifiez que les fournisseurs de ressources Azure appropriés sont enregistrés :

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Créez un principal de service pour une intégration à grande échelle. En tant que propriétaire de l’abonnement que vous souhaitez utiliser pour l’intégration, créez un principal de service pour l’intégration d’Azure Arc, comme décrit dans Créer un principal de service pour une intégration à grande échelle.

Étape 5. Connecter AWS à Defender pour le cloud

  1. Dans le menu de Defender pour le cloud, ouvrez Paramètres d’environnement et sélectionnez l’option pour revenir à l’expérience des connecteurs classiques.

    Retour à l’expérience des connecteurs cloud classiques dans Defender pour le cloud.

  2. Sélectionnez Ajouter un compte AWS. Ajouter un compte AWS dans la page Connecteurs multicloud de Defender pour le cloud

  3. Configurez les options dans l’onglet Authentification AWS :

    1. Entrez un nom d’affichage pour le connecteur.
    2. Confirmez que l’abonnement est correct. Il s’agit de l’abonnement qui comprend le connecteur et les recommandations d’AWS Security Hub.
    3. Selon l’option d’authentification que vous avez choisie à l’Étape 2. Configurer l’authentification pour Defender pour le cloud dans AWS :
  4. Sélectionnez Suivant.

  5. Configurez les options dans l’onglet Configuration d’Azure Arc :

    Defender pour le cloud découvre les instances EC2 dans le compte AWS connecté et utilise SSM pour les intégrer à Azure Arc.

    Conseil

    Pour obtenir la liste des systèmes d’exploitation pris en charge, consultez Quels sont les systèmes d’exploitation pris en charge pour mes instances EC2 ? dans le forum aux questions.

    1. Sélectionnez le groupe de ressources et la région Azure à laquelle les services AWS EC2 découverts seront intégrés dans l’abonnement sélectionné.

    2. Entrez l’ID du principal du service et la clé secrète du client du principal du service pour Azure Arc, comme décrit dans Créer un principal de service pour l’intégration à l’échelle

    3. Si la machine se connecte à Internet via un serveur proxy, spécifiez l’adresse IP du serveur proxy ou le nom et le numéro de port que la machine utilise pour communiquer avec le serveur proxy. Saisissez la valeur au format http://<proxyURL>:<proxyport>

    4. Sélectionnez Revoir + créer.

      Afficher le résumé des informations

      Les sections Étiquettes répertorient toutes les étiquettes Azure qui seront automatiquement créées pour chaque EC2 intégré, avec leurs propres détails correspondants pour les reconnaître facilement dans Azure.

      En savoir plus sur les étiquettes Azure dans Utiliser des étiquettes pour organiser vos ressources Azure et votre hiérarchie de gestion.

Étape 6. Confirmation

Lorsque le connecteur est correctement créé et qu’AWS Security Hub a été configuré correctement :

  • Defender pour le cloud analyse l’environnement à la recherche des instances AWS EC2 puis il les intègre à Azure Arc, ce qui permet d’installer l’agent Log Analytics et de fournir des recommandations en matière de sécurité et de protection contre les menaces.
  • Le service Defender pour le cloud recherche les nouvelles instances AWS EC2 toutes les 6 heures et les intègre en fonction de la configuration.
  • Le standard AWS CIS s’affichera dans le tableau de bord de conformité réglementaire de Defender pour le cloud.
  • Si la stratégie Security Hub est activée, des recommandations s’afficheront dans le portail Defender pour le cloud. Le tableau de bord de conformité aux réglementations apparaîtra 5 à 10 minutes après la fin de l’intégration.

Ressources AWS et recommandations dans la page Recommandations de Defender pour le cloud

Surveillance de vos ressources AWS

Comme vous pouvez le voir dans la capture d’écran précédente, la page des recommandations de sécurité de Defender pour le cloud affiche vos ressources AWS. Vous pouvez utiliser le filtre d’environnements pour profiter des fonctionnalités multicloud de Defender pour le cloud : consultez les recommandations pour l’ensemble des ressources Azure, AWS et GCP.

Si vous souhaitez afficher toutes les recommandations actives pour vos ressources par type de ressource, utilisez la page d’inventaire des ressources de Defender pour le cloud et filtrez sur le type de ressource AWS qui vous intéresse :

Filtre de type de ressource de la page d’inventaire des ressources avec les options AWS

FAQ - AWS dans Defender pour le cloud

Quels sont les systèmes d’exploitation pris en charge pour mes instances EC2 ?

Pour obtenir la liste des AMIs avec l’agent SSM préinstallé, consultez cette page dans les documents AWS.

Pour les autres systèmes d’exploitation, l’agent SSM doit être installé manuellement à l’aide des instructions suivantes :

Pour le plan CSPM, quelles autorisations IAM sont nécessaires pour découvrir les ressources AWS ?

Les autorisations IAM suivantes sont nécessaires pour découvrir les ressources AWS :

DataCollector Autorisations AWS
API Gateway apigateway:GET
Mise à l’échelle automatique des applications application-autoscaling:Describe*
Mise à l’échelle automatique autoscaling-plans:Describe*
autoscaling:Describe*
Gestionnaire de certificats acm-pca:Describe*
acm-pca:List*
acm:Describe* <br>acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
Journaux CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Service Config config:Describe*
config:List*
Database Migration Service (DMS) dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
EC2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – équilibrage de charge élastique (v1/2) elasticloadbalancing:Describe*
Recherche élastique es:Describe*
es:List*
EMR – Réduction de la carte élastique elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDute guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
LAMBDA lambda:GetPolicy
lambda:List*
Pare-feu réseau network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 et S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Gestionnaire de secret secretsmanager:Describe*
secretsmanager:List*
Service de notification simple (SNS) sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

En savoir plus

Vous pouvez consulter les blogs suivants :

Étapes suivantes

La connexion de votre compte AWS fait partie de l’expérience multicloud qui est disponible dans Microsoft Defender pour le cloud. Pour accéder à des informations connexes, consultez les rubriques suivantes :