Partager via


Activer Defender pour les bases de données relationnelles open source sur AWS (préversion)

Microsoft Defender pour le cloud détecte les activités anormales dans les environnements AWS indiquant des tentatives inhabituelles et potentiellement dangereuses pour accéder à des bases de données ou les exploiter pour les types d’instances RDS suivants :

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

Pour obtenir des alertes à partir du plan Microsoft Defender, vous devez suivre les instructions de cette page afin d’activer Defender pour les bases de données relationnelles open source AWS.

Le plan Defender pour les bases de données relationnelles open source pour AWS incluent également la capacité à découvrir des données sensibles au sein de votre compte et à enrichir l’expérience Defender pour le cloud avec les résultats. Cette fonctionnalité est également incluse avec la gestion de la posture de sécurité cloud (CSPM) Defender.

Pour en savoir plus sur ce plan Microsoft Defender, consultez Vue d’ensemble de Microsoft Defender pour les bases de données relationnelles open source.

Prérequis

Activer Defender pour les bases de données relationnelles open source

  1. Connectez-vous au portail Azure

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Sélectionnez Paramètres de l'environnement.

  4. Sélectionnez le compte AWS en question.

  5. Recherchez le plan Bases de données et sélectionnez Paramètres.

    Capture d’écran de la page des paramètres d’environnement AWS montrant où se trouve le bouton Paramètres.

  6. Basculez les bases de données relationnelles open source sur Activé.

    Capture d’écran montrant comment activer les bases de données relationnelles open source.

    Remarque

    L’activation des bases de données relationnelles open source active également la découverte des données sensibles, qui est une fonctionnalité partagée avec la découverte des données sensibles de Defender CSPM pour le service de base de données relationnelle (RDS).

    Capture d’écran montrant la page des paramètres de Defender CSPM et les données sensibles activées avec les ressources protégées.

    Apprenez-en davantage sur la découverte des données sensibles dans les instances AWS RDS.

  7. Sélectionnez Configurer l’accès.

  8. Dans la section Méthode de déploiement, sélectionnez Télécharger.

  9. Suivez la pile de mises à jour dans les instructions AWS. Ce processus crée ou met à jour le modèle CloudFormation avec les autorisations requises.

  10. Cochez la case confirmant que le modèle CloudFormation a été mis à jour sur l’environnement AWS (Stack).

  11. Sélectionnez Vérifier et générer.

  12. Passez en revue les informations présentées et sélectionnez Mettre à jour.

Defender pour le cloud apporte automatiquement des modifications à vos paramètres de groupe d’options et de groupe de paramètres.

Autorisations requises pour le rôle DefenderForCloud-DataThreatProtectionDB

Le tableau suivant présente la liste des autorisations requises qui ont été accordées au rôle créé ou mis à jour, lorsque vous avez téléchargé le modèle CloudFormation et mis à jour la pile AWS.

Autorisation ajoutée Description
rds:AddTagsToResource pour ajouter une étiquette sur le groupe d’options et le groupe de paramètres créés
rds:DescribeDBClusterParameters décrire les paramètres à l’intérieur du groupe de clusters
rds:CreateDBParameterGroup créer un groupe de paramètres de base de données
rds:ModifyOptionGroup modifier une option dans le groupe d’options
rds:DescribeDBLogFiles décrire le fichier journal
rds:DescribeDBParameterGroups décrire le groupe de paramètres de base de données
rds:CreateOptionGroup créer un groupe d’options
rds:ModifyDBParameterGroup modifier un paramètre à l’intérieur du groupe de paramètres de bases de données
rds:DownloadDBLogFilePortion télécharger un fichier journal
rds:DescribeDBInstances décrire la base de données
rds:ModifyDBClusterParameterGroup modifier le paramètre de cluster à l’intérieur du groupe de paramètres de cluster
rds:ModifyDBInstance modifier des bases de données pour affecter un groupe de paramètres ou un groupe d’options si nécessaire
rds:ModifyDBCluster modifier un cluster pour affecter un groupe de paramètres de cluster si nécessaire
rds:DescribeDBParameters décrire les paramètres à l’intérieur du groupe de bases de données
rds:CreateDBClusterParameterGroup créer un groupe de paramètres de cluster
rds:DescribeDBClusters décrire le cluster
rds:DescribeDBClusterParameterGroups décrire le groupe de paramètres de cluster
rds:DescribeOptionGroups décrire le groupe d’options

Paramètres de groupes d’options et de groupes de paramètres affectés

Lorsque vous activez Defender pour les bases de données relationnelles open source sur vos instances RDS, Defender pour le cloud active automatiquement l’audit à l’aide des journaux d’audit afin de pouvoir consommer et analyser les modèles d’accès à votre base de données.

Chaque système de gestion de base de données relationnelle ou type de service a ses propres configurations. Le tableau suivant décrit les configurations affectées par Defender pour le cloud (vous n’êtes pas obligé de définir manuellement ces configurations, il s’agit d’une référence).

Type Paramètre Valeur
PostgreSQL et Aurora PostgreSQL log_connections 1
PostgreSQL et Aurora PostgreSQL log_disconnections 1
Groupe de paramètres de cluster Aurora MySQL server_audit_logging 1
Groupe de paramètres de cluster Aurora MySQL server_audit_events - S’il existe, développez la valeur pour inclure CONNECT, QUERY,
- S’il n’existe pas, ajoutez-le avec la valeur CONNECT, QUERY.
Groupe de paramètres de cluster Aurora MySQL server_audit_excl_users S’il existe, développez-le pour inclure rdsadmin.
Groupe de paramètres de cluster Aurora MySQL server_audit_incl_users - S’il existe avec une valeur et que rdsadmin fait partie de l’include, il ne sera pas présent dans SERVER_AUDIT_EXCL_USER et la valeur d’include est vide.

Un groupe d’options est requis pour MySQL et MariaDB avec les options suivantes pour MARIADB_AUDIT_PLUGIN (si l’option n’existe pas, ajoutez-la. Si l’option existe, développez les valeurs de l’option) :

Nom de l’option Valeur
SERVER_AUDIT_EVENTS S’il existe, développez la valeur pour inclure CONNECT
S’il n’existe pas, ajoutez-le avec la valeur CONNECT.
SERVER_AUDIT_EXCL_USER S’il existe, développez-le pour inclure rdsadmin.
SERVER_AUDIT_INCL_USERS S’il existe avec une valeur et que rdsadmin fait partie de l’include, il ne sera pas présent dans SERVER_AUDIT_EXCL_USER et la valeur d’include est vide.

Important

Vous devrez peut-être redémarrer vos instances pour appliquer les modifications.

Si vous utilisez le groupe de paramètres par défaut, un nouveau groupe de paramètres est créé, qui inclut les modifications de paramètres requises avec le préfixe defenderfordatabases*.

Si un nouveau groupe de paramètres a été créé ou si des paramètres statiques ont été mis à jour, ils ne prendront effet qu’une fois l’instance redémarrée.

Remarque

Étape suivante