כיצד יישומי ענן של Defender להגן על סביבת Amazon Web Services (AWS) שלך

Amazon Web Services הוא ספק IaaS המאפשר לארגון שלך לארח ולנהל את עומסי העבודה המלאים שלהם בענן. בנוסף ליתרונות השימוש בתשתית בענן, הנכסים הקריטיים ביותר של הארגון שלך עשויים להיחשף לאיומים. נכסים חשופים כוללים מופעי אחסון עם מידע שעשוי להיות רגיש, חישוב משאבים שפועלים חלק מהיישומים הקריטיים ביותר, יציאות ורשתות וירטואליות פרטיות המאפשרות גישה לארגון שלך.

חיבור AWS ל- יישומי ענן של Defender עוזר לך לאבטח את הנכסים שלך ולאתר איומים פוטנציאליים על-ידי ניטור פעילויות ניהול והתחברות, דיווח על התקפות כוח אכזריות אפשריות, שימוש זדוני בחשבון משתמש בעל הרשאה, מחיקות חריגות של מחשבים וירטואליים (מחשבים וירטואליים) ומכלי אחסון חשופים לציבור.

איומים עיקריים

• שימוש לרעה במשאבי ענן
• חשבונות שנחשף לסכנה ואיומים פנימיים
• דליפת נתונים
• קביעת תצורה שגויה של משאבים ופקד גישה לא מספיק

כיצד יישומי ענן של Defender להגן על הסביבה שלך

• זהה איומים בענן, חשבונות שנחשף לסכנה ותוכנות Insider זדוניות
• הגבל את החשיפה של נתונים משותפים ואכוף מדיניות שיתוף פעולה
• שימוש בביקורת של פעילויות לחקירות משפטיות

שליטה ב- AWS באמצעות פריטי מדיניות ותבניות מדיניות מוכללים

באפשרותך להשתמש בתבניות המדיניות המוכללות הבאות כדי לזהות ולהודיע לך על איומים פוטנציאליים:

סוג	Name
תבנית מדיניות פעילות	מרכז הניהול כשלים בכניסה לקונסולה שינויי תצורה של CloudTrail שינויי תצורה של מופע EC2 שינויים במדיניות IAM כניסה מכתובת IP מרשימה שינויים ברשימת בקרת גישה לרשת (ACL) שינויים בשער הרשת פעילות Bucket S3 שינויי תצורה של קבוצת אבטחה שינויים ברשת וירטואלית פרטית
מדיניות זיהוי חריגות מוכללת	פעילות מכתובות IP אנונימיות פעילות ממדינה נדירה פעילות מכתובות IP חשודות נסיעה בלתי אפשרית פעילות שבוצעה על-ידי משתמש שהסתיים (מזהה Microsoft Entra כ- IdP) מספר נסיונות כניסה שנכשלו פעילויות ניהוליות חריגות פעילויות חריגות למחיקת אחסון מרובות (תצוגה מקדימה) פעילויות מחיקה מרובות של מחשבים וירטואליים פעילויות חריגות של יצירת מחשבים וירטואליים מרובים (תצוגה מקדימה) אזור חריג עבור משאב ענן (תצוגה מקדימה)
תבנית מדיניות קבצים	מיכל S3 נגיש לציבור

לקבלת מידע נוסף אודות יצירת מדיניות, ראה יצירת מדיניות.

הפיכת פקדי פיקוח לאוטומטיים

בנוסף לניטור אחר איומים פוטנציאליים, באפשרותך להחיל תהליכים אלה ולהפיכת פעולות הפיקוח הבאות ב- AWS לאוטומטיות כדי לפתור איומים שזוהו:

סוג	פעולה
פיקוח על משתמשים	- הודע למשתמש בהתראה (באמצעות מזהה Microsoft Entra) - לדרוש מהמשתמש להיכנס שוב (באמצעות מזהה Microsoft Entra) - להשעות משתמש (באמצעות מזהה Microsoft Entra)
פיקוח על נתונים	- להפוך דלי S3 לפרטי - להסיר משתף פעולה עבור מיכל S3

לקבלת מידע נוסף על תיקון איומים מאפליקציות, ראה פיקוח על אפליקציות מחוברות.

הגנה על AWS בזמן אמת

סקור את שיטות העבודה המומלצות שלנו לחסימה ולהגנה על הורדת נתונים רגישים למכשירים לא מנוהלים או מסיכונים.

חיבור Amazon Web Services ל- יישומי ענן של Microsoft Defender

סעיף זה מספק הוראות לחיבור חשבון Amazon Web Services (AWS) הקיים שלך יישומי ענן של Microsoft Defender באמצעות ממשקי ה- API של המחבר. לקבלת מידע אודות האופן יישומי ענן של Defender על AWS, ראה הגנה על AWS.

באפשרותך לחבר ביקורת אבטחה של AWS יישומי ענן של Defender חיבורים מרובים כדי לקבל ניראות של השימוש באפליקציה AWS ולשלוט בו.

שלב 1: קביעת תצורה של ביקורת Amazon Web Services

1. היכנס למסוף Amazon Web Services

2. הוסף משתמש חדש עבור יישומי ענן של Defender, והוסף למשתמש גישה תיכנותית.

3. בחר צור מדיניות והזן שם עבור המדיניות החדשה.

4. בחר את הכרטיסיה JSON והדבק את קובץ ה- Script הבא:

   {
     "Version" : "2012-10-17",
     "Statement" : [{
         "Action" : [
           "cloudtrail:DescribeTrails",
           "cloudtrail:LookupEvents",
           "cloudtrail:GetTrailStatus",
           "cloudwatch:Describe*",
           "cloudwatch:Get*",
           "cloudwatch:List*",
           "iam:List*",
           "iam:Get*",
           "s3:ListAllMyBuckets",
           "s3:PutBucketAcl",
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Effect" : "Allow",
         "Resource" : "*"
       }
     ]
    }
   

5. בחר הורד .csv כדי לשמור עותק של האישורים של המשתמש החדש. תזדקק להם מאוחר יותר.

   הערה

   לאחר חיבור AWS, תקבל אירועים במשך שבעה ימים לפני החיבור. אם הפעלת זה עתה את CloudTrail, תקבל אירועים מהזמן שבו הפעלת את CloudTrail.

חיבור ביקורת של Amazon Web Services ל- יישומי ענן של Defender

1. בתיבה פורטל Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן. תחת אפליקציות מחוברות, בחר מחברי אפליקציות.

2. בדף מחברים של יישום , כדי לספק את אישורי מחבר AWS, בצע אחת מהפעולות הבאות:

עבור מחבר חדש

1. בחר את +Connect an app ולאחר מכן Amazon Web Services.

   

2. בחלון הבא, ספק שם עבור המחבר ולאחר מכן בחר הבא.

   

3. בדף Connect Amazon Web Services , בחר ביקורת אבטחה ולאחר מכן בחר הבא.

4. בדף ביקורת אבטחה, הדבק את מפתח Access ואת המפתח Secret מהקובץ .csv בשדות הרלוונטיים ובחר הבא.

   

עבור מחבר קיים

1. ברשימת המחברים, בשורה שבה מופיע מחבר AWS, בחר ערוך הגדרות.

2. בדפים שם מופע וחיבורAmazon Web Services , בחר הבא. בדף ביקורת אבטחה, הדבק את מפתח Access ואת המפתח Secret מהקובץ .csv בשדות הרלוונטיים ובחר הבא.

   

3. בתיבה פורטל Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן. תחת אפליקציות מחוברות, בחר מחברי אפליקציות. ודא שמצב מחבר היישומים המחובר מחובר.

השלבים הבאים

• שליטה באפליקציות ענן עם מדיניות