AWS-fiókok csatlakoztatása a Microsoft Defender for Cloud szolgáltatáshoz.

A Microsoft Defender for Cloud segít megvédeni az Amazon Web Servicesben (AWS) futó számítási feladatokat. Az AWS-erőforrások felméréséhez és a biztonsági javaslatok beszerzéséhez csatlakoztatnia kell az AWS-fiókot a Defender for Cloudhoz. Az összekötő konfigurációs és biztonsági jeleket gyűjt az AWS-szolgáltatásokból. Ezen információk használatával a Defender for Cloud elemezheti a testtartást, javaslatokat hozhat létre és riasztásokat jeleníthet meg.

További információkért tekintse meg a Defender for Cloud új AWS-összekötője videóját a Defender for Cloud in the Field videósorozatból .

Fontos

Ha már csatlakoztatta az AWS-fiókját a Microsoft Sentinelhez, előfordulhat, hogy további konfigurációt kell végrehajtania, amikor a Defender for Cloudhoz csatlakoztatja. Ez a további konfiguráció megakadályozza az üzembe helyezési vagy betöltési problémákat. További információ: Sentinelhez csatlakoztatott AWS-fiók csatlakoztatása a Defender for Cloudhoz.

Hitelesítési architektúra

Ha AWS-fiókot csatlakoztat, a Microsoft Defender for Cloud összevont megbízhatósági és rövid élettartamú hitelesítő adatokkal hitelesíti az AWS-t, és nem tárol hosszú élettartamú titkos kulcsokat.

További információ a Microsoft Entra ID és az AWS közötti hitelesítésről, beleértve az előkészítés során létrehozott IAM-szerepköröket és megbízhatósági kapcsolatokat.

Előfeltételek

Az AWS-fiók csatlakoztatása előtt győződjön meg arról, hogy rendelkezik a következőkkel:

• Microsoft Azure-előfizetés. Ha nem rendelkezik ilyen előfizetéssel, regisztráljon ingyenes előfizetésre.

• A Microsoft Defender for Cloud engedélyezve van ezen az előfizetésen.

• Hozzáférés egy AWS-fiókhoz.

• Engedélyek erőforrások létrehozására az Azure-ban (közreműködő vagy felette).

Bizonyos Defender-csomagok engedélyezésekor további követelmények vonatkoznak. Tekintse át a natív összekötőterv követelményeit.

Megjegyzés

Az AWS-összekötő nem érhető el az országos kormányzati felhőkben (Azure Government, Microsoft Azure, 21Vianet által üzemeltetett).

Natív csatlakozók tervkövetelményei

Minden Defender-csomagnak egyedi beállítási követelményei vannak.

Defender konténerekhez

• Legalább egy Amazon EKS-fürt a Kubernetes API-kiszolgálóhoz való hozzáféréssel. Ha nincs ilyenje, hozzon létre egy új EKS-fürtöt.
• Kapacitás Amazon SQS-üzenetsor, Kinesis Data Firehose-kézbesítési stream és Amazon S3-gyűjtő létrehozására ugyanabban a régióban, mint a fürt.

Defender az SQL-hez

• A Microsoft Defender for SQL engedélyezve van az előfizetésében.
• Aktív AWS-fiók EC2-példányokkal vagy az SQL Serverhez készült RDS Custom szolgáltatással.
• Az EC2-példányokra vagy az SQL Serverhez készült RDS Custom-példányokra telepített Azure Arc kiszolgálókhoz. Ajánlott az automatikus kiépítés. Az engedélyezéshez tulajdonosi szerepkört kell megadnia az Azure-előfizetésben.
• Az AmazonSSMManagedInstanceCore szabályzattal telepített AWS SSM-ügynök. Ha az SSM-ügynök nincs előre telepítve, kövesse az AWS telepítési utasításait.
• Az Archoz csatlakoztatott gépeken a következő bővítmények engedélyezettek:
  • Microsoft Defender végponthoz
  • Sebezhetőségi felmérési megoldás (TVM vagy Qualys)
  • Defender SQL-bővítményhez

További információ a komponensek felügyeletéről.

Defender nyílt forráskódú adatbázisokhoz (előzetes verzió)

• Aktív Azure-előfizetés, amelyen engedélyezve van a Defender for Cloud.
• Csatlakoztatott fiók az Azure-ban vagy az AWS-ben.

Régió rendelkezésre állása: Tel Aviv, Milánó, Jakarta, Spanyolország és Bahrein kivételével az összes nyilvános AWS-régió.

Defender szerverekhez

• A Microsoft Defender for Servers engedélyezve van az előfizetésében.
• Aktív AWS-fiók EC2-példányokkal.
• Az EC2-példányokra telepített Azure Arc kiszolgálókhoz. Az automatikus kiépítés ajánlott, és tulajdonosi szerepkört igényel az Azure-előfizetésben.
  Győződjön meg arról, hogy megfelelt az Azure Arc hálózati követelményeinek.
• Az AmazonSSMManagedInstanceCore szabályzattal telepített AWS SSM-ügynök. Ha nincs előre telepítve, telepítse Windowsra vagy Linuxra.

Megjegyzés

Ha az SSM-ügynök hiányzik vagy el lett távolítva, az Arc automatizált kiépítése nem folytatható.
Az előkészítési CloudFormation sablon egy 30 napos automatizálási vizsgálatot is létrehoz, amely ellenőrzi, hogy minden EC2-példány rendelkezik-e a szükséges IAM-profillal.

• Az Archoz csatlakoztatott gépeken a következő bővítmények engedélyezettek:
  • Microsoft Defender végponthoz
  • Sebezhetőségi felmérési megoldás (TVM vagy Qualys)

Megjegyzés

A Log Analytics-ügynök 2024 augusztusában megszűnt. Az attól függő funkciók a Defender végpontintegrációra vagy ügynök nélküli vizsgálatra váltanak.
További információ a közelgő változásokról.

A Defender for Servers erőforráscímkéket (AccountId, Cloud, InstanceId, MDFCSecurityConnector) rendel hozzá az automatikus üzembe helyezési folyamat kezeléséhez.

Megjegyzés

A már nem létező EC2-példányokhoz vagy GCP-virtuális gépekhez tartozó Azure Arc-kiszolgálók (és a leválasztott vagy lejárt állapotú Azure Arc-kiszolgálók) hét nap elteltével törlődnek. Ez a törlés biztosítja, hogy csak az aktív Arc-kompatibilis kiszolgálók jelenjenek meg továbbra is a Defender for Cloudban.

Defender CSPM

• Előfizetés-tulajdonosi engedélyek.
• AWS IAM-engedélyek a figyelési szerepkör betöltéséhez.
• A felhőinfrastruktúra-jogosultságkezelés (CIEM) engedélyezéséhez a felhasználónak rendelkeznie kell az alkalmazásadminisztrátori vagy a felhőalkalmazás-rendszergazdai szerepkörsel a Microsoft Entra-azonosítóban.

További információ a Defender CSPM engedélyezéséről.

Az AWS-fiók csatlakoztatása

1. Jelentkezzen be az Azure Portalra.

2. Nyissa meg a Defender for Cloud>Environment beállításait.

3. Válassza a Környezet hozzáadása>Amazon Web Services lehetőséget.

   

4. Adja meg az AWS-fiók adatait, beleértve azt az Azure-régiót is, ahol az összekötő-erőforrás létrejön.

   

   Az AWS-régiók legördülő listából válassza ki a defender for Cloud monitors régiót. A kijelölni kívánt régiók nem kapnak API-hívásokat a Defender for Cloudtól.

5. Válasszon ki egy vizsgálati időközt (4, 6, 12 vagy 24 óra).

   Ez a kijelölés határozza meg a legtöbb testtartás-ellenőrzés szokásos időközét. Egyes rögzített időközökkel rendelkező adatgyűjtők gyakrabban futnak, a beállítástól függetlenül:

   Vizsgálati időköz	Adatgyűjtők
   1 óra	EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
   12 óra	EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

6. Válassza a Tovább elemet: Válassza ki a csomagokat, és válassza ki az engedélyezni kívánt Defender-csomagokat.

   Tekintse át az alapértelmezett csomagkijelöléseket, mivel egyes csomagok automatikusan engedélyezve lehetnek a konfigurációtól függően. Az Adatbázisok csomag például kiterjeszti az SQL-lefedettséghez készült Defendert az AWS EC2-re, az SQL Serverhez készült RDS Custom-ra és az RDS-n futó nyílt forráskódú relációs adatbázisokra.

   

   Előfordulhat, hogy minden csomag díjtételt von maga után. További információ a Defender for Cloud díjszabásáról.

   Fontos

   A Defender CSPM naponta többször lekérdezi az AWS-erőforrások API-jait, hogy naprakész javaslatokat mutathasson be. Ezek az írásvédett API-hívások nem járnak AWS-díjakkal. Ha azonban engedélyezi az olvasási események naplózását, a CloudTrail rögzítheti őket. Az adatok külső SIEM-rendszerekbe való exportálása növelheti a betöltési költségeket. Szükség esetén szűrje ki az írásvédett hívásokat:

   arn:aws:iam::<accountId>:role/CspmMonitorAws

7. Válassza a Hozzáférés konfigurálása lehetőséget, és válassza a következőt:

   • Alapértelmezett hozzáférés: A jelenlegi és a jövőbeli képességekhez szükséges engedélyeket adja meg.
   • Minimális jogosultsági hozzáférés: Csak a ma szükséges engedélyeket adja meg. Ha később további hozzáférésre van szükség, értesítéseket kaphat.

8. Válasszon ki egy üzembe helyezési módszert:

   • AWS CloudFormation
   • Terraform.

   

   Megjegyzés

   Felügyeleti fiók létrehozásakor a Defender for Cloud AWS StackSeteket használ, és automatikusan létrehozza a gyermekfiókok összekötőit. Az újonnan felderített fiókokhoz az automatikus ellátás engedélyezve van.

   Megjegyzés

   Ha a Felügyeleti fiók lehetőséget választja, hogy összekötőt hozzon létre egy felügyeleti fiókhoz, a Terraform használatával történő előkészítés lapja nem jelenik meg a felhasználói felületen. A Terraform bevezetése továbbra is elérhető. Útmutatásért lásd : AWS/GCP-környezet előkészítése a Microsoft Defender for Cloudba a Terraform használatával.

9. Kövesse a képernyőn megjelenő utasításokat a CloudFormation-sablon üzembe helyezéséhez. Ha a Terraformot választja, kövesse a portálon megadott megfelelő üzembe helyezési utasításokat.

10. Válassza a Tovább elemet: Áttekintés és létrehozás.

11. Válassza a Létrehozás lehetőséget.

A Defender for Cloud megkezdi az AWS-erőforrások vizsgálatát. A biztonsági javaslatok néhány órán belül megjelennek. Az előkészítés után monitorozhatja az AWS állapotát, a riasztásokat és az erőforrásleltárat a Defender for Cloudban.

Összekötő állapotának ellenőrzése

Annak ellenőrzéséhez, hogy az AWS-összekötő megfelelően működik-e:

1. Jelentkezzen be az Azure Portalra.

2. Nyissa meg a Defender for Cloud>Environment beállításait.

3. Keresse meg az AWS-fiókot, és tekintse át a Kapcsolat állapot oszlopot, és ellenőrizze, hogy a kapcsolat kifogástalan állapotban van-e, vagy problémákat tapasztal.

4. A további részletek megtekintéséhez válassza ki a Kapcsolat állapot oszlopában látható értéket.

A Környezet részletei lap felsorolja az AWS-fiókhoz való csatlakozást érintő esetleges konfigurációs vagy engedélyproblémákat.

Ha probléma merül fel, kiválaszthatja a probléma leírását és a javasolt szervizelési lépéseket. Bizonyos esetekben egy szervizelési szkript is rendelkezésre áll a probléma megoldásához.

További információ a többfelhős összekötők hibaelhárításáról.

CloudFormation-sablon üzembe helyezése az AWS-fiókban

Az előkészítés részeként telepítse a létrehozott CloudFormation-sablont:

• Stack (egyetlen fiók)
• Mint egy StackSet (felügyeleti fiók)

Sablon üzembe helyezési beállításai

• Amazon S3 URL-cím: Töltse fel a letöltött CloudFormation-sablont saját S3-gyűjtőjéhez saját biztonsági konfigurációival. Adja meg az S3 URL-címet az AWS üzembehelyezési varázslójában.

• Sablonfájl feltöltése: Az AWS automatikusan létrehoz egy S3-gyűjtőt a sablon tárolásához. Ez a konfiguráció S3 buckets should require requests to use Secure Socket Layer ajánlást aktiválhatja. A hiba kijavításához alkalmazza a következő gyűjtőszabályzatot:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Megjegyzés

A CloudFormation StackSets futtatásakor egy AWS felügyeleti fiók létrehozásakor a következő hibaüzenet jelenhet meg: You must enable organizations access to operate a service managed stack set

Ez a hibaüzenet azt jelzi, hogy nem engedélyezte az AWS-szervezetek megbízható hozzáférését.

A hiba elhárításához a CloudFormation StackSets lapon megjelenik egy gomb, amelyet kiválasztva engedélyezheti a megbízható hozzáférést. A megbízható hozzáférés engedélyezése után futtassa újra a CloudFormation Stacket.

Frissítenie kell a CloudFormation sablont?

Ez a táblázat segít eldönteni, hogy frissítenie kell-e az AWS-fiókban üzembe helyezett CloudFormation-sablont.

Step	Question	Ha IGEN	Ha NEM
1	Engedélyezte az új Defender-csomagot (például CSPM, Adatbázisok, Defender for Containers)?	Frissítse a CloudFormation Stacket a legújabb sablonnal.	Ugrás a 2. lépésre.
2	Módosítja a konfigurációt (például engedélyezi az automatikus erőforrás-allokálást vagy módosítja a régiót)?	Frissítse a CloudFormation Stacket a legújabb sablonnal.	Ugrás a 3. lépésre.
3	A Microsoft kiadta a sablon új verzióját? (Például támogathatja az új funkciókat, kijavíthatja a hibákat vagy frissítheti a futtatókörnyezetet)	Frissítse a CloudFormation Stacket a legújabb sablonnal.	Ugrás a 4. lépésre.
4	1. üzembehelyezési hibát tapasztal (például Hozzáférés megtagadva hiba, Entitás már létezik, Lambda futtatókörnyezet)?	Frissítse a CloudFormation Stacket a legújabb sablonnal.	Nincs szükség a CloudFormation-sablon frissítésére.

¹ Ha konkrét hibákat vagy a CloudFormation-sablon üzembe helyezésével kapcsolatos hibákat kap, tekintse meg a CloudFormation hibafeloldási táblázatát.

Az aktuális lefedettség megtekintése

A Defender for Cloud Azure-munkafüzeteken keresztül biztosít hozzáférést a munkafüzetekhez. A munkafüzetek testreszabható jelentések, amelyek betekintést nyújtanak a biztonsági helyzetbe.

A lefedettségi munkafüzet az előfizetéseken és erőforrásokon engedélyezett csomagok megjelenítésével segít megérteni az aktuális lefedettséget.

AWS CloudTrail-naplóbetöltés engedélyezése (előzetes verzió)

Az AWS CloudTrail felügyeleti eseménybetöltése javíthatja az identitás- és konfigurációs elemzéseket a CIEM-értékelések környezetének, a tevékenységalapú kockázati mutatóknak és a konfigurációváltozás-észlelésnek a hozzáadásával.

További információ az AWS CloudTrail-naplók és a Microsoft Defender for Cloud (előzetes verzió) integrálásáról.

További információ

Tekintse meg a következő blogokat:

• Ignite 2021: Microsoft Defender for Cloud news
• Biztonsági helyzet kezelése és kiszolgálóvédelem az AWS-hez és a GCP-hez

Következő lépések

• Hozzáférés hozzárendelése a számítási feladatok tulajdonosaihoz.
• Az összes erőforrás védelme a Defender for Cloud használatával.
• Állítsa be helyszíni gépeit és GCP-projektjeit.
• Válaszokat kaphat az AWS-fiók előkészítésével kapcsolatos gyakori kérdésekre .
• Többfelhős összekötők hibaelhárítása.