Hogyan segíti a Felhőhöz készült Defender Apps az Amazon Web Services (AWS) környezet védelmét?
Az Amazon Web Services egy IaaS-szolgáltató, amely lehetővé teszi a szervezet számára a teljes számítási feladat felhőben való üzemeltetését és kezelését. A felhőbeli infrastruktúra kihasználásának előnyei mellett a szervezet legkritikusabb eszközei is veszélynek lehetnek kitéve. A közzétett eszközök közé tartoznak a potenciálisan bizalmas információkat tartalmazó tárpéldányok, a legkritikusabb alkalmazásokat, portokat és virtuális magánhálózatokat üzemeltető számítási erőforrások, amelyek lehetővé teszik a szervezethez való hozzáférést.
az AWS Felhőhöz készült Defender-alkalmazásokba való Csatlakozás segítségével biztonságossá teheti eszközeit, és észlelheti a lehetséges fenyegetéseket a felügyeleti és bejelentkezési tevékenységek figyelésével, a lehetséges találgatásos támadásokról, a kiemelt felhasználói fiókok rosszindulatú használatáról, a virtuális gépek szokatlan törléséről és a nyilvánosan közzétett tárológyűjtőkről való értesítéssel.
Főbb fenyegetések
- Felhőbeli erőforrásokkal való visszaélés
- Feltört fiókok és belső fenyegetések
- Adatszivárgás
- Erőforrás helytelen konfigurálása és nem megfelelő hozzáférés-vezérlés
Hogyan segítik a Felhőhöz készült Defender-alkalmazások a környezet védelmét?
- Felhőbeli fenyegetések, feltört fiókok és rosszindulatú bennfentesek észlelése
- A megosztott adatok expozíciójának korlátozása és az együttműködési szabályzatok kikényszerítése
- A kriminalisztikai vizsgálatokhoz szükséges tevékenységek ellenőrzési nyomvonalának használata
Az AWS vezérlése beépített szabályzatokkal és szabályzatsablonokkal
A következő beépített szabályzatsablonokkal észlelheti és értesítheti a lehetséges fenyegetésekről:
| Típus | Név |
|---|---|
| Tevékenységházirend-sablon | Rendszergazda konzol bejelentkezési hibái A CloudTrail konfigurációjának változásai EC2-példány konfigurációjának változásai IAM-szabályzatmódosítások Bejelentkezés kockázatos IP-címről A hálózati hozzáférés-vezérlési lista (ACL) változásai A hálózati átjáró változásai S3 gyűjtőtevékenység Biztonsági csoport konfigurációjának változásai Virtuális magánhálózat változásai |
| Beépített anomáliadetektálási szabályzat | Tevékenység névtelen IP-címekről Ritka országból származó tevékenység Gyanús IP-címekről származó tevékenység Lehetetlen utazás A megszakított felhasználó által végzett tevékenység (a Microsoft Entra idP azonosítóját igényli) Több sikertelen bejelentkezési kísérlet Szokatlan adminisztratív tevékenységek Szokatlan, több tárterület-törlési tevékenység (előzetes verzió) Több virtuálisgép-törlési tevékenység Szokatlan, több virtuálisgép-létrehozási tevékenység (előzetes verzió) Szokatlan régió a felhőerőforráshoz (előzetes verzió) |
| Fájlszabályzat-sablon | Az S3-gyűjtő nyilvánosan elérhető |
A szabályzatok létrehozásával kapcsolatos további információkért lásd : Szabályzat létrehozása.
Szabályozási vezérlők automatizálása
A lehetséges fenyegetések monitorozása mellett a következő AWS-szabályozási műveleteket is alkalmazhatja és automatizálhatja az észlelt fenyegetések elhárításához:
| Típus | Művelet |
|---|---|
| Felhasználóirányítás | - Értesítés a felhasználó értesítéséről (Microsoft Entra-azonosítón keresztül) – A felhasználó ismételt bejelentkezésének megkövetelése (Microsoft Entra-azonosítón keresztül) - Felhasználó felfüggesztése (Microsoft Entra-azonosítón keresztül) |
| Adatszabályozás | - S3-gyűjtő privátsá tétele – S3-gyűjtő közreműködőjének eltávolítása |
További információ az alkalmazások fenyegetéseinek elhárításáról: Csatlakoztatott alkalmazások szabályozása.
Az AWS valós idejű védelme
Tekintse át a bizalmas adatok nem felügyelt vagy kockázatos eszközökre való letöltésének letiltására és védelmére vonatkozó ajánlott eljárásainkat.
Az Amazon Web Services Csatlakozás az alkalmazások Felhőhöz készült Microsoft Defender
Ez a szakasz útmutatást nyújt a meglévő Amazon Web Services-fiók (AWS) csatlakoztatásához Felhőhöz készült Microsoft Defender-alkalmazásokhoz az összekötő API-kkal. Az Felhőhöz készült Defender Alkalmazások az AWS védelméről további információt az AWS védelme című témakörben talál.
Az AWS Security naplózását összekapcsolhatja Felhőhöz készült Defender-alkalmazások kapcsolataival, így betekintést nyerhet az AWS-alkalmazások használatába, és szabályozhatja azt.
1. lépés: Az Amazon Web Services naplózásának konfigurálása
Az Amazon Web Services-konzol Biztonság, Identitás és megfelelőség területén válassza az IAM lehetőséget.
Válassza a Felhasználók lehetőséget, majd válassza a Felhasználó hozzáadása lehetőséget.
A Részletek lépésben adjon meg egy új felhasználónevet Felhőhöz készült Defender-alkalmazásokhoz. Győződjön meg arról, hogy az Access típusnál a Programozott hozzáférés lehetőséget választja, majd a Következő engedélyek lehetőséget választja.
Válassza a Meglévő szabályzatok csatolása, majd a Szabályzat létrehozása lehetőséget.
Válassza ki a JSON lapot:
Illessze be a következő szkriptet a megadott területre:
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }Válassza a Következőt: Címkék
Válassza a Következő: Véleményezés lehetőséget.
Adjon meg egy nevet , és válassza a Szabályzat létrehozása lehetőséget.
Térjen vissza a Felhasználó hozzáadása képernyőre, szükség esetén frissítse a listát, és válassza ki a létrehozott felhasználót, majd válassza a Tovább: Címkék lehetőséget.
Válassza a Következő: Véleményezés lehetőséget.
Ha minden részlet helyes, válassza a Felhasználó létrehozása lehetőséget.
Amikor megjelenik a sikeres üzenet, válassza a Letöltés .csv lehetőséget az új felhasználó hitelesítő adatainak másolatának mentéséhez. Ezekre később lesz szüksége.
Feljegyzés
Az AWS csatlakoztatása után a kapcsolat előtt hét napig fogad eseményeket. Ha most engedélyezte a CloudTrailt, a CloudTrail engedélyezésétől kezdve eseményeket fog kapni.
2. lépés: Az Amazon Web Services naplózásának Csatlakozás Felhőhöz készült Defender Apps szolgáltatásba
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget.
Az Alkalmazás-összekötő s lapon az AWS-összekötő hitelesítő adatainak megadásához tegye az alábbiak egyikét:
Új összekötő esetén
Válassza ki a +Csatlakozás egy alkalmazást, majd az Amazon Web Servicest.
A következő ablakban adja meg az összekötő nevét, majd válassza a Tovább gombot.
Az Amazon webszolgáltatások Csatlakozás lapján válassza a Biztonsági naplózás lehetőséget, majd a Tovább lehetőséget.
A Biztonsági naplózás lapon illessze be az Access billentyűt és a titkos kulcsot a .csv fájlból a megfelelő mezőkbe, és válassza a Tovább gombot.
Meglévő összekötő esetén
Az összekötők listájában, azon a sorban, amelyben az AWS-összekötő megjelenik, válassza a Beállítások szerkesztése lehetőséget.
A Példány neve és Csatlakozás Amazon-webszolgáltatások lapjain válassza a Tovább gombot. A Biztonsági naplózás lapon illessze be az Access billentyűt és a titkos kulcsot a .csv fájlból a megfelelő mezőkbe, és válassza a Tovább gombot.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget. Győződjön meg arról, hogy a csatlakoztatott alkalmazás Csatlakozás or állapota Csatlakozás.
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.