Hogyan segíti a Felhőhöz készült Defender Apps az Amazon Web Services (AWS) környezet védelmét?

Cikk
01/23/2024

Az Amazon Web Services egy IaaS-szolgáltató, amely lehetővé teszi a szervezet számára a teljes számítási feladat felhőben való üzemeltetését és kezelését. A felhőbeli infrastruktúra kihasználásának előnyei mellett a szervezet legkritikusabb eszközei is veszélynek lehetnek kitéve. A közzétett eszközök közé tartoznak a potenciálisan bizalmas információkat tartalmazó tárpéldányok, a legkritikusabb alkalmazásokat, portokat és virtuális magánhálózatokat üzemeltető számítási erőforrások, amelyek lehetővé teszik a szervezethez való hozzáférést.

az AWS Felhőhöz készült Defender-alkalmazásokba való Csatlakozás segítségével biztonságossá teheti eszközeit, és észlelheti a lehetséges fenyegetéseket a felügyeleti és bejelentkezési tevékenységek figyelésével, a lehetséges találgatásos támadásokról, a kiemelt felhasználói fiókok rosszindulatú használatáról, a virtuális gépek szokatlan törléséről és a nyilvánosan közzétett tárológyűjtőkről való értesítéssel.

Főbb fenyegetések

Felhőbeli erőforrásokkal való visszaélés
Feltört fiókok és belső fenyegetések
Adatszivárgás
Erőforrás helytelen konfigurálása és nem megfelelő hozzáférés-vezérlés

Hogyan segítik a Felhőhöz készült Defender-alkalmazások a környezet védelmét?

Az AWS vezérlése beépített szabályzatokkal és szabályzatsablonokkal

A következő beépített szabályzatsablonokkal észlelheti és értesítheti a lehetséges fenyegetésekről:

Típus	Név
Tevékenységházirend-sablon	Rendszergazda konzol bejelentkezési hibái A CloudTrail konfigurációjának változásai EC2-példány konfigurációjának változásai IAM-szabályzatmódosítások Bejelentkezés kockázatos IP-címről A hálózati hozzáférés-vezérlési lista (ACL) változásai A hálózati átjáró változásai S3 konfigurációváltozások Biztonsági csoport konfigurációjának változásai Virtuális magánhálózat változásai
Beépített anomáliadetektálási szabályzat	Tevékenység névtelen IP-címekről Ritka országból származó tevékenység Gyanús IP-címekről származó tevékenység Lehetetlen utazás A megszakított felhasználó által végzett tevékenység (a Microsoft Entra idP azonosítóját igényli) Több sikertelen bejelentkezési kísérlet Szokatlan adminisztratív tevékenységek Szokatlan, több tárterület-törlési tevékenység (előzetes verzió) Több virtuálisgép-törlési tevékenység Szokatlan, több virtuálisgép-létrehozási tevékenység (előzetes verzió) Szokatlan régió a felhőerőforráshoz (előzetes verzió)
Fájlszabályzat-sablon	Az S3-gyűjtő nyilvánosan elérhető

A szabályzatok létrehozásával kapcsolatos további információkért lásd : Szabályzat létrehozása.

Szabályozási vezérlők automatizálása

A lehetséges fenyegetések monitorozása mellett a következő AWS-szabályozási műveleteket is alkalmazhatja és automatizálhatja az észlelt fenyegetések elhárításához:

Típus	Művelet
Felhasználóirányítás	- Értesítés a felhasználó értesítéséről (Microsoft Entra-azonosítón keresztül) – A felhasználó ismételt bejelentkezésének megkövetelése (Microsoft Entra-azonosítón keresztül) - Felhasználó felfüggesztése (Microsoft Entra-azonosítón keresztül)
Adatszabályozás	- S3-gyűjtő privátsá tétele – S3-gyűjtő közreműködőjének eltávolítása

További információ az alkalmazások fenyegetéseinek elhárításáról: Csatlakoztatott alkalmazások szabályozása.

Az AWS valós idejű védelme

Tekintse át a bizalmas adatok nem felügyelt vagy kockázatos eszközökre való letöltésének letiltására és védelmére vonatkozó ajánlott eljárásainkat.

Az Amazon Web Services Csatlakozás az alkalmazások Felhőhöz készült Microsoft Defender

Ez a szakasz útmutatást nyújt a meglévő Amazon Web Services-fiók (AWS) csatlakoztatásához Felhőhöz készült Microsoft Defender-alkalmazásokhoz az összekötő API-kkal. Az Felhőhöz készült Defender Alkalmazások az AWS védelméről további információt az AWS védelme című témakörben talál.

Az AWS Security naplózását összekapcsolhatja Felhőhöz készült Defender-alkalmazások kapcsolataival, így betekintést nyerhet az AWS-alkalmazások használatába, és szabályozhatja azt.

1. lépés: Az Amazon Web Services naplózásának konfigurálása

Az Amazon Web Services-konzol Biztonság, Identitás és megfelelőség területén válassza az IAM lehetőséget.
Válassza a Felhasználók lehetőséget, majd válassza a Felhasználó hozzáadása lehetőséget.
A Részletek lépésben adjon meg egy új felhasználónevet Felhőhöz készült Defender-alkalmazásokhoz. Győződjön meg arról, hogy az Access típusnál a Programozott hozzáférés lehetőséget választja, majd a Következő engedélyek lehetőséget választja.
Válassza a Meglévő szabályzatok csatolása, majd a Szabályzat létrehozása lehetőséget.
Válassza ki a JSON lapot:

Illessze be a következő szkriptet a megadott területre:

{
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

Válassza a Következőt: Címkék
Válassza a Következő: Véleményezés lehetőséget.
Adjon meg egy nevet , és válassza a Szabályzat létrehozása lehetőséget.
Térjen vissza a Felhasználó hozzáadása képernyőre, szükség esetén frissítse a listát, és válassza ki a létrehozott felhasználót, majd válassza a Tovább: Címkék lehetőséget.
Válassza a Következő: Véleményezés lehetőséget.
Ha minden részlet helyes, válassza a Felhasználó létrehozása lehetőséget.
Amikor megjelenik a sikeres üzenet, válassza a Letöltés .csv lehetőséget az új felhasználó hitelesítő adatainak másolatának mentéséhez. Ezekre később lesz szüksége.

Feljegyzés

Az AWS csatlakoztatása után a kapcsolat előtt hét napig fogad eseményeket. Ha most engedélyezte a CloudTrailt, a CloudTrail engedélyezésétől kezdve eseményeket fog kapni.

2. lépés: Az Amazon Web Services naplózásának Csatlakozás Felhőhöz készült Defender Apps szolgáltatásba

A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget.
Az Alkalmazás-összekötő s lapon az AWS-összekötő hitelesítő adatainak megadásához tegye az alábbiak egyikét:

Új összekötő esetén
1. Válassza ki a +Csatlakozás egy alkalmazást, majd az Amazon Web Servicest.
2. A következő ablakban adja meg az összekötő nevét, majd válassza a Tovább gombot.
3. Az Amazon webszolgáltatások Csatlakozás lapján válassza a Biztonsági naplózás lehetőséget, majd a Tovább lehetőséget.
4. A Biztonsági naplózás lapon illessze be az Access billentyűt és a titkos kulcsot a .csv fájlból a megfelelő mezőkbe, és válassza a Tovább gombot.
Meglévő összekötő esetén
1. Az összekötők listájában, azon a sorban, amelyben az AWS-összekötő megjelenik, válassza a Beállítások szerkesztése lehetőséget.
2. A Példány neve és Csatlakozás Amazon-webszolgáltatások lapjain válassza a Tovább gombot. A Biztonsági naplózás lapon illessze be az Access billentyűt és a titkos kulcsot a .csv fájlból a megfelelő mezőkbe, és válassza a Tovább gombot.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget. Győződjön meg arról, hogy a csatlakoztatott alkalmazás Csatlakozás or állapota Csatlakozás.

Következő lépések

Felhőalkalmazások szabályozása szabályzatokkal

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.