Mulai Cepat: Menghubungkan akun AWS Anda ke Microsoft Defender untuk Cloud

Dengan beban kerja cloud yang umumnya mencakup beberapa platform cloud, layanan keamanan cloud harus melakukan hal yang sama. Microsoft Defender for Cloud melindungi beban kerja di Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), GitHub, dan Azure DevOps (ADO).

Untuk melindungi sumber daya berbasis AWS Anda, Anda dapat menghubungkan akun AWS dengan:

  • Konektor cloud asli (disarankan) - Menyediakan koneksi tanpa agen ke akun AWS Anda yang dapat Anda perluas dengan paket Defender untuk Cloud's Defender untuk mengamankan sumber daya AWS Anda:

  • Konektor cloud klasik - Memerlukan konfigurasi di akun AWS Anda untuk membuat pengguna yang dapat digunakan Defender untuk Cloud untuk terhubung ke lingkungan AWS Anda. Jika Anda memiliki konektor cloud klasik, kami sarankan Anda menghapus konektor ini, dan menggunakan konektor asli untuk menyambungkan kembali ke akun. Menggunakan konektor klasik dan asli dapat menghasilkan rekomendasi duplikat.

Untuk daftar referensi semua rekomendasi yang dapat disediakan Defender untuk Cloud untuk sumber daya AWS, lihat Rekomendasi keamanan untuk sumber daya AWS - panduan referensi.

Cuplikan layar ini memperlihatkan akun AWS yang ditampilkan di dasbor ringkasan Defender untuk Cloud.

Empat proyek AWS terdaftar di dasbor ringkasan Defender untuk Cloud

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang:

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan Umum (GA)
Harga: Paket Defender untuk SQL ditagih dengan harga yang sama dengan sumber daya Azure.
Paket Defender untuk Kontainer gratis selama pratinjau. Setelah itu, AWS akan ditagih dengan harga yang sama dengan sumber daya Azure.
Untuk setiap komputer AWS yang tersambung ke Azure, paket Defender untuk Server ditagih dengan harga yang sama dengan paket Microsoft Defender untuk Server untuk komputer Azure.
Pelajari selengkapnya tentang harga dan penagihan paket Defender
Peran dan izin akses yang diperlukan: Izin kontributor untuk langganan Azure yang relevan.
Administrator di akun AWS.
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok)

Prasyarat

Konektor cloud asli memerlukan:

  • Akses ke akun AWS.

  • Untuk mengaktifkan paket Microsoft Defender untuk Kontainer, Anda memerlukan:

    • Setidaknya satu kluster Amazon EKS dengan izin untuk mengakses server API EKS K8s. Jika Anda perlu membuat klaster EKS baru, ikuti petunjuk di Memulai Amazon EKS – eksctl.
    • Kapasitas sumber daya untuk membuat antrean SQS baru, aliran pengiriman Kinesis Fire Hose, dan wadah S3 di wilayah kluster.
  • Untuk mengaktifkan perencanaan Defender untuk SQL , Anda memerlukan:

    • Microsoft Defender untuk SQL diaktifkan pada langganan. Pelajari cara mengaktifkan perlindungan di semua basis data Anda.

    • Akun AWS aktif, dengan instans EC2 yang menjalankan server SQL atau Kustom RDS untuk SQL Server.

    • Azure Arc untuk server yang diinstal pada instans EC2/Kustom RDS Anda untuk SQL Server.

      • (Disarankan) Gunakan proses provisi otomatis untuk menginstal Azure Arc pada semua instans EC2 Anda yang ada dan masa mendatang.

        Provisi otomatis dikelola oleh AWS Systems Manager (SSM) menggunakan agen SSM. Beberapa Amazon Machine Images (AMI) sudah memiliki agen SSM yang sudah dipasang sebelumnya. Jika Anda sudah memiliki agen SSM yang telah diinstal sebelumnya, AMI tercantum dalam AMI dengan Agen SSM yang telah diinstal sebelumnya. Jika instans EC2 Anda tidak memiliki Agen SSM, Anda harus menginstalnya menggunakan salah satu instruksi relevan berikut dari Amazon:

      Catatan

      Untuk mengaktifkan provisi otomatis Azure Arc, Anda memerlukan izin Pemilik pada langganan Azure yang relevan.

    • Ekstensi lain harus diaktifkan pada komputer yang terhubung dengan Arc:

      • Pertahanan Microsoft untuk Titik Akhir

      • Solusi VA (TVM/Qualys)

      • Agen Log Analytics (LA) pada mesin Arc atau agen Azure Monitor (AMA)

        Pastikan ruang kerja LA yang dipilih memiliki solusi keamanan yang terinstal. Agen LA dan AMA saat ini dikonfigurasi di tingkat langganan. Semua akun AWS dan proyek GCP Anda di bawah langganan yang sama akan mewarisi pengaturan langganan untuk agen LA dan AMA.

      Pelajari selengkapnya tentang komponen pemantauan untuk Defender for Cloud.

  • Untuk mengaktifkan paket Defender untuk Server, Anda memerlukan:

    • Microsoft Defender untuk Server diaktifkan pada langganan. Pelajari cara mengaktifkan paket di Mengaktifkan fitur keamanan yang disempurnakan.

    • Akun AWS aktif, dengan instans EC2.

    • Azure Arc untuk server yang dipasang pada instans EC2 Anda.

      Catatan

      Untuk mengaktifkan provisi otomatis Azure Arc, Anda memerlukan izin Pemilik pada langganan Azure yang relevan.

      • Jika Anda ingin menginstal Azure Arc secara manual pada instans EC2 yang ada dan yang akan datang, gunakan rekomendasi instans EC2 harus tersambung ke Azure Arc untuk mengidentifikasi instans yang tidak menginstal Azure Arc.
    • Ekstensi lain harus diaktifkan pada komputer yang terhubung dengan Arc:

      • Pertahanan Microsoft untuk Titik Akhir

      • Solusi VA (TVM/Qualys)

      • Agen Log Analytics (LA) pada mesin Arc atau agen Azure Monitor (AMA)

        Pastikan ruang kerja LA yang dipilih memiliki solusi keamanan yang terinstal. Agen LA dan AMA saat ini dikonfigurasi di tingkat langganan. Semua akun AWS dan proyek GCP Anda di bawah langganan yang sama akan mewarisi pengaturan langganan untuk agen LA dan AMA.

      Pelajari selengkapnya tentang komponen pemantauan untuk Defender for Cloud.

      Catatan

      Defender for Server menetapkan tag ke sumber daya AWS Anda untuk mengelola proses provisi otomatis. Anda harus menetapkan tag ini dengan benar ke sumber daya Anda sehingga Defender untuk Cloud dapat mengelola sumber daya Anda: AccountId, Cloud, InstanceId, MDFCSecurityConnector

Sambungkan akun AWS Anda

Untuk menghubungkan akun AWS Anda ke Defender untuk Cloud dengan konektor asli:

  1. Jika Anda memiliki konektor klasik, lepaskan.

    Menggunakan konektor klasik dan asli dapat menghasilkan rekomendasi duplikat.

  2. Masuk ke portal Azure.

  3. Navigasikan ke pengaturan Microsoft Defender untuk Cloud>pengaturan Environment.

  4. Pilih Tambahkan lingkungan>AWS.

    Menyambungkan akun AWS ke langganan Azure.

  5. Masukkan detail akun AWS, termasuk lokasi tempat Anda akan menyimpan sumber daya konektor.

    Langkah 1 dari wizard tambahkan akun AWS: Masukkan detail akun.

    (Opsional) Pilih Akun manajemen untuk membuat konektor ke akun manajemen. Konektor akan dibuat untuk setiap akun anggota yang ditemukan di bawah akun manajemen yang disediakan. Provisi otomatis akan diaktifkan untuk semua akun yang baru di-onboarding.

  6. Pilih Berikutnya: Pilih paket.

    Catatan

    Setiap paket memiliki persyaratan sendiri untuk izin, dan mungkin dikenakan biaya.

    Tab pilih paket adalah tempat Anda memilih kemampuan Defender untuk Cloud mana yang akan diaktifkan untuk akun AWS ini.

    Penting

    Untuk menyajikan status rekomendasi Anda saat ini, paket CSPM menanyakan API sumber daya AWS beberapa kali sehari. Panggilan API baca-saja ini tidak dikenakan biaya, tetapi mereka terdaftar di CloudTrail jika Anda telah mengaktifkan jejak untuk acara baca. Seperti yang dijelaskan dalam dokumentasi AWS,tidak ada biaya tambahan untuk menjaga satu jalur. Jika Anda mengekspor data dari AWS (misalnya, ke SIEM eksternal), peningkatan volume panggilan ini juga dapat meningkatkan biaya konsumsi. Dalam kasus seperti itu, Kami menyarankan untuk memfilter panggilan baca-saja dari pengguna Defender untuk Cloud atau ARN peran: arn:aws:iam::[accountId]:role/CspmMonitorAws (ini adalah nama peran default, konfirmasikan nama peran terkonfigurasi di akun anda).

  7. Secara default paket Server diatur ke On. Ini diperlukan untuk memperluas cakupan Defender untuk server ke AWS EC2 Anda. Pastikan Anda telah memenuhi persyaratan jaringan untuk Azure Arc.

    • (Opsional) Pilih Konfigurasikan, untuk mengedit konfigurasi sesuai kebutuhan.
  8. Secara default paket Kontainer diatur ke On. Ini diperlukan agar Microsoft Defender untuk Kontainer melindungi kluster AWS EKS Anda. Pastikan Anda telah memenuhi persyaratan jaringan untuk paket Microsoft Defender untuk Kontainer.

    Catatan

    Kubernetes yang mendukung Azure Arc, ekstensi Defender Arc, dan ekstensi Azure Policy Arc harus dipasang. Gunakan rekomendasi Defender untuk Cloud khusus untuk menyebarkan ekstensi (dan Arc, jika perlu) seperti yang dijelaskan di kluster Protect Amazon Elastic Kubernetes Service.

    • (Opsional) Pilih Konfigurasikan, untuk mengedit konfigurasi sesuai kebutuhan. Jika Anda memilih untuk menonaktifkan konfigurasi ini, fitur Threat detection (control plane) akan dinonaktifkan. Pelajari ketersediaan fitur lebih lanjut.
  9. Secara default, paket Database disetel ke Aktif. Ini diperlukan untuk memperluas cakupan Defender untuk SQL ke AWS EC2 dan RDS Custom untuk SQL Server Anda.

    • (Opsional) Pilih Konfigurasikan, untuk mengedit konfigurasi sesuai kebutuhan. Kami sarankan Anda membiarkannya diatur ke konfigurasi default.
  10. Pilih Berikutnya: Konfigurasikan akses.

  11. Unduh templat CloudFormation.

  12. Menggunakan templat CloudFormation yang diunduh, buat tumpukan di AWS seperti yang diinstruksikan di layar. Jika Anda melakukan onboarding akun manajemen, Anda harus menjalankan templat CloudFormation baik sebagai Stack maupun sebagai StackSet. Konektor akan dibuat untuk akun anggota hingga 24 jam setelah onboarding.

  13. Pilih Berikutnya: Tinjau dan buat.

  14. Pilih Buat.

Defender untuk Cloud akan segera mulai memindai sumber daya AWS Anda dan Anda akan melihat rekomendasi keamanan dalam beberapa jam. Untuk daftar referensi semua rekomendasi yang dapat disediakan Defender untuk Cloud untuk sumber daya AWS, lihat Rekomendasi keamanan untuk sumber daya AWS - panduan referensi.

Proses autentikasi AWS

Autentikasi gabungan digunakan antara Microsoft Defender untuk Cloud dan AWS. Semua sumber daya yang terkait dengan autentikasi dibuat sebagai bagian dari penyebaran templat CloudFormation, termasuk:

  • Penyedia identitas (OpenID connect)
  • Peran Manajemen Identitas dan Akses (IAM) dengan perwakilan federasi (terhubung ke penyedia identitas).

Arsitektur proses autentikasi di seluruh cloud adalah sebagai berikut:

diagram memperlihatkan arsitektur proses autentikasi di seluruh cloud.

  1. Microsoft Defender untuk layanan Cloud CSPM memperoleh token Azure AD dengan masa pakai validitas 1 jam yang ditandatangani oleh Azure AD menggunakan algoritma RS256.

  2. Token Azure AD ditukar dengan kredensial hidup singkat AWS dan layanan CPSM Defender for Cloud mengasumsikan peran IAM CSPM (diasumsikan dengan identitas web).

  3. Karena prinsip peran adalah identitas federasi sebagaimana didefinisikan dalam kebijakan hubungan kepercayaan, IdP AWS memvalidasi token Azure AD terhadap Azure AD melalui proses yang mencakup:

    • validasi audiens
    • penandatanganan token
    • thumbprint sertifikat
  4. Peran Microsoft Defender untuk Cloud CSPM diasumsikan hanya setelah kondisi validasi yang ditentukan pada hubungan kepercayaan telah terpenuhi. Kondisi yang ditentukan untuk tingkat peran digunakan untuk validasi dalam AWS dan hanya memungkinkan akses Microsoft Defender untuk aplikasi Cloud CSPM (audiens tervalidasi) ke peran tertentu (dan bukan token Microsoft lainnya).

  5. Setelah token Azure AD divalidasi oleh IdP AWS, AWS STS menukar token dengan kredensial hidup pendek AWS yang digunakan layanan CSPM untuk memindai akun AWS.

Sumber penyebaran CloudFormation

Sebagai bagian dari menghubungkan akun AWS ke Microsoft Defender for Cloud, templat CloudFormation harus disebarkan ke akun AWS. Templat CloudFormation ini membuat semua sumber daya yang diperlukan agar Microsoft Defender agar Cloud tersambung ke akun AWS.

Templat CloudFormation harus disebarkan menggunakan Stack (atau StackSet jika Anda memiliki akun manajemen).

Saat menyebarkan templat CloudFormation, wizard pembuatan Tumpukan menawarkan opsi berikut:

Cuplikan layar memperlihatkan wizard pembuatan tumpukan.

  1. URL Amazon S3 – unggah templat CloudFormation yang diunduh ke wadah S3 Anda sendiri dengan konfigurasi keamanan Anda sendiri. Masukkan URL ke wadah S3 di wizard penyebaran AWS.

  2. Unggah file templat – AWS akan secara otomatis membuat wadah S3 tempat templat CloudFormation akan disimpan. Otomatisasi untuk wadah S3 akan memiliki kesalahan konfigurasi keamanan yang akan menyebabkan S3 buckets should require requests to use Secure Socket Layer rekomendasi muncul. Anda dapat memulihkan rekomendasi ini dengan menerapkan kebijakan berikut:

    {  
      "Id": "ExamplePolicy",  
      "Version": "2012-10-17",  
      "Statement": [  
        {  
          "Sid": "AllowSSLRequestsOnly",  
          "Action": "s3:*",  
          "Effect": "Deny",  
          "Resource": [  
            "<S3_Bucket ARN>",  
            "<S3_Bucket ARN>/*"  
          ],  
          "Condition": {  
            "Bool": {  
              "aws:SecureTransport": "false"  
            }  
          },  
          "Principal": "*"  
        }  
      ]  
    }  
    

Hapus konektor 'klasik'

Jika Anda memiliki konektor yang ada yang dibuat dengan pengalaman konektor cloud klasik, lepaskan terlebih dahulu:

  1. Masuk ke portal Azure.

  2. Navigasikan ke pengaturan Microsoft Defender untuk Cloud>pengaturan Environment.

  3. Pilih opsi untuk beralih kembali ke pengalaman konektor klasik.

    Beralih kembali ke pengalaman konektor cloud klasik di Defender untuk Cloud.

  4. Untuk setiap konektor, pilih tombol tiga titik ... di akhir baris, dan pilih Hapus.

  5. Di AWS, hapus peran ARN, atau info masuk yang dibuat untuk integrasi.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Memerlukan Microsoft Defender untuk Server Paket 2
Peran dan izin akses yang diperlukan: Pemilik pada langganan Azure yang relevan
Kontributor juga dapat menyambungkan akun AWS jika pemilik memberikan detail perwakilan layanan
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok)

Sambungkan akun AWS Anda

Ikuti langkah-langkah di bawah ini untuk membuat konektor cloud AWS Anda.

Langkah 1. Menyiapkan Hub Keamanan AWS:

  1. Untuk melihat rekomendasi keamanan untuk beberapa wilayah, ulangi langkah-langkah berikut untuk setiap wilayah terkait.

    Penting

    Jika Anda menggunakan akun manajemen AWS, ulangi tiga langkah berikut untuk mengonfigurasi akun manajemen dan semua akun anggota yang tersambung di semua wilayah yang relevan

    1. Aktifkan Konfigurasi AWS.
    2. Aktifkan Hub Keamanan AWS.
    3. Verifikasi bahwa data mengalir ke Hub Keamanan. Saat Anda pertama kali mengaktifkan Hub Keamanan, kemungkinan perlu beberapa jam agar data tersedia.

Langkah 2. Menyiapkan autentikasi untuk Defender untuk Cloud di AWS

Ada dua cara dalam memungkinkan Defender untuk Cloud mengautentikasi ke AWS:

  • Membuat peran IAM untuk Defender untuk Cloud (Direkomendasikan) - Metode paling aman
  • Pengguna AWS untuk Defender untuk Cloud - Opsi yang kurang aman jika Anda tidak mengaktifkan IAM

Membuat peran IAM untuk Defender untuk Cloud

  1. Di konsol Amazon Web Services Anda, di bawah Keamanan, Identitas & Kepatuhan, pilih IAM. Layanan AWS.

  2. Pilih Peran dan Buat peran.

  3. Pilih akun AWS lain.

  4. Masukkan detail berikut:

    • ID Akun - masukkan ID Akun Microsoft (158177204117) seperti yang ditunjukkan di halaman konektor AWS di Defender untuk Cloud.
    • Perlu ID Eksternal - harus dipilih
    • ID Eksternal - masukkan ID langganan seperti yang ditunjukkan di halaman konektor AWS di Defender for Cloud.
  5. Pilih Selanjutnya.

  6. Di bagian Lampirkan kebijakan izin, pilih kebijakan yang dikelola AWS berikut ini:

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. Secara opsional tambahkan tag. Menambahkan Tag ke pengguna tidak memengaruhi koneksi.

  8. Pilih Selanjutnya.

  9. Di daftar Peran, pilih peran yang telah dibuat

  10. Simpan Nama Sumber Daya Amazon (ARN) untuk nanti.

Membuat pengguna AWS untuk Defender untuk Cloud

  1. Buka tab Pengguna dan pilih Tambahkan pengguna.

  2. Dalam langkah Detail, masukkan nama pengguna untuk Defender untuk Cloud dan pastikan Anda memilih Akses terprogram untuk Jenis Akses AWS.

  3. Pilih Izin Berikutnya.

  4. Pilih Lampirkan kebijakan yang sudah ada secara langsung dan terapkan kebijakan berikut:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. Pilih Berikutnya: Tag. Secara opsional menambahkan tag. Menambahkan Tag ke pengguna tidak memengaruhi koneksi.

  6. Pilih Tinjau.

  7. Simpan ID kunci akses yang dibuat secara otomatis dan file CSV Kunci akses rahasia untuk nanti.

  8. Tinjau ringkasan dan pilih Buat pengguna.

Langkah 3. Mengonfigurasi Agen SSM

AWS Systems Manager diperlukan untuk mengotomatiskan tugas di seluruh sumber daya AWS Anda. Jika instans EC2 Anda tidak memiliki Agen SSM, ikuti instruksi yang relevan dari Amazon:

Langkah 4. Lengkapi prasyarat Azure Arc

  1. Pastikan penyedia sumber daya Azure yang sesuai terdaftar:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Buat Perwakilan Layanan untuk onboarding dalam skala. Sebagai Pemilik pada langganan yang ingin Anda gunakan untuk onboarding, buat perwakilan layanan untuk onboarding Azure Arc seperti yang dijelaskan dalam Membuat Perwakilan layanan untuk onboarding dalam skala.

Langkah 5. Menghubungkan AWS ke Defender untuk Cloud

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan dan pilih opsi untuk beralih kembali ke pengalaman konektor klasik.

    Beralih kembali ke pengalaman konektor cloud klasik di Defender untuk Cloud.

  2. Pilih Tambahkan akun AWS. Tambahkan tombol akun AWS di halaman konektor multicloud Defender untuk Cloud

  3. Konfigurasi opsi di tab autentikasi AWS:

    1. Masukkan nama Tampilan untuk konektor.
    2. Konfirmasikan bahwa langganan sudah benar. Ini adalah langganan yang akan menyertakan konektor dan rekomendasi Hub Keamanan AWS.
    3. Bergantung pada opsi autentikasi, Anda memilih langkah 2. Menyiapkan autentikasi untuk Defender untuk Cloud di AWS:
  4. Pilih Selanjutnya.

  5. Mengonfigurasi opsi di tab Konfigurasi Azure Arc:

    Defender untuk Cloud menemukan instans EC2 di akun AWS yang terhubung dan menggunakan SSM untuk melakukan onboarding instans ke Azure Arc.

    Tip

    Untuk daftar sistem operasi yang didukung, lihat Sistem operasi apa untuk instans EC2 saya yang didukung? di FAQ.

    1. Pilih Grup Sumber Daya dan Wilayah Azure tempat AWS EC2 yang ditemukan akan berada di dalam langganan yang dipilih.

    2. Masukkan ID Perwakilan Layanan dan Rahasia Klien Perwakilan Layanan untuk Azure Arc seperti yang dijelaskan di sini Membuat Perwakilan Layanan untuk onboarding dalam skala

    3. Jika komputer terhubung ke internet melalui server proksi, tentukan alamat IP server proksi, atau nama dan nomor port yang digunakan komputer untuk berkomunikasi dengan server proksi. Masukkan nilai dalam format http://<proxyURL>:<proxyport>

    4. Pilih Tinjau + buat.

      Tinjau informasi ringkasan

      Bagian Tag akan mencantumkan semua Tag Azure yang akan dibuat secara otomatis untuk setiap EC2 yang di-onboarding dengan detail yang relevan untuk mengenalinya dengan mudah di Azure.

      Pelajari selengkapnya tentang Tag Azure di Gunakan tag untuk mengatur sumber daya Azure dan hierarki manajemen Anda.

Langkah 6. Konfirmasi

Ketika konektor telah berhasil dibuat dan Hub Keamanan AWS telah dikonfigurasi dengan benar:

  • Defender untuk Cloud memindai lingkungan untuk instans AWS EC2, melakukan onboarding instans ke Azure Arc, memungkinkan untuk menginstal agen Log Analytics dan memberikan perlindungan ancaman serta rekomendasi keamanan.
  • Layanan Defender untuk Cloud memindai instans AWS EC2 baru setiap 6 jam dan melakukan onboarding instans sesuai dengan konfigurasi.
  • Standar AWS CIS akan ditampilkan di dasbor kepatuhan peraturan Defender untuk Cloud.
  • Jika kebijakan Hub Keamanan diaktifkan, rekomendasi akan muncul di portal Defender untuk Cloud dan dasbor kepatuhan peraturan 5-10 menit setelah penyetoran selesai.

Sumber daya dan rekomendasi AWS di halaman rekomendasi Defender untuk Cloud

Memantau sumber daya AWS Anda

Seperti yang Anda lihat di cuplikan layar sebelumnya, halaman rekomendasi keamanan Defender untuk Cloud menampilkan sumber daya AWS Anda. Anda dapat menggunakan filter lingkungan untuk menikmati kemampuan multi-cloud Defender untuk Cloud: tampilkan rekomendasi untuk sumber daya Azure, AWS, dan GCP secara bersamaan.

Untuk melihat semua rekomendasi aktif bagi sumber daya Anda menurut jenisnya, gunakan halaman inventaris aset Defender untuk Cloud dan filter ke jenis sumber daya AWS yang Anda minati:

cuplikan layar filter jenis sumber daya halaman inventori aset yang memperlihatkan opsi AWS.

FAQ - AWS di Defender untuk Cloud

Sistem operasi apa untuk instans EC2 saya yang didukung?

Untuk daftar AMI dengan Agen SSM yang sudah dipasang sebelumnya lihat halaman ini di dokumen AWS.

Untuk sistem operasi lainnya, Agen SSM harus dipasang secara manual menggunakan instruksi berikut:

Untuk paket CSPM, izin IAM apa yang diperlukan untuk menemukan sumber daya AWS?

Izin IAM berikut diperlukan untuk menemukan sumber daya AWS:

DataCollector Izin AWS
Gateway API apigateway:GET
Penskalakan Otomatis Aplikasi application-autoscaling:Describe*
Penskalaan otomatis autoscaling-plans:Describe*
autoscaling:Describe*
Manajer sertifikat acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
Log CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Layanan Konfigurasi config:Describe*
config:List*
DMS – Database Migration Service dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – keseimbangan muatan elastis (v1/2) elasticloadbalancing:Describe*
Pencarian elastis es:Describe*
es:List*
EMR – pengurangan peta elastis elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Firewall jaringan network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 dan S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Manajer rahasia secretsmanager:Describe*
secretsmanager:List*
Layanan pemberitahuan sederhana – SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Pelajari lebih lanjut

Anda juga dapat melihat blog berikut:

Langkah berikutnya

Menghubungkan akun AWS Anda adalah bagian dari pengalaman multi-cloud yang tersedia di Microsoft Defender untuk Cloud. Untuk informasi terkait, lihat halaman berikut ini: