Edit

Bagikan melalui

Solusi keamanan Azure untuk AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Panduan ini menunjukkan bagaimana Microsoft Defender untuk Cloud Apps dan Microsoft Sentinel dapat membantu mengamankan dan melindungi akses dan lingkungan akun Amazon Web Services (AWS).

Organisasi AWS yang menggunakan ID Microsoft Entra untuk Microsoft 365 atau identitas cloud hibrid dan perlindungan akses dapat dengan cepat dan mudah menyebarkan ID Microsoft Entra untuk akun AWS, sering kali tanpa biaya tambahan.

Arsitektur

Diagram ini merangkum bagaimana penginstalan AWS dapat memperoleh manfaat dari komponen keamanan microsoft utama:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Unduh file PowerPoint arsitektur ini.

Alur kerja

  • MICROSOFT Entra ID menyediakan akses menyeluruh (SSO) terpusat dan autentikasi yang kuat melalui autentikasi multifaktor dan fitur akses bersyarat. MICROSOFT Entra ID mendukung identitas dan otorisasi berbasis peran AWS untuk akses ke sumber daya AWS. Untuk informasi selengkapnya dan instruksi terperinci, lihat Manajemen identitas dan akses Microsoft Entra untuk AWS. Manajemen Izin Microsoft Entra adalah produk pengelolaan pemberian hak infrastruktur cloud (CIEM) yang memberikan visibilitas dan kontrol komprehensif atas izin untuk identitas atau sumber daya AWS apa pun. Anda dapat menggunakan Manajemen Izin Microsoft Entra untuk:

    • Dapatkan tampilan multidimensi risiko Anda dengan menilai identitas, izin, dan sumber daya.
    • Mengotomatiskan penegakan kebijakan hak istimewa paling sedikit di seluruh infrastruktur multicloud Anda.
    • Gunakan deteksi anomali dan outlier untuk mencegah pelanggaran data yang disebabkan oleh penyalahgunaan dan eksploitasi izin yang berbahaya.

    Untuk informasi selengkapnya dan instruksi onboarding terperinci, lihat Onboard akun Amazon Web Services (AWS).

  • Aplikasi Defender untuk Cloud:

    • Terintegrasi dengan fitur Microsoft Entra Conditional Access untuk memberlakukan pembatasan tambahan.
    • Membantu memantau dan melindungi sesi setelah masuk.
    • Menggunakan analitik perilaku pengguna (UBA) dan API AWS lainnya untuk memantau sesi dan pengguna serta untuk mendukung perlindungan informasi.

  • Microsoft Defender untuk Cloud menampilkan rekomendasi keamanan AWS di portal Defender untuk Cloud bersama dengan rekomendasi Azure. Defender untuk Cloud menawarkan lebih dari 160 rekomendasi siap pakai untuk layanan infrastruktur sebagai layanan (IaaS) dan platform as a service (PaaS). Ini juga memberikan dukungan untuk standar peraturan, termasuk standar Center for Internet Security (CIS) dan industri kartu pembayaran (PCI), dan untuk standar Praktik Terbaik Keamanan Dasar AWS. Defender untuk Cloud juga menyediakan perlindungan beban kerja cloud (CWP) untuk Kluster Amazon EKS, instans AWS EC2, dan server SQL yang berjalan di AWS EC2.

  • Microsoft Sentinel terintegrasi dengan Defender for Cloud Apps dan AWS untuk mendeteksi dan merespons ancaman secara otomatis. Microsoft Sentinel memantau lingkungan AWS untuk kesalahan konfigurasi, potensi malware, dan ancaman lanjutan terhadap identitas, perangkat, aplikasi, dan data AWS.

Komponen

Defender for Cloud Apps untuk visibilitas dan kontrol

Ketika beberapa pengguna atau peran membuat perubahan administratif, konsekuensinya dapat menjadi konfigurasi yang menjauh dari arsitektur dan standar keamanan yang dimaksudkan. Standar keamanan juga dapat berubah dari waktu ke waktu. Personel keamanan harus terus-menerus dan konsisten mendeteksi risiko baru, mengevaluasi opsi mitigasi, dan memperbarui arsitektur keamanan untuk mencegah potensi pelanggaran. Manajemen keamanan di berbagai lingkungan cloud publik dan infrastruktur privat dapat menjadi berat.

Defender untuk Cloud Apps adalah platform broker keamanan akses cloud (CASB) dengan kemampuan manajemen postur keamanan cloud (CSPM). Defender untuk Cloud Apps dapat terhubung ke beberapa layanan dan aplikasi cloud untuk mengumpulkan log keamanan, memantau perilaku pengguna, dan memberlakukan pembatasan yang mungkin tidak ditawarkan platform itu sendiri.

Defender for Cloud Apps memberikan beberapa kemampuan yang dapat terintegrasi dengan AWS untuk manfaat langsung:

  • Konektor aplikasi Defender for Cloud Apps menggunakan beberapa API AWS, termasuk UBA, untuk mencari masalah konfigurasi dan ancaman pada platform AWS.
  • AWS Access Controls dapat memberlakukan pembatasan masuk yang didasarkan pada aplikasi, perangkat, alamat IP, lokasi, ISP terdaftar, dan atribut pengguna tertentu.
  • Kontrol Sesi untuk AWS memblokir potensi unggahan atau unduhan malware berdasarkan inspeksi konten Inteligensi Ancaman Microsoft Defender atau real time.
  • Kontrol sesi juga dapat menggunakan inspeksi konten real-time dan deteksi data sensitif untuk memberlakukan aturan pencegahan kehilangan data (DLP) yang mencegah operasi potong, salin, tempel, atau cetak.

Defender untuk Cloud Apps tersedia mandiri, atau sebagai bagian dari Microsoft Enterprise Mobility + Security E5, yang mencakup Microsoft Entra ID P2. Untuk informasi harga dan lisensi, lihat Opsi harga Mobilitas + Keamanan Perusahaan.

Defender untuk Cloud untuk platform CSPM dan CWP (CWPP)

Dengan beban kerja cloud yang umumnya mencakup beberapa platform cloud, layanan keamanan cloud harus melakukan hal yang sama. Defender untuk Cloud membantu melindungi beban kerja di Azure, AWS, dan Google Cloud Platform (GCP).

Defender untuk Cloud menyediakan koneksi tanpa agen ke akun AWS Anda. Defender untuk Cloud juga menawarkan rencana untuk mengamankan sumber daya AWS Anda:

  • Halaman ringkasan Defender untuk Cloud menampilkan metrik, pemberitahuan, dan wawasan CSPM. Defender untuk Cloud menilai sumber daya AWS Anda sesuai dengan Rekomendasi keamanan khusus AWS dan menggabungkan postur keamanan Anda ke dalam skor aman Anda. Inventori aset menyediakan satu tempat untuk melihat semua sumber daya AWS anda yang dilindungi. Dasbor kepatuhan peraturan mencerminkan status kepatuhan Anda dengan standar bawaan yang khusus untuk AWS. Contohnya termasuk standar AWS CIS, standar keamanan data PCI (PCI-DSS), dan standar Praktik Terbaik Keamanan Dasar AWS.
  • Microsoft Defender untuk Server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut ke instans Windows dan Linux EC2 yang didukung.
  • Microsoft Defender untuk Kontainer menghadirkan deteksi ancaman dan pertahanan tingkat lanjut ke kluster Amazon EKS yang didukung.
  • Microsoft Defender untuk SQL menghadirkan deteksi ancaman dan pertahanan tingkat lanjut ke server SQL Anda yang berjalan di AWS EC2 dan AWS RDS Custom untuk SQL Server.

Microsoft Sentinel untuk deteksi ancaman tingkat lanjut

Ancaman dapat berasal dari berbagai perangkat, aplikasi, lokasi, dan jenis pengguna. DLP memerlukan pemeriksaan konten selama pengunggahan atau pengunduhan, karena ulasan pasca-mortem mungkin terlambat. AWS tidak memiliki kemampuan asli untuk manajemen perangkat dan aplikasi, akses bersyarat berbasis risiko, kontrol berbasis sesi, atau UBA sebaris.

Sangat penting bahwa solusi keamanan mengurangi kompleksitas dan memberikan perlindungan komprehensif terlepas dari apakah sumber daya berada di lingkungan multicloud, lokal, atau hibrid. Defender untuk Cloud menyediakan CSPM dan CWP. Defender untuk Cloud mengidentifikasi titik lemah konfigurasi di seluruh AWS untuk membantu memperkuat postur keamanan Anda secara keseluruhan. Ini juga membantu memberikan perlindungan ancaman untuk kluster Amazon EKS Linux, instans AWS EC2, dan server SQL di AWS EC2.

Microsoft Sentinel adalah solusi manajemen informasi dan peristiwa keamanan (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR) yang memusatkan dan mengoordinasikan deteksi ancaman dan otomatisasi respons untuk operasi keamanan modern. Microsoft Sentinel dapat memantau akun AWS untuk membandingkan peristiwa di beberapa firewall, perangkat jaringan, dan server. Microsoft Sentinel menggabungkan data pemantauan dengan intelijen ancaman, aturan analitik, dan pembelajaran mesin untuk menemukan dan menanggapi teknik serangan canggih.

Anda dapat menghubungkan AWS dan aplikasi Defender untuk Cloud dengan Microsoft Azure Sentinel. Kemudian Anda dapat melihat pemberitahuan Defender untuk Cloud Apps dan menjalankan pemeriksaan ancaman tambahan yang menggunakan beberapa umpan Inteligensi Ancaman Defender. Microsoft Azure Sentinel dapat memulai respons terkoordinasi yang berada di luar Defender untuk Cloud Apps. Microsoft Sentinel juga dapat berintegrasi dengan solusi manajemen layanan TI (ITSM) dan menyimpan data secara jangka panjang untuk tujuan kepatuhan.

Detail skenario

Microsoft menawarkan beberapa solusi keamanan yang dapat membantu mengamankan dan melindungi akun dan lingkungan AWS.

Komponen keamanan Microsoft lainnya dapat diintegrasikan dengan MICROSOFT Entra ID untuk memberikan keamanan tambahan untuk akun AWS:

  • Defender untuk Cloud Apps mencadangkan ID Microsoft Entra dengan perlindungan sesi dan pemantauan perilaku pengguna.
  • Defender untuk Cloud memberikan perlindungan ancaman terhadap beban kerja AWS. Ini juga membantu secara proaktif memperkuat keamanan untuk lingkungan AWS dan menggunakan pendekatan tanpa agen untuk terhubung ke lingkungan tersebut.
  • Microsoft Sentinel terintegrasi dengan MICROSOFT Entra ID dan Defender untuk Cloud Apps untuk mendeteksi dan merespons ancaman terhadap lingkungan AWS secara otomatis.

Solusi keamanan Microsoft ini dapat diperluas dan menawarkan beberapa tingkat perlindungan. Anda dapat menerapkan satu atau beberapa solusi ini bersama dengan jenis perlindungan lain untuk arsitektur keamanan penuh yang membantu melindungi penyebaran AWS saat ini dan di masa mendatang.

Kemungkinan kasus penggunaan

Artikel ini memberi arsitek identitas AWS, administrator, dan analis keamanan wawasan langsung dan panduan terperinci untuk menerapkan beberapa solusi keamanan Microsoft.

Rekomendasi

Ingatlah poin-poin berikut saat Anda mengembangkan solusi keamanan.

Rekomendasi keamanan

Prinsip dan panduan berikut penting untuk solusi keamanan cloud apa pun:

  • Pastikan bahwa organisasi dapat memantau, mendeteksi, dan secara otomatis melindungi akses terprogram dan pengguna ke lingkungan cloud.
  • Terus meninjau akun saat ini untuk memastikan tata kelola dan kontrol izin dan identitas.
  • Ikuti hak istimewa terkecil dan prinsip nol kepercayaan . Pastikan bahwa pengguna hanya dapat mengakses sumber daya tertentu yang mereka butuhkan, dari perangkat tepercaya dan lokasi yang diketahui. Kurangi izin setiap administrator dan pengembang untuk hanya memberikan hak yang mereka butuhkan untuk peran yang mereka lakukan. Tinjau secara berkala.
  • Terus pantau perubahan konfigurasi platform, terutama jika mereka memberikan peluang untuk eskalasi hak istimewa atau persistensi serangan.
  • Cegah penyaringan data dengan aktif memeriksa dan mengontrol konten.
  • Manfaatkan solusi yang mungkin sudah Anda miliki, seperti Microsoft Entra ID P2, yang dapat meningkatkan keamanan tanpa biaya tambahan.

Keamanan akun AWS dasar

Untuk memastikan kebersihan keamanan dasar untuk akun dan sumber daya AWS:

  • Tinjau panduan keamanan AWS di Praktik terbaik untuk mengamankan akun dan sumber daya AWS.
  • Kurangi risiko mengunggah dan mengunduh malware dan konten berbahaya lainnya dengan secara aktif memeriksa semua transfer data melalui AWS Management Console. Konten yang Anda unggah atau unduh langsung ke sumber daya dalam platform AWS, seperti server web atau database, mungkin memerlukan perlindungan tambahan.
  • Pertimbangkan untuk melindungi akses ke sumber daya lain, termasuk:
    • Sumber daya yang dibuat dalam akun AWS.
    • Platform beban kerja tertentu, seperti Windows Server, Linux Server, atau kontainer.
    • Perangkat yang digunakan administrator dan pengembang untuk mengakses AWS Management Console.

Menyebarkan skenario ini

Lakukan langkah-langkah di bagian berikut untuk menerapkan solusi keamanan.

Merencanakan dan menyiapkan

Untuk mempersiapkan penyebaran solusi keamanan Azure, tinjau dan rekam informasi akun AWS dan Microsoft Entra saat ini. Jika Anda telah menyebarkan lebih dari satu akun AWS, ulangi langkah-langkah ini untuk setiap akun.

  1. Di AWS Billing Management Console, catat informasi akun AWS saat ini berikut ini:

    • ID Akun AWS, pengidentifikasi unik
    • Nama akun, atau pengguna root
    • Metode pembayaran, baik yang ditetapkan ke kartu kredit atau perjanjian penagihan perusahaan
    • Kontak alternatif yang memiliki akses ke informasi akun AWS
    • Pertanyaan keamanan, diperbarui dengan aman dan direkam untuk akses darurat
    • Wilayah AWS yang diaktifkan atau dinonaktifkan untuk mematuhi kebijakan keamanan data

  2. Di portal Azure, tinjau penyewa Microsoft Entra:

    • Menilai informasi Penyewa untuk melihat apakah penyewa memiliki lisensi Microsoft Entra ID P1 atau P2. Lisensi P2 menyediakan fitur manajemen identitas Microsoft Entra tingkat lanjut.
    • Periksa aplikasi Enterprise untuk melihat apakah ada aplikasi yang ada menggunakan jenis aplikasi AWS, seperti yang ditunjukkan oleh http://aws.amazon.com/ di kolom URL Beranda.

Menggunakan Defender for Cloud Apps

Setelah Anda menyebarkan manajemen pusat dan autentikasi kuat yang diperlukan identitas modern dan manajemen akses, Anda dapat menerapkan aplikasi Defender untuk Cloud untuk:

  • Mengumpulkan data keamanan dan melakukan deteksi ancaman untuk akun AWS.
  • Menerapkan kontrol lanjutan untuk mengurangi risiko dan mencegah kehilangan data.

Untuk menyebarkan Aplikasi Defender untuk Cloud:

  1. Menambahkan konektor aplikasi Defender for Cloud Apps untuk AWS.
  2. Mengonfigurasi kebijakan pemantauan Defender for Cloud Apps untuk aktivitas AWS.
  3. Buat aplikasi perusahaan untuk SSO ke AWS.
  4. Buat aplikasi kontrol aplikasi akses bersyar di aplikasi Defender untuk Cloud.
  5. Mengonfigurasi kebijakan sesi Microsoft Entra untuk aktivitas AWS.
  6. Menguji kebijakan Defender for Cloud Apps untuk AWS.

Menambahkan konektor aplikasi AWS

  1. Di portal Defender for Cloud Apps, perluas Investigasi lalu pilih Aplikasi yang terhubung.

  2. Pada halaman Konektor aplikasi, pilih Tanda Plus (+) lalu pilih Amazon Web Services dari daftar.

  3. Gunakan nama unik untuk konektor. Dalam namanya, sertakan pengidentifikasi untuk perusahaan dan akun AWS tertentu, misalnya Contoso-AWS-Account1.

  4. Ikuti instruksi di Koneksi AWS untuk Microsoft Defender untuk Cloud Apps guna membuat pengguna identitas dan manajemen akses (IAM) AWS yang sesuai.

    1. Tentukan kebijakan untuk izin terbatas.
    2. Buat akun layanan untuk menggunakan izin tersebut atas nama layanan Defender for Cloud Apps.
    3. Berikan kredensial ke konektor aplikasi.

Waktu yang diperlukan untuk membuat koneksi awal tergantung pada ukuran log akun AWS. Setelah koneksi selesai, Anda akan melihat konfirmasi koneksi:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Mengonfigurasi kebijakan pemantauan Defender for Cloud Apps untuk aktivitas AWS

Setelah Anda mengaktifkan konektor aplikasi, Defender untuk Cloud Apps menampilkan templat dan opsi baru di penyusun konfigurasi kebijakan. Anda dapat membuat kebijakan langsung dari templat dan memodifikasinya untuk kebutuhan Anda. Anda juga dapat mengembangkan kebijakan tanpa menggunakan templat.

Untuk menerapkan kebijakan dengan menggunakan templat:

  1. Di jendela navigasi kiri aplikasi Defender untuk Cloud, perluas Kontrol lalu pilih Templat.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Cari aws dan tinjau template kebijakan yang tersedia untuk AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Untuk menggunakan templat, pilih Tanda Plus (+) di sebelah kanan item templat.

  4. Setiap jenis kebijakan memiliki pilihan yang berbeda. Tinjau pengaturan konfigurasi dan simpan kebijakan. Ulangi langkah ini untuk setiap templat.

    Screenshot of the Create file policy page, with various options visible.

    Untuk menggunakan kebijakan file, pastikan pengaturan pemantauan file diaktifkan di pengaturan aplikasi Defender untuk Cloud:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Karena Defender for Cloud Apps mendeteksi peringatan, defender menampilkannya di halaman Peringatan di portal Defender for Cloud Apps:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Membuat aplikasi perusahaan untuk SSO ke AWS

Ikuti instruksi di Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan akses menyeluruh AWS untuk membuat aplikasi perusahaan untuk SSO ke AWS. Berikut adalah ringkasan prosedur:

  1. Tambahkan AWS SSO dari galeri.
  2. Konfigurasikan dan uji SSO Microsoft Entra untuk AWS SSO:
    1. Mengonfigurasi SSO Microsoft Entra.
    2. Mengonfigurasi AWS SSO.
    3. Buat pengguna uji AWS SSO.
    4. Uji SSO.

Membuat aplikasi kontrol aplikasi akses bersyar di aplikasi Defender untuk Cloud

  1. Buka portal aplikasi Defender untuk Cloud, pilih Selidiki, lalu pilih aplikasi yang Koneksi.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Pilih Aplikasi Kontrol Aplikasi Akses Bersyar, lalu pilih Tambahkan.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. Dalam kotak Cari aplikasi , masukkan Amazon Web Services, lalu pilih aplikasi. Pilih Mulai wizard.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Pilih Isi data secara manual. Masukkan nilai URL layanan konsumen Pernyataan yang ditampilkan dalam cuplikan layar berikut, lalu pilih Berikutnya.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Pada halaman berikutnya, abaikan langkah-langkah Konfigurasi eksternal. Pilih Selanjutnya.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Pilih Isi data secara manual, lalu lakukan langkah-langkah berikut untuk memasukkan data:

    1. Di bawah URL layanan akses menyeluruh, masukkan nilai URL Masuk untuk aplikasi perusahaan yang Anda buat untuk AWS.
    2. Di bawah Unggah sertifikat SAML penyedia identitas, pilih Telusuri.
    3. Temukan sertifikat untuk aplikasi perusahaan yang Anda buat.
    4. Unduh sertifikat ke perangkat lokal Anda, lalu unggah ke wizard.
    5. Pilih Selanjutnya.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Pada halaman berikutnya, abaikan langkah-langkah Konfigurasi eksternal. Pilih Selanjutnya.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Pada halaman berikutnya, abaikan langkah-langkah Konfigurasi eksternal. Pilih Selesai.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. Pada halaman berikutnya, abaikan langkah-langkah Verifikasi pengaturan Anda. Pilih Tutup.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Mengonfigurasi kebijakan sesi Microsoft Entra untuk aktivitas AWS

Kebijakan sesi adalah kombinasi yang kuat dari kebijakan Akses Bersyarat Microsoft Entra dan kemampuan proksi terbalik Defender untuk Cloud Apps. Kebijakan ini memberikan pemantauan dan kontrol perilaku mencurigakan secara real time.

  1. Di ID Microsoft Entra, buat kebijakan akses bersyarah baru dengan pengaturan berikut:

    • Di bawah Nama, masukkan Konsol AWS – Kontrol Sesi.
    • Di bawah Pengguna dan Grup, pilih dua grup peran yang Anda buat sebelumnya:
      • AWS-Akun1-Administrator
      • AWS-Account1-Developers
    • Di bawah Aplikasi atau tindakan cloud, pilih aplikasi perusahaan yang Anda buat sebelumnya, seperti Contoso-AWS-Account 1.
    • Di bawah Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyar.

  2. Di bawah Aktifkan kebijakan, pilih Aktif.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Pilih Buat.

Setelah Anda membuat kebijakan Microsoft Entra Conditional Access, siapkan kebijakan sesi Defender untuk Cloud Apps untuk mengontrol perilaku pengguna selama sesi AWS.

  1. Di portal Defender for Cloud Apps, perluas Kontrol lalu pilih Kebijakan.

  2. Pada halaman Kebijakan, pilih Buat kebijakan lalu pilih Kebijakan sesi dari daftar.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. Pada halaman Buat kebijakan sesi, di bagian Template kebijakan, pilih Blokir pengunggahan potensi malware (berdasarkan Microsoft Threat Intelligence).

  4. Di bawah Aktivitas yang cocok dengan semua hal berikut, ubah filter aktivitas untuk menyertakan Aplikasi, sama dengan, dan Amazon Web Services. Hapus pilihan perangkat default.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Tinjau pengaturan lain, lalu pilih Buat.

Menguji kebijakan Defender for Cloud Apps untuk AWS

Uji semua kebijakan secara teratur untuk memastikan bahwa kebijakan tersebut masih efektif dan relevan. Berikut adalah beberapa pengujian yang direkomendasikan:

  • Perubahan kebijakan IAM: Kebijakan ini dipicu setiap kali Anda mencoba mengubah pengaturan dalam AWS IAM. Misalnya, ketika Anda mengikuti prosedur nanti di bagian penyebaran ini untuk membuat kebijakan dan akun IAM baru, Anda akan melihat pemberitahuan.

  • Kegagalan login konsol: Setiap upaya yang gagal untuk masuk ke salah satu akun pengujian memicu kebijakan ini. Detail peringatan menunjukkan bahwa upaya tersebut berasal dari salah satu pusat data regional Azure.

  • Kebijakan aktivitas wadah S3: Saat Anda mencoba membuat akun penyimpanan AWS S3 baru dan mengaturnya agar tersedia untuk umum, Anda memicu kebijakan ini.

  • Kebijakan deteksi malware: Jika Mengonfigurasi deteksi malware sebagai kebijakan sesi, Anda dapat mengujinya dengan mengikuti langkah-langkah berikut:

    1. Unduh file pengujian yang aman dari European Institute for Computer Anti-Virus Research (EICAR).
    2. Coba unggah file tersebut ke akun penyimpanan AWS S3.

    Kebijakan segera memblokir upaya unggahan, dan pemberitahuan muncul di portal aplikasi Defender untuk Cloud.

Menyebarkan Defender untuk Cloud

Anda dapat menggunakan konektor cloud asli untuk menyambungkan akun AWS ke Defender untuk Cloud. Konektor menyediakan koneksi tanpa agen ke akun AWS Anda. Anda dapat menggunakan koneksi ini untuk mengumpulkan rekomendasi CSPM. Dengan menggunakan paket Defender untuk Cloud, Anda dapat mengamankan sumber daya AWS anda dengan CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Untuk melindungi sumber daya berbasis AWS Anda, lakukan langkah-langkah berikut, yang dijelaskan bagian berikut secara rinci:

  1. Koneksi akun AWS.
  2. Pantau AWS.

Sambungkan akun AWS Anda

Untuk menyambungkan akun AWS Anda ke Defender untuk Cloud dengan menggunakan konektor asli, ikuti langkah-langkah berikut:

  1. Tinjau prasyarat untuk menyambungkan akun AWS. Pastikan Anda menyelesaikannya sebelum melanjutkan.

  2. Jika Anda memiliki konektor klasik, hapus dengan mengikuti langkah-langkah di Menghapus konektor klasik. Penggunaan konektor klasik dan native dapat menghasilkan rekomendasi duplikat.

  3. Masuk ke portal Azure.

  4. Pilih Microsoft Defender untuk Cloud, lalu pilih Pengaturan lingkungan.

  5. Pilih Tambahkan lingkungan>AWS.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Masukkan detail akun AWS, termasuk lokasi penyimpanan sumber daya konektor. Secara opsional, pilih Akun manajemen untuk membuat konektor ke akun manajemen. Koneksi or dibuat untuk setiap akun anggota yang ditemukan di bawah akun manajemen yang disediakan. Provisi otomatis diaktifkan untuk semua akun yang baru di-onboarding.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Pilih Berikutnya: Pilih paket.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Secara default, paket server diaktifkan. Pengaturan ini diperlukan untuk memperluas cakupan Defender for Server ke AWS EC2 Anda. Pastikan Anda telah memenuhi persyaratan jaringan untuk Azure Arc. Secara opsional, untuk mengedit konfigurasi, pilih Konfigurasikan.

  9. Secara default, paket kontainer diaktifkan. Pengaturan ini diperlukan untuk memiliki perlindungan Defender for Containers untuk kluster AWS EKS Anda. Pastikan Anda telah memenuhi persyaratan jaringan untuk paket Microsoft Defender untuk Kontainer. Secara opsional, untuk mengedit konfigurasi, pilih Konfigurasikan. Jika Anda menonaktifkan konfigurasi ini, fitur deteksi ancaman untuk sarana kontrol dinonaktifkan. Untuk melihat daftar fitur, lihat Ketersediaan fitur Defender for Containers.

  10. Secara default, paket database diaktifkan. Pengaturan ini diperlukan untuk memperluas cakupan Defender untuk SQL ke AWS EC2 dan RDS Custom untuk SQL Server Anda. Secara opsional, untuk mengedit konfigurasi, pilih Konfigurasikan. Kami menyarankan agar Anda menggunakan konfigurasi default.

  11. Pilih Berikutnya: Konfigurasikan akses.

  12. Unduh templat CloudFormation.

  13. Ikuti petunjuk di layar untuk menggunakan templat CloudFormation yang diunduh untuk membuat tumpukan di AWS. Jika Anda melakukan onboarding akun manajemen, Anda perlu menjalankan templat CloudFormation sebagai Stack dan sebagai StackSet. Koneksi or dibuat untuk akun anggota dalam waktu 24 jam setelah onboarding.

  14. Pilih Berikutnya: Tinjau dan buat.

  15. Pilih Buat.

Defender untuk Cloud segera mulai memindai sumber daya AWS Anda. Dalam beberapa jam, Anda akan melihat rekomendasi keamanan. Untuk daftar semua rekomendasi yang dapat Defender untuk Cloud berikan untuk sumber daya AWS, lihat Rekomendasi keamanan untuk sumber daya AWS - panduan referensi.

Memantau sumber daya AWS Anda

Halaman rekomendasi keamanan Defender untuk Cloud menampilkan sumber daya AWS Anda. Anda dapat menggunakan filter lingkungan untuk memanfaatkan kemampuan multicloud Defender untuk Cloud, seperti melihat rekomendasi untuk sumber daya Azure, AWS, dan GCP bersama-sama.

Untuk melihat semua rekomendasi aktif untuk sumber daya Anda berdasarkan jenis sumber daya, gunakan halaman inventaris aset Defender untuk Cloud. Atur filter untuk menampilkan jenis sumber daya AWS yang Anda minati.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Menyebarkan Microsoft Azure Sentinel

Jika Anda menyambungkan akun AWS dan aplikasi Defender untuk Cloud ke Microsoft Azure Sentinel, Anda dapat menggunakan kemampuan pemantauan yang membandingkan peristiwa di beberapa firewall, perangkat jaringan, dan server.

Aktifkan konektor AWS Microsoft Sentinel

Setelah mengaktifkan konektor Microsoft Sentinel untuk AWS, Anda dapat memantau insiden AWS dan penyerapan data.

Seperti konfigurasi Defender for Cloud Apps, koneksi ini memerlukan konfigurasi AWS IAM untuk memberikan kredensial dan izin.

  1. Di AWS IAM, ikuti langkah-langkah di Menghubungkan Microsoft Sentinel ke AWS CloudTrail.

  2. Untuk menyelesaikan konfigurasi di portal Microsoft Azure, di bagian Microsoft Sentinel>Konektor data, pilih konektor Amazon Web Services.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Pilih Buka halaman konektor.

  4. Di bawah Konfigurasi, masukkan nilai ARN Peran dari konfigurasi AWS IAM di bidang Peran untuk ditambahkan, dan pilih Tambahkan.

  5. Pilih Langkah berikutnya, lalu pilih Aktivitas Aws Network dan aktivitas Aktivitas Pengguna AWS untuk dipantau.

  6. Di bawah Templat analitik yang relevan, pilih Buat aturan di samping templat analitik AWS yang ingin Anda aktifkan.

  7. Siapkan setiap aturan, dan pilih Buat.

Tabel berikut ini memperlihatkan templat aturan yang tersedia untuk memeriksa perilaku entitas AWS dan indikator ancaman. Nama aturan menjelaskan tujuannya, dan sumber data potensial mencantumkan sumber data yang dapat digunakan setiap aturan.

Nama template analitik Sumber data
IP IRIDIUM yang diketahui DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
Kebijakan Admin lengkap dibuat lalu dilampirkan ke Peran, Pengguna, atau Grup AWS
Masuk AzureAD gagal tetapi berhasil masuk ke AWS Console ID Microsoft Entra, AWS
Masuk AWS Console gagal tetapi berhasil masuk ke AzureAD ID Microsoft Entra, AWS
Autentikasi multifaktor dinonaktifkan untuk pengguna ID Microsoft Entra, AWS
Perubahan pada pengaturan ingress dan egress AWS Security Group AWS
Memantau penyalahgunaan atau pembajakan Kredensial AWS AWS
Perubahan pada grup keamanan AWS Elastic Load Balancer AWS
Perubahan pada pengaturan Amazon VPC AWS
UserAgent Baru diamati dalam 24 jam terakhir Microsoft 365, Azure Monitor, AWS
Masuk ke AWS Management Console tanpa autentikasi multifaktor AWS
Perubahan pada internet yang menghadap instans Database AWS RDS AWS
Perubahan yang dibuat pada log AWS CloudTrail AWS
Entitas IP peta Inteligensi Ancaman Defender ke AWS CloudTrail Platform Inteligensi Ancaman Defender, AWS

Templat yang diaktifkan memiliki indikator IN USE pada halaman detail konektor.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Memantau insiden AWS

Microsoft Sentinel membuat insiden berdasarkan analisis dan deteksi yang Anda aktifkan. Setiap insiden dapat mencakup satu atau beberapa peristiwa, yang mengurangi jumlah keseluruhan penyelidikan yang diperlukan untuk mendeteksi dan menanggapi potensi ancaman.

Microsoft Azure Sentinel menunjukkan insiden yang dihasilkan aplikasi Defender untuk Cloud, jika terhubung, dan insiden yang dibuat Microsoft Azure Sentinel. Kolom Nama produk memperlihatkan sumber insiden.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Cek penyerapan data

Periksa apakah data terus terserap ke Microsoft Sentinel dengan melihat detail konektor secara teratur. Bagan berikut ini memperlihatkan koneksi baru.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Jika konektor berhenti menyerap data dan nilai bagan garis turun, periksa kredensial yang Anda gunakan untuk menyambungkan ke akun AWS. Periksa juga apakah AWS CloudTrail masih dapat mengumpulkan peristiwa.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya