Menghubungkan akun AWS ke Microsoft Defender untuk Cloud

Microsoft Defender for Cloud membantu melindungi beban kerja yang berjalan di Amazon Web Services (AWS). Untuk menilai sumber daya AWS dan mendapatkan rekomendasi keamanan, Anda perlu menghubungkan akun AWS anda ke Defender for Cloud. Konektor mengumpulkan sinyal konfigurasi dan keamanan dari layanan AWS. Dengan menggunakan informasi ini, Defender for Cloud dapat menganalisis postur tubuh, menghasilkan rekomendasi, dan menampilkan pemberitahuan.

Untuk informasi selengkapnya, tonton video konektor AWS baru di Defender for Cloud dari seri video Defender for Cloud di Lapangan.

Penting

Jika Anda sudah menyambungkan akun AWS ke Microsoft Azure Sentinel, Anda mungkin perlu melakukan konfigurasi tambahan saat menyambungkannya ke Defender for Cloud. Konfigurasi tambahan ini mencegah masalah penyebaran atau penyerapan. Untuk informasi selengkapnya, lihat Menyambungkan akun AWS yang terhubung dengan Sentinel ke Defender for Cloud.

Arsitektur autentikasi

Saat Anda menyambungkan akun AWS, Microsoft Defender for Cloud mengautentikasi ke AWS menggunakan kepercayaan federasi dan kredensial berumur pendek, tanpa menyimpan rahasia berumur panjang.

Pelajari selengkapnya tentang bagaimana autentikasi dibuat antara ID Microsoft Entra dan AWS, termasuk peran IAM dan hubungan kepercayaan yang dibuat selama onboarding.

Prasyarat

Sebelum menyambungkan akun AWS, pastikan Anda memiliki:

• Langganan Microsoft Azure. Jika Anda tidak memilikinya, daftar untuk langganan gratis.

• Microsoft Defender for Cloud diaktifkan pada langganan tersebut.

• Akses ke akun AWS.

• Izin untuk membuat sumber daya di Azure (Kontributor atau di atasnya).

Persyaratan tambahan berlaku saat mengaktifkan paket Defender tertentu. Tinjau persyaratan rencana konektor native.

Catatan

Konektor AWS tidak tersedia di cloud pemerintah nasional (Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet).

Persyaratan rencana konektor bawaan

Setiap paket Defender memiliki persyaratan penyiapan tertentu.

Defender untuk Kontainer

• Setidaknya satu kluster Amazon EKS dengan akses ke server API Kubernetes. Jika Anda tidak memilikinya, buat kluster EKS baru.
• Kemampuan untuk membuat antrian Amazon SQS, aliran pengiriman Kinesis Data Firehose, dan bucket Amazon S3 di wilayah yang sama dengan cluster.

Defender untuk SQL

• Microsoft Defender untuk SQL diaktifkan pada langganan Anda.
• Akun AWS aktif dengan instans EC2 atau RDS Custom untuk SQL Server.
• Azure Arc untuk server yang diinstal pada instans EC2 atau RDS kustom Anda untuk SQL Server. Penyediaan otomatis disarankan. Untuk mengaktifkannya, Anda harus memiliki peran Pemilik pada langganan Azure.
• Agen AWS SSM diinstal dengan kebijakan AmazonSSMManagedInstanceCore . Jika Agen SSM tidak diinstal sebelumnya, ikuti instruksi penginstalan AWS.
• Ekstensi berikut diaktifkan pada komputer yang terhubung dengan Arc Anda:
  • Microsoft Defender for Endpoint
  • Solusi penilaian kerentanan (TVM atau Qualys)
  • Ekstensi Defender untuk SQL

Pelajari selengkapnya tentang komponen pemantauan.

Defender untuk basis data sumber terbuka (Pratinjau)

• Langganan Azure aktif dengan Defender for Cloud diaktifkan.
• Akun yang terhubung di Azure atau AWS.

Ketersediaan wilayah: Semua wilayah AWS publik kecuali Tel Aviv, Milan, Jakarta, Spanyol, dan Bahrain.

Defender untuk Server

• Pertahanan Microsoft untuk Server diaktifkan pada langganan Anda.
• Akun AWS aktif yang memiliki instans EC2.
• Azure Arc untuk server yang dipasang pada instans EC2 Anda. Provisi otomatis direkomendasikan dan memerlukan peran Pemilik pada langganan Azure.
  Pastikan Anda memenuhi persyaratan jaringan untuk Azure Arc.
• Agen AWS SSM diinstal dengan kebijakan AmazonSSMManagedInstanceCore . Jika tidak diinstal sebelumnya, instal untuk Windows atau Linux.

Catatan

Jika SSM Agent hilang atau dihapus, autoprovisioning Arc tidak dapat dilanjutkan.
Templat CloudFormation onboarding juga membuat pemindaian otomatisasi 30 hari yang memverifikasi setiap instans EC2 memiliki profil IAM yang diperlukan.

• Ekstensi berikut diaktifkan pada komputer yang terhubung dengan Arc Anda:
  • Microsoft Defender untuk Endpoint
  • Solusi penilaian kerentanan (TVM atau Qualys)

Catatan

Agen Analitik Log dihentikan pada Agustus 2024. Fitur yang bergantung padanya adalah transisi ke integrasi Defender for Endpoint atau pemindaian tanpa agen.
Pelajari selengkapnya tentang perubahan yang akan datang.

Defender untuk Server menetapkan tag sumber daya (AccountId, Cloud, InstanceId, MDFCSecurityConnector) untuk mengelola proses pengadaan otomatis.

Catatan

Server Azure Arc masing-masing untuk instans EC2 atau komputer virtual GCP yang tidak lagi ada (dan server Azure Arc masing-masing dengan status Terputus atau Kedaluwarsa) dihapus setelah tujuh hari. Pembersihan ini memastikan bahwa hanya server aktif yang diaktifkan Arc yang terus muncul di Defender for Cloud.

Defender CSPM

• Izin Pemilik Langganan.
• Izin untuk AWS IAM mengambil alih peran pemantauan.
• Untuk mengaktifkan Cloud Infrastructure Entitlement Management (CIEM), pengguna harus memiliki peran Administrator Aplikasi atau Administrator Aplikasi Cloud di ID Microsoft Entra.

Pelajari selengkapnya tentang mengaktifkan Defender CSPM.

Sambungkan akun AWS Anda

1. Masuk ke portal Azure.

2. Pergi ke Defender for Cloud>Pengaturan Lingkungan.

3. Pilih Tambahkan lingkungan>AWS.

   

4. Masukkan detail akun AWS, termasuk wilayah Azure tempat sumber daya konektor akan dibuat.

   

   Gunakan menu dropdown wilayah AWS untuk memilih wilayah monitor Defender for Cloud. Wilayah yang tidak Anda pilih tidak akan menerima panggilan API dari Defender for Cloud.

5. Pilih interval pemindaian (4, 6, 12, atau 24 jam).

   Pilihan ini menentukan interval standar untuk sebagian besar pemeriksaan postur. Beberapa alat pengumpul data dengan interval tetap beroperasi lebih sering, tanpa memperhatikan pengaturan ini.

   Interval pemindaian	Pengumpul data
   1 jam	EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
   12 jam	EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

6. Pilih Berikutnya: Pilih paket, dan pilih paket Defender yang ingin Anda aktifkan.

   Tinjau pilihan paket default, karena beberapa paket mungkin diaktifkan secara otomatis tergantung pada konfigurasi Anda. Misalnya, paket Database memperluas cakupan Defender untuk SQL ke AWS EC2, Kustom RDS untuk SQL Server, dan database relasional sumber terbuka pada RDS.

   

   Setiap paket mungkin dikenakan biaya. Pelajari selengkapnya tentang harga Defender for Cloud.

   Penting

   Untuk menyajikan rekomendasi up-to-date, Defender CSPM meminta API sumber daya AWS beberapa kali sehari. Panggilan API baca-saja ini tidak dikenakan biaya AWS. Namun, jika Anda mengaktifkan pengelogan aktivitas baca, CloudTrail mungkin merekamnya. Mengekspor data ini ke sistem SIEM eksternal dapat meningkatkan biaya penyerapan. Jika diperlukan, filter panggilan baca-saja dari:

   arn:aws:iam::<accountId>:role/CspmMonitorAws

7. Pilih Konfigurasikan akses, dan pilih:

   • Akses default: Memberikan izin yang diperlukan untuk kemampuan saat ini dan di masa mendatang.
   • Akses hak istimewa terkecil: Hanya memberikan izin yang diperlukan saat ini. Anda mungkin menerima pemberitahuan jika akses tambahan diperlukan nanti.

8. Pilih metode penyebaran:

   • AWS CloudFormation
   • Terraform.

   

   Catatan

   Saat melakukan onboarding akun manajemen, Defender for Cloud menggunakan AWS StackSets dan secara otomatis membuat konektor untuk akun anak. Provisi otomatis diaktifkan untuk akun yang baru ditemukan.

   Catatan

   Jika Anda memilih Akun manajemen untuk membuat konektor ke akun manajemen, tab untuk onboarding dengan menggunakan Terraform tidak terlihat di UI. Onboarding Terraform masih didukung. Untuk panduan, lihat Mengenalkan lingkungan AWS/GCP Anda ke Microsoft Defender for Cloud dengan Terraform.

9. Ikuti instruksi di layar untuk menyebarkan templat CloudFormation. Jika Anda memilih Terraform, ikuti instruksi penyebaran yang setara yang disediakan di portal.

10. Pilih Berikutnya: Tinjau dan buat.

11. Pilih Buat.

Defender for Cloud mulai memindai sumber daya AWS Anda. Rekomendasi keamanan muncul dalam beberapa jam. Setelah orientasi, Anda dapat memantau postur, pemberitahuan, dan inventaris sumber daya AWS di Defender for Cloud.

Memvalidasi kesehatan konektor

Untuk mengonfirmasi bahwa konektor AWS Anda beroperasi dengan benar:

1. Masuk ke portal Azure.

2. Buka Defender untuk Cloud>pengaturan lingkungan.

3. Temukan akun AWS dan tinjau kolom Status konektivitas untuk melihat apakah koneksi sehat atau mengalami masalah.

4. Pilih nilai yang diperlihatkan di kolom Status konektivitas untuk menampilkan detail selengkapnya.

Halaman Detail lingkungan mencantumkan konfigurasi atau masalah izin yang terdeteksi yang memengaruhi koneksi ke akun AWS.

Jika ada masalah, Anda dapat memilihnya untuk melihat deskripsi masalah dan langkah-langkah remediasi yang direkomendasikan. Dalam beberapa kasus, skrip remediasi disediakan untuk membantu menyelesaikan masalah.

Pelajari selengkapnya tentang pemecahan masalah konektor multicloud.

Menyebarkan templat CloudFormation ke akun AWS Anda

Sebagai bagian dari onboarding, sebarkan templat CloudFormation yang dihasilkan:

• Sebagai Stack (akun tunggal)
• Sebagai StackSet (sebagai akun manajemen)

Pilihan penyebaran templat

• URL Amazon S3: Unggah templat CloudFormation yang diunduh ke wadah S3 Anda sendiri dengan konfigurasi keamanan Anda sendiri. Masukkan URL S3 ke dalam panduan penyebaran AWS.

• Unggah file templat: AWS secara otomatis membuat wadah S3 untuk menyimpan templat. Konfigurasi ini mungkin memicu rekomendasi S3 buckets should require requests to use Secure Socket Layer. Anda dapat memperbaikinya dengan menerapkan kebijakan bucket berikut:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Catatan

Saat menjalankan CloudFormation StackSets saat onboarding akun manajemen AWS, Anda mungkin mengalami pesan kesalahan berikut: You must enable organizations access to operate a service managed stack set

Pesan kesalahan ini menunjukkan bahwa Anda tidak mengaktifkan akses tepercaya untuk AWS Organizations.

Untuk memperbaiki kesalahan ini, halaman CloudFormation StackSets memiliki perintah dengan tombol yang dapat Anda pilih untuk mengaktifkan akses tepercaya. Setelah akses tepercaya diaktifkan, jalankan Kembali Tumpukan CloudFormation.

Apakah Anda perlu memperbarui templat CloudFormation?

Tabel ini membantu Anda menentukan apakah Anda perlu memperbarui templat CloudFormation yang disebarkan di akun AWS Anda.

Step	Pertanyaan	Jika YA	Jika TIDAK
1	Apakah Anda mengaktifkan paket Defender baru (misalnya, CSPM, Database, Defender untuk Kontainer)?	Perbarui Tumpukan CloudFormation dengan templat terbaru.	Buka Langkah 2.
2	Apakah Anda memodifikasi konfigurasi paket (misalnya, mengaktifkan provisi otomatis atau mengubah wilayah)?	Perbarui Tumpukan CloudFormation dengan templat terbaru.	Buka Langkah 3.
3	Apakah Microsoft merilis versi baru templat? (Misalnya, mendukung fitur baru, memperbaiki bug, atau memperbarui runtime)	Perbarui Tumpukan CloudFormation dengan templat terbaru.	Buka Langkah 4.
4	Apakah Anda mengalami kesalahan penyebaran1 (misalnya, kesalahan Akses Ditolak, Entitas sudah ada, runtime Lambda)?	Perbarui Tumpukan CloudFormation dengan templat terbaru.	Tidak diperlukan pembaruan templat CloudFormation.

¹ Jika Anda menerima kesalahan tertentu, atau kesalahan dengan penyebaran templat CloudFormation, lihat tabel resolusi kesalahan CloudFormation.

Lihat cakupan Anda saat ini

Defender for Cloud menyediakan akses ke buku kerja melalui buku kerja Azure. Buku kerja adalah laporan yang dapat disesuaikan yang memberikan wawasan tentang postur keamanan Anda.

Lembar kerja cakupan membantu Anda memahami cakupan Anda saat ini dengan menampilkan rencana mana yang diaktifkan pada langganan dan sumber daya Anda.

Aktifkan penerimaan log AWS CloudTrail (Pratinjau)

Penyerapan peristiwa manajemen AWS CloudTrail dapat meningkatkan wawasan identitas dan konfigurasi dengan menambahkan konteks untuk penilaian CIEM, indikator risiko berbasis aktivitas, dan deteksi perubahan konfigurasi.

Pelajari selengkapnya tentang mengintegrasikan log AWS CloudTrail dengan Microsoft Defender for Cloud (Pratinjau).

Pelajari lebih lanjut

Lihat blog berikut:

• Ignite 2021: berita Microsoft Defender untuk Cloud
• Manajemen postur keamanan dan perlindungan server untuk AWS dan GCP

Langkah berikutnya

• Tetapkan akses ke pemilik beban kerja.
• Lindungi semua sumber daya Anda dengan Defender untuk Cloud.
• Siapkan komputer lokal dan proyek GCP Anda.
• Dapatkan jawaban atas pertanyaan umum tentang onboarding akun AWS Anda.
• Memecahkan masalah konektor multicloud Anda.