Menghubungkan akun AWS

  • 11 menit

Onboarding akun AWS Anda ke Microsoft Defender untuk Cloud, mengintegrasikan Hub Keamanan AWS dan Defender untuk Cloud. Defender untuk Cloud dengan demikian memberikan visibilitas dan perlindungan di kedua lingkungan cloud ini agar dapat memberikan:

  • Penyediaan agen otomatis (Defender untuk Cloud menggunakan Azure Arc untuk menyebarkan agen Log Analytics ke instans AWS Anda)

  • Manajemen kebijakan

  • Pengelolaan kerentanan

  • Deteksi dan Respons Titik Akhir (EDR) Tersemat

  • Deteksi kesalahan konfigurasi keamanan

  • Satu tampilan memperlihatkan rekomendasi Defender untuk Cloud dan temuan AWS Security Hub

  • Penggabungan sumber daya AWS Anda ke dalam perhitungan skor aman Defender untuk Cloud

  • Penilaian kepatuhan terhadap peraturan atas sumber daya AWS Anda

Pada cuplikan berikut, Anda dapat melihat akun AWS yang ditampilkan di dasbor ringkasaan Security Center.

Screenshot of the A W S account overview settings.

Ikuti langkah-langkah berikut untuk membuat konektor AWS cloud Anda.

Menyiapkan AWS Security Hub:

Untuk melihat rekomendasi keamanan untuk beberapa wilayah, ulangi langkah-langkah berikut untuk setiap wilayah terkait. Jika Anda menggunakan akun utama AWS, ulangi tiga langkah berikut untuk mengonfigurasi akun utama dan semua akun anggota yang terhubung di semua wilayah terkait

  1. Aktifkan AWS Config.

  2. Aktifkan AWS Security Hub.

  3. Verifikasi bahwa ada data yang mengalir ke Security Hub.

Jika mengaktifkan Security Hub pertama kali, mungkin diperlukan waktu beberapa jam sebelum data tersedia.

Menyiapkan autentikasi untuk Security Center di AWS

Ada dua cara dalam memungkinkan Defender untuk Cloud mengautentikasi ke AWS:

  • Membuat peran IAM untuk Defender untuk Cloud - Ini merupakan metode yang paling aman dan direkomendasikan

  • Pengguna AWS untuk Defender untuk Cloud - Opsi yang kurang aman jika Anda tidak mengaktifkan IAM

Membuat peran IAM untuk Defender untuk Cloud:

Dari konsol AWS, di bagian Keamanan, Identitas & Kepatuhan, pilih IAM.

  1. Pilih Peran dan Buat peran.

  2. Pilih Akun AWS lain.

  3. Masukkan rincian berikut:

    • ID Akun - masukkan ID Akun Microsoft (158177204117) seperti yang diperlihatkan di halaman konektor AWS di Security Center.

    • Wajibkan ID Eksternal - harus dipilih

    • ID Eksternal - masukkan ID langganan seperti yang ditunjukkan di halaman konektor AWS di Security Center

  4. Pilih Selanjutnya.

  5. Di bagian Lampirkan kebijakan izin, pilih kebijakan berikut:

    • SecurityAudit

    • AmazonSSMAutomationRole

    • AWSSecurityHubReadOnlyAccess

  6. Secara opsional tambahkan tag. Menambahkan Tag ke pengguna tidak memengaruhi koneksi.

  7. Pilih Selanjutnya.

  8. Di daftar Peran, pilih peran yang telah dibuat

  9. Simpan Amazon Resource Name (ARN) untuk nanti.

Mengonfigurasi Agen SSM

AWS Systems Manager diperlukan untuk mengotomatiskan tugas di seluruh sumber daya AWS Anda. Jika instans EC2 Anda tidak memiliki Agen SSM, ikuti petunjuk terkait dari Amazon:

Melengkapi prasyarat Azure Arc

Pastikan penyedia sumber daya Azure yang sesuai terdaftar:

  • Microsoft.HybridCompute

  • Microsoft.GuestConfiguration

Buat Perwakilan Layanan untuk orientasi dalam skala besar. Sebagai Pemilik pada langganan yang ingin digunakan untuk orientasi, buat perwakilan layanan untuk orientasi Azure Arc seperti yang dijelaskan dalam Membuat Perwakilan Layanan untuk orientasi dalam skala besar.

Menghubungkan AWS ke Defender untuk Cloud

Dari menu Defender untuk Cloud, pilih solusi Keamanan lalu pilih konektor Beberapa cloud.

Pilih Tambahkan akun AWS.

Konfigurasikan opsi di tab autentikasi AWS:

  1. Masukkan Nama tampilan untuk konektor.

  2. Konfirmasikan bahwa langganan sudah benar. Ini adalah langganan yang akan menyertakan konektor dan rekomendasi Hub Keamanan AWS.

  3. Bergantung pada opsi autentikasi, Anda telah memilih di langkah 2. Siapkan autentikasi untuk Security Center di AWS:

    • Pilih Asumsikan Peran dan tempel ARN dari Buat peran IAM untuk Security Center. Menempelkan file ARN di bidang terkait dari wizard koneksi AWS di portal Azure

    or

    • Pilih Info Masuk dan tempelkan kunci akses serta kunci rahasia dari file .csv yang Anda simpan di Buat pengguna AWS untuk Security Center.

  4. Pilih Selanjutnya.

  5. Konfigurasikan opsi di tab Konfigurasi Azure Arc:

    • Defender untuk Cloud menemukan instans EC2 di akun AWS yang terhubung dan menggunakan SSM untuk melakukan onboarding instans ke Azure Arc.

    • Pilih Grup Sumber Daya dan Wilayah Azure tempat AWS EC2 yang ditemukan akan diorientasikan dalam langganan yang dipilih.

    • Masukkan ID Perwakilan Layanan dan Rahasia Klien Perwakilan Layanan untuk Azure Arc seperti yang dijelaskan di sini Membuat Perwakilan Layanan untuk orientasi dalam skala besar

    • Jika komputer terhubung ke internet melalui server proksi, tentukan alamat IP server proksi atau nama dan nomor port yang digunakan komputer untuk berkomunikasi dengan server proksi. Masukkan nilai dalam format http://<proxyURL>:<proxyport>

  6. Pilih Tinjau + buat.

  7. Tinjau informasi ringkasan

  8. Bagian Tag akan mencantumkan semua Tag Azure yang akan dibuat secara otomatis untuk setiap EC2 yang diorientasikan disertai detail terkait untuk mengenalinya dengan mudah di Azure.

Konfirmasi

Setelah konektor berhasil dibuat dan AWS Security Hub telah dikonfigurasi dengan benar:

  • Defender untuk Cloud memindai lingkungan untuk instans AWS EC2, onboarding ke Azure Arc, memungkinkan Defender untuk Cloud menginstal agen Analitik Log dan memberikan perlindungan ancaman dan rekomendasi keamanan.

  • Layanan ASC memindai instans AWS EC2 baru setiap 6 jam dan mengorientasikannya sesuai dengan konfigurasi.

  • Standar AWS CIS akan ditampilkan di dasbor kepatuhan peraturan Defender untuk Cloud.

  • Jika kebijakan Hub Keamanan diaktifkan, rekomendasi akan muncul di portal Defender untuk Cloud dan dasbor kepatuhan peraturan 5-10 menit setelah penyetoran selesai.