Abilitare Defender per database relazionali open source in AWS (anteprima)
Microsoft Defender per il cloud rileva attività anomale nell'ambiente AWS che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database per i tipi di istanza di Servizi Desktop remoto seguenti:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Per ricevere avvisi dal piano di Microsoft Defender, è necessario seguire le istruzioni in questa pagina per abilitare Defender per i database relazionali open source in AWS.
Defender per database relazionali open source nel piano AWS include anche la possibilità di individuare i dati sensibili all'interno dell'account e arricchire l'esperienza Defender per il cloud con i risultati. Questa funzionalità è inclusa anche in Defender CSPM.
Altre informazioni su questo piano di Microsoft Defender sono disponibili in Panoramica di Microsoft Defender per database relazionali open source.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Almeno un account AWS connesso con l'accesso e le autorizzazioni necessarie.
Disponibilità dell'area: tutte le aree AWS pubbliche (escluse Tel Aviv, Milano, Giacarta, Spagna e Bahrein).
Abilitare Defender per database relazionali open source
Accedere al portale di Azure
Cercare e selezionare Microsoft Defender per il cloud.
Selezionare Impostazioni ambiente.
Selezionare l'account AWS pertinente.
Individuare il piano Database e selezionare Impostazioni.
Attivare o disattivare i database di relazione open source su Sì.
Nota
L'attivazione o l'attivazione dei database relazionali open source consentirà anche l'individuazione dei dati sensibili, ovvero una funzionalità condivisa con l'individuazione dei dati sensibili di Defender CSPM per il servizio di database di relazione (RDS).
Altre informazioni sull'individuazione dei dati sensibili nelle istanze di AWS RDS.
Selezionare Configura accesso.
Nella sezione Metodo di distribuzione selezionare Scarica.
Seguire lo stack di aggiornamento nelle istruzioni di AWS. Questo processo creerà o aggiornerà il modello CloudFormation con le autorizzazioni necessarie.
Selezionare la casella che conferma che il modello CloudFormation è stato aggiornato nell'ambiente AWS (Stack).
Selezionare Rivedi e genera.
Esaminare le informazioni presentate e selezionare Aggiorna.
Defender per il cloud apporta automaticamente modifiche alle impostazioni del gruppo di opzioni e dei parametri.
Autorizzazioni necessarie per il ruolo DefenderForCloud-DataThreatProtectionDB
La tabella seguente mostra un elenco delle autorizzazioni necessarie concesse al ruolo creato o aggiornato quando è stato scaricato il modello CloudFormation e aggiornato aws Stack.
| Autorizzazione aggiunta | Descrizione |
|---|---|
| rds:AddTagsToResource | per aggiungere tag al gruppo di opzioni e al gruppo di parametri creato |
| rds:DescribeDBClusterParameters | descrivere i parametri all'interno del gruppo di cluster |
| rds:CreateDBParameterGroup | creare un gruppo di parametri di database |
| rds:ModifyOptionGroup | opzione modify all'interno del gruppo di opzioni |
| rds:DescribeDBLogFiles | descrivere il file di log |
| rds:DescribeDBParameterGroups | descrivere il gruppo di parametri del database |
| rds:CreateOptionGroup | Crea gruppo di opzioni |
| rds:ModifyDBParameterGroup | modificare il parametro all'interno del gruppo di parametri dei database |
| rds:DownloadDBLogFilePortion | scaricare il file di log |
| rds:DescribeDBInstances | descrivere il database |
| rds:ModifyDBClusterParameterGroup | modificare il parametro del cluster all'interno del gruppo di parametri del cluster |
| rds:ModifyDBInstance | modificare i database per assegnare un gruppo di parametri o un gruppo di opzioni, se necessario |
| rds:ModifyDBCluster | modificare il cluster per assegnare il gruppo di parametri del cluster, se necessario |
| rds:DescribeDBParameters | descrivere i parametri all'interno del gruppo di database |
| rds:CreateDBClusterParameterGroup | creare un gruppo di parametri del cluster |
| rds:DescribeDBClusters | descrivere il cluster |
| rds:DescribeDBClusterParameterGroups | descrivere il gruppo di parametri del cluster |
| rds:DescribeOptionGroups | descrivere il gruppo di opzioni |
Impostazioni dei parametri e dei gruppi di opzioni interessati
Quando si abilita Defender per database relazionali open source nelle istanze di Servizi Desktop remoto, Defender per il cloud abilita automaticamente il controllo usando i log di controllo per poter utilizzare e analizzare i modelli di accesso al database.
Ogni sistema o tipo di servizio di gestione di database relazionali ha le proprie configurazioni. Nella tabella seguente vengono descritte le configurazioni interessate da Defender per il cloud (non è necessario impostare manualmente queste configurazioni, come riferimento).
| Type | Parametro | Valore |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL e Aurora PostgreSQL | log_disconnections | 1 |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_logging | 1 |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_events | - Se esiste, espandere il valore da includere CONNECT, QUERY, - Se non esiste, aggiungerlo con il valore CONNECT, QUERY. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_excl_users | Se esiste, espanderlo per includere rdsadmin. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_incl_users | - Se esiste con un valore e rdsadmin come parte dell'inclusione, non sarà presente in edizione Standard RVER_AUDIT_EXCL_U edizione Standard R e il valore di include è vuoto. |
Per MySQL e MariaDB è necessario un gruppo di opzioni con le opzioni seguenti per il MARIADB_AUDIT_PLUGIN (se l'opzione non esiste, aggiungere l'opzione . Se l'opzione esiste, espandere i valori nell'opzione :
| Nome opzione | Valore |
|---|---|
| edizione Standard RVER_AUDIT_EVENTS | Se esistente, espandere il valore per includere CONNECT Se non esiste, aggiungerlo con il valore CONNECT. |
| edizione Standard RVER_AUDIT_EXCL_U edizione Standard R | Se esiste, espanderlo per includere rdsadmin. |
| edizione Standard RVER_AUDIT_INCL_U edizione Standard RS | Se esiste con un valore e rdsadmin fa parte dell'inclusione, non sarà presente in edizione Standard RVER_AUDIT_EXCL_U edizione Standard R e il valore di include è vuoto. |
Importante
Potrebbe essere necessario riavviare le istanze per applicare le modifiche.
Se si usa il gruppo di parametri predefinito, verrà creato un nuovo gruppo di parametri che include le modifiche necessarie al parametro con il prefisso defenderfordatabases*.
Se è stato creato un nuovo gruppo di parametri o se i parametri statici sono stati aggiornati, non avranno effetto fino al riavvio dell'istanza.
Nota
Se esiste già un gruppo di parametri, verrà aggiornato di conseguenza.
MARIADB_AUDIT_PLUGIN è supportato in MariaDB 10.2 e versioni successive, MySQL 8.0.25 e versioni successive 8.0 e Tutte le versioni di MySQL 5.7.
Le modifiche apportate a MARIADB_AUDIT_PLUGIN per le istanze di MySQL vengono aggiunte alla finestra di manutenzione successiva.
Contenuto correlato
- Elementi supportati nell'individuazione dei dati sensibili.
- Individuazione dei dati sensibili nelle istanze di AWS RDS.