Abilitare Defender per database relazionali open source in AWS (Anteprima)
Microsoft Defender per il cloud rileva attività anomale nell'ambiente AWS che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database per i seguenti tipi di istanza RDS:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Per ricevere avvisi dal piano Microsoft Defender, è necessario seguire le istruzioni riportate in questa pagina per abilitare Defender per i database relazionali open source in AWS.
Defender per database relazionali open source nel piano AWS include anche la possibilità di individuare i dati sensibili all'interno dell'account e arricchire l'esperienza Defender per il cloud con i risultati. Questa funzionalità è inclusa anche in Defender CSPM.
Altre informazioni su questo piano di Microsoft Defender sono disponibili in Panoramica di Microsoft Defender per database relazionali open source.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Almeno un account AWS connesso con l'accesso e le autorizzazioni necessarie.
Disponibilità dell'area: tutte le aree AWS pubbliche (escluse Tel Aviv, Milano, Giacarta, Spagna e Bahrein).
Abilitare Defender per database relazionali open source
Accedere al portale di Azure
Cercare e selezionare Microsoft Defender per il cloud.
Selezionare Impostazioni ambiente.
Selezionare l'account AWS pertinente.
Individuare il piano Database e selezionare Impostazioni.
Spostare l'interruttore dei database relazionali open source su On.
Nota
Lo spostamento su on dell'interruttore dei database relazionali open source consentirà anche l'individuazione dei dati sensibili, ovvero una funzionalità condivisa con l'individuazione dei dati sensibili di Defender CSPM per il servizio di database relazionali (RDS).
Altre informazioni sull'individuazione dei dati sensibili nelle istanze AWS RDS.
Selezionare Configura accesso.
Nella sezione Metodo di distribuzione, selezionare Scarica.
Seguire lo stack di aggiornamento nelle istruzioni di AWS. Questo processo creerà o aggiornerà il modello CloudFormation con le autorizzazioni necessarie.
Spuntare la casella che conferma che il modello CloudFormation è stato aggiornato nell'ambiente AWS (Stack).
Selezionare Esamina e genera.
Esaminare le informazioni presentate e selezionare Aggiorna.
Defender per il cloud apporterà automaticamente modifiche alle impostazioni del gruppo di opzioni e di parametri.
Autorizzazioni necessarie per il ruolo DefenderForCloud-DataThreatProtectionDB
La tabella seguente mostra un elenco delle autorizzazioni necessarie concesse al ruolo creato o aggiornato una volta scaricato il modello CloudFormation e aggiornato lo stack AWS.
| Autorizzazione aggiunta | Descrizione |
|---|---|
| rds:AddTagsToResource | per aggiungere tag al gruppo di opzioni e al gruppo di parametri creato |
| rds:DescribeDBClusterParameters | descrivere i parametri all'interno del gruppo di cluster |
| rds:CreateDBParameterGroup | creare un gruppo di parametri di database |
| rds:ModifyOptionGroup | opzione di modifica all'interno del gruppo di opzioni |
| rds:DescribeDBLogFiles | descrivere il file di log |
| rds:DescribeDBParameterGroups | descrivere il gruppo di parametri del database |
| rds:CreateOptionGroup | creare un gruppo di opzioni |
| rds:ModifyDBParameterGroup | modificare il parametro all'interno del gruppo di parametri dei database |
| rds:DownloadDBLogFilePortion | scaricare i file di log |
| rds:DescribeDBInstances | descrivere il database |
| rds:ModifyDBClusterParameterGroup | modificare il parametro del cluster all'interno del gruppo di parametri del cluster |
| rds:ModifyDBInstance | modificare i database per assegnare un gruppo di parametri o un gruppo di opzioni, se necessario |
| rds:ModifyDBCluster | modificare il cluster per assegnare il gruppo di parametri del cluster, se necessario |
| rds:DescribeDBParameters | descrivere i parametri all'interno del gruppo di database |
| rds:CreateDBClusterParameterGroup | creare un gruppo di parametri del cluster |
| rds:DescribeDBClusters | descrivere il cluster |
| rds:DescribeDBClusterParameterGroups | descrivere il gruppo di parametri del cluster |
| rds:DescribeOptionGroups | descrivere il gruppo di opzioni |
Impostazioni dei gruppi di parametri e opzioni interessati
Quando si abilita Defender per database relazionali open source nelle istanze RDS, Defender per il cloud abilita automaticamente il controllo usando i log di controllo per poter utilizzare e analizzare i modelli di accesso al database.
Ogni sistema o tipo di servizio di gestione di database relazionali ha le proprie configurazioni. Nella tabella seguente vengono descritte le configurazioni interessate da Defender per il cloud (non è necessario impostare manualmente queste configurazioni, la tabella serve da riferimento).
| Type | Parametro | Valore |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL e Aurora PostgreSQL | log_disconnections | 1 |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_logging | 1 |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_events | - Se esiste, espandere il valore in modo da includere CONNECT, QUERY, - Se non esiste, aggiungerlo con il valore CONNECT, QUERY. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_excl_users | Se esiste, espanderlo per includere rdsadmin. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_incl_users | - Se esiste con un valore e rdsadmin come parte dell'inclusione, non sarà presente in SERVER_AUDIT_EXCL_USER e il valore dell'inclusione è vuoto. |
Per MySQL e MariaDB è necessario un gruppo di opzioni con le opzioni seguenti per il MARIADB_AUDIT_PLUGIN (se l'opzione non esiste, aggiungerla. Se l'opzione esiste, espandere i valori nell'opzione):
| Nome opzione | Valore |
|---|---|
| SERVER_AUDIT_EVENTS | Se esiste, espandere il valore in modo da includere CONNECT Se non esiste, aggiungerlo con il valore CONNECT. |
| SERVER_AUDIT_EXCL_USER | Se esiste, espanderlo per includere rdsadmin. |
| SERVER_AUDIT_INCL_USERS | Se esiste con un valore e rdsadmin fa parte dell'inclusione, non sarà presente in SERVER_AUDIT_EXCL_USER e il valore dell'inclusione è vuoto. |
Importante
Potrebbe essere necessario riavviare le istanze per applicare le modifiche.
Se si usa il gruppo di parametri predefinito, verrà creato un nuovo gruppo di parametri che include le modifiche necessarie al parametro con il prefisso defenderfordatabases*.
Se è stato creato un nuovo gruppo di parametri o se i parametri statici sono stati aggiornati, non avranno effetto fino al riavvio dell'istanza.
Nota
Se già esiste un gruppo di parametri, verrà aggiornato di conseguenza.
MARIADB_AUDIT_PLUGIN è supportato in MariaDB 10.2 e versioni successive, MySQL 8.0.25 e versioni successive 8.0 e in tutte le versioni di MySQL 5.7.
Le modifiche apportate a MARIADB_AUDIT_PLUGIN per le istanze MySQL vengono aggiunte alla finestra di manutenzione successiva.
Contenuto correlato
- Attività supportate nell'individuazione dei dati sensibili.
- Individuazione di dati sensibili nelle istanze AWS RDS.