Come Defender per il cloud App consente di proteggere l'ambiente Amazon Web Services (AWS)

  • Articolo

Amazon Web Services è un provider IaaS che consente all'organizzazione di ospitare e gestire l'intero carico di lavoro nel cloud. Oltre ai vantaggi derivanti dall'uso dell'infrastruttura nel cloud, gli asset più critici dell'organizzazione possono essere esposti alle minacce. Gli asset esposti includono istanze di archiviazione con informazioni potenzialmente riservate, risorse di calcolo che gestiscono alcune delle applicazioni, porte e reti private virtuali più critiche che consentono l'accesso all'organizzazione.

Connessione aws per Defender per il cloud app consente di proteggere gli asset e rilevare potenziali minacce monitorando le attività amministrative e di accesso, notificando possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi, eliminazioni insolite delle macchine virtuali e bucket di archiviazione esposti pubblicamente.

Principali minacce

  • Uso improprio delle risorse cloud
  • Account compromessi e minacce interne
  • Perdita di dati
  • Configurazione errata delle risorse e controllo di accesso insufficiente

Come le app Defender per il cloud aiutano a proteggere l'ambiente

Controllare AWS con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type Nome
Modello di criteri attività Amministrazione errori di accesso alla console
Modifiche alla configurazione di CloudTrail
Modifiche alla configurazione dell'istanza EC2
Modifiche ai criteri IAM
Logon from a risky IP address (Accesso da indirizzo IP rischioso)
Modifiche all'elenco di controllo di accesso alla rete
Modifiche del gateway di rete
Modifiche alla configurazione di S3
Modifiche alla configurazione del gruppo di sicurezza
Modifiche alla rete privata virtuale
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da un paese non frequente
Attività da indirizzi IP sospetti
Comunicazione impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Più tentativi di accesso non riusciti
Attività amministrative insolite
Attività insolite di eliminazione di più risorse di archiviazione (anteprima)
Più attività di eliminazione di VM
Attività insolite di creazione di più macchine virtuali (anteprima)
Area insolita per la risorsa cloud (anteprima)
Modello di criteri file Il bucket S3 è accessibile pubblicamente

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance AWS seguenti per correggere le minacce rilevate:

Type Azione
Governance dell'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID)
- Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)
Governance dei dati - Rendere privato un bucket S3
- Rimuovere un collaboratore per un bucket S3

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere AWS in tempo reale

Esaminare le procedure consigliate per bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connessione Amazon Web Services per Microsoft Defender per il cloud App

Questa sezione fornisce istruzioni per connettere l'account Amazon Web Services (AWS) esistente alle app di Microsoft Defender per il cloud usando le API del connettore. Per informazioni su come Defender per il cloud App protegge AWS, vedere Proteggere AWS.

È possibile connettere il controllo di AWS Security alle connessioni Defender per il cloud App per ottenere visibilità e controllo sull'uso delle app AWS.

Passaggio 1: Configurare il controllo di Amazon Web Services

  1. Nella console di Amazon Web Services, in Sicurezza, Identità e conformità selezionare IAM.

    AWS identity and access.

  2. Selezionare Utenti e quindi Aggiungi utente.

    AWS users.

  3. Nel passaggio Dettagli specificare un nuovo nome utente per Defender per il cloud App. Assicurarsi che in Tipo di accesso selezionare Accesso a livello di codice e selezionare Autorizzazioni successive.

    Create user in AWS.

  4. Selezionare Collega direttamente i criteri esistenti e quindi Crea criterio.

    Attach existing policies.

  5. Selezionare la scheda JSON :

    AWS JSON tab.

  6. Copiare e incollare lo script seguente nell'area apposita:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selezionare Avanti: Tag

    AWS code.

  8. Selezionare Successivo: Revisione.

    Add tags (optional).

  9. Specificare un nome e selezionare Crea criterio.

    Provide AWS policy name.

  10. Nella schermata Aggiungi utente aggiornare l'elenco, se necessario, e selezionare l'utente creato e selezionare Avanti: Tag.

    Attach existing policy in AWS.

  11. Selezionare Successivo: Revisione.

  12. Se tutti i dettagli sono corretti, selezionare Crea utente.

    User permissions in AWS.

  13. Quando viene visualizzato il messaggio di operazione riuscita, selezionare Scarica .csv per salvare una copia delle credenziali del nuovo utente. Questi elementi saranno necessari in un secondo momento.

    Download csv in AWS.

    Nota

    Dopo la connessione di AWS si riceveranno gli eventi dei sette giorni precedenti alla connessione. Se è stato appena abilitato CloudTrail, si riceveranno gli eventi dal momento in cui è stato abilitato CloudTrail.

Passaggio 2: Connessione controllo di Amazon Web Services per Defender per il cloud Apps

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.

  2. Nella pagina Connettore app s eseguire una delle operazioni seguenti per fornire le credenziali del connettore AWS:

    Per un nuovo connettore

    1. Selezionare +Connessione un'app, seguita da Amazon Web Services.

      connect AWS auditing.

    2. Nella finestra successiva specificare un nome per il connettore e quindi selezionare Avanti.

      AWS auditing connector name.

    3. Nella pagina Connessione Amazon Web Services selezionare Controllo della sicurezza e quindi selezionare Avanti.

    4. Nella pagina Controllo della sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connect AWS app security auditing for new connector.

    Per un connettore esistente

    1. Nell'elenco dei connettori, nella riga in cui viene visualizzato il connettore AWS selezionare Modifica impostazioni.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Nelle pagine Nome istanza e Connessione Amazon Web Services selezionare Avanti. Nella pagina Controllo della sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connect AWS app security auditing for existing connector.

  3. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.