빠른 시작: 클라우드용 Microsoft Defender에 AWS 계정 연결

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 Azure, AWS(Amazon Web Services), GCP(Google Cloud 플랫폼), GitHub 및 ADO(Azure DevOps)의 워크로드를 보호합니다.

AWS 기반 리소스를 보호하려면 다음 중 하나를 사용하여 AWS 계정을 연결하면 됩니다.

  • 네이티브 클라우드 커넥터(권장) - AWS 리소스를 보호하기 위해 클라우드용 Defender의 Defender 플랜으로 확장할 수 있는 AWS 계정에 대한 에이전트 없는 연결을 제공합니다.

  • 클래식 클라우드 커넥터 - 클라우드용 Defender가 AWS 환경에 연결하는 데 사용할 수 있는 사용자를 만들려면 AWS 계정의 구성이 필요합니다.

참고

클래식 커넥터를 선택하는 옵션은 이전에 클래식 커넥터를 사용하여 AWS 계정을 온보딩한 경우에만 사용할 수 있습니다.

클래식 클라우드 커넥터가 있는 경우 이러한 커넥터를 삭제 하고 네이티브 커넥터를 사용하여 계정에 다시 연결하는 것이 좋습니다. 클래식 커넥터와 네이티브 커넥터를 모두 사용하면 중복된 권장 사항이 생성될 수 있습니다.

클라우드용 Defender가 AWS 리소스에 대해 제공할 수 있는 모든 권장 사항의 참조 목록은 AWS 리소스 보안 권장 사항 - 참조 가이드를 참조하세요.

다음은 Defender for Cloud의 개요 대시보드에 표시된 AWS 계정을 보여주는 스크린샷입니다.

Defender for Cloud의 개요 대시보드에 나열된 4개의 AWS 프로젝트

필드의 클라우드용 Defender 비디오 시리즈에서 이 비디오를 보고 자세히 알아볼 수 있습니다.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: SQL용 Defender 플랜은 Azure 리소스와 동일한 가격으로 청구됩니다.
컨테이너용 Defender 플랜은 미리 보기 기간 동안 무료입니다. 그 후에는 Azure 리소스와 동일한 가격으로 AWS에 대해 청구됩니다.
Azure에 연결된 모든 AWS 머신의 경우 서버용 Defender 플랜은 Azure 머신의 서버용 Microsoft Defender 플랜과 동일한 가격으로 요금이 청구됩니다.
Defender 플랜 가격 책정 및 청구에 대해 자세히 알아보기
필요한 역할 및 권한: 관련된 Azure 구독에 대한 기여자 권한입니다.
AWS 계정의 관리자
클라우드: 상용 클라우드
국가(Azure Government, Azure 중국 21Vianet)

사전 요구 사항

네이티브 클라우드 커넥터에는 다음이 필요합니다.

  • AWS 계정에 대한 액세스 권한이 필요합니다.

  • 컨테이너용 Defender 플랜을 사용하려면 다음이 필요합니다.

    • EKS K8s API 서버에 액세스할 수 있는 권한이 있는 하나 이상의 Amazon EKS 클러스터. 새 EKS 클러스터를 만들어야 하는 경우 Amazon EKS 시작하기 – eksctl의 지침을 따릅니다.
    • 클러스터의 지역에 새 SQS 큐, Kinesis Fire Hose 배달 스트림 및 S3 버킷을 만들 수 있는 리소스 용량.
  • SQL용 Defender 계획을 사용하도록 설정하려면 다음이 필요합니다.

    • 구독에서 SQL용 Microsoft Defender가 사용하도록 설정되었습니다. 모든 데이터베이스에서 보호를 사용하도록 설정하는 방법에 대해 알아봅니다.

    • SQL Server 또는 SQL Server용 RDS Custom을 실행하는 EC2 인스턴스가 있는 활성 AWS 계정.

    • SQL Server용 EC2 인스턴스/RDS Custom에 설치된 서버용 Azure Arc.

      • (권장) 자동 프로비저닝 프로세스를 사용하여 모든 기존 및 미래의 EC2 인스턴스에 Azure Arc를 설치합니다.

        자동 프로비저닝은 SSM 에이전트를 사용하여 SSM(AWS Systems Manager)에서 관리됩니다. 일부 AMI(Amazon Machine Image)는 SSM 에이전트가 미리 설치되어 있습니다. SSM 에이전트가 이미 미리 설치된 경우 AMI는 SSM 에이전트가 미리 설치된 AMI에 나열됩니다. EC2에 SSM 에이전트가 없으면 Amazon의 다음 관련 안내 중 하나에 따라 이를 설치해야 합니다.

      참고

      Azure Arc 자동 프로비저닝을 사용하도록 설정하려면 관련 Azure 구독에 대해 소유자 권한이 필요합니다.

    • Arc 연결 컴퓨터에서 다른 확장을 사용하도록 설정해야 합니다.

      • 엔드포인트에 대한 Microsoft Defender

      • VA 솔루션(TVM/Qualys)

      • Arc 컴퓨터의 LA(Log Analytics) 에이전트 또는 AMA(Azure Monitor 에이전트)

        선택한 LA 작업 영역에 보안 솔루션이 설치되어 있는지 확인합니다. LA 에이전트와 AMA는 현재 구독 수준에서 구성되어 있습니다. 동일한 구독에 속한 모든 AWS 계정 및 GCP 프로젝트는 LA 에이전트 및 AMA에 대한 구독 설정을 상속합니다.

      클라우드용 Defender의 모니터링 구성 요소에 대해 자세히 알아봅니다.

  • 서버용 Defender 플랜을 사용하려면 다음이 필요합니다.

    • 구독에서 사용하도록 설정된 서버용 Microsoft Defender. 강화된 보안 기능 사용에서 플랜을 사용하도록 설정하는 방법을 알아봅니다.

    • EC2 인스턴스가 있는 활성 AWS 계정.

    • EC2 인스턴스에 설치된 서버용 Azure Arc.

      참고

      Azure Arc 자동 프로비저닝을 사용하도록 설정하려면 관련 Azure 구독에 대해 소유자 권한이 필요합니다.

    • Arc 연결 컴퓨터에서 다른 확장을 사용하도록 설정해야 합니다.

      • 엔드포인트에 대한 Microsoft Defender

      • VA 솔루션(TVM/Qualys)

      • Arc 컴퓨터의 LA(Log Analytics) 에이전트 또는 AMA(Azure Monitor 에이전트)

        선택한 LA 작업 영역에 보안 솔루션이 설치되어 있는지 확인합니다. LA 에이전트와 AMA는 현재 구독 수준에서 구성되어 있습니다. 동일한 구독에 속한 모든 AWS 계정 및 GCP 프로젝트는 LA 에이전트 및 AMA에 대한 구독 설정을 상속합니다.

      클라우드용 Defender의 모니터링 구성 요소에 대해 자세히 알아봅니다.

      참고

      서버용 Defender는 AWS 리소스에 태그를 할당하여 자동 프로비저닝 프로세스를 관리합니다. 클라우드용 Defender가 AccountId, 클라우드, InstanceId, MDFCSecurityConnector 등의 리소스를 관리할 수 있도록 이러한 태그를 리소스에 올바르게 할당해야 합니다.

AWS 계정 연결

네이티브 커넥터를 사용하여 AWS 계정을 클라우드용 Defender에 연결하려면 다음을 수행합니다.

  1. 클래식 커넥터가 있다면 제거합니다.

    클래식 커넥터와 네이티브 커넥터를 모두 사용하면 중복된 권장 사항이 생성될 수 있습니다.

  2. Azure Portal에 로그인합니다.

  3. 클라우드용 Defender>환경 설정으로 이동합니다.

  4. 환경 추가>Amazon Web Services.를 선택합니다.

    AWS 계정을 Azure 구독에 연결

  5. 커넥터 리소스를 저장할 위치를 포함하여 AWS 계정 세부 정보를 입력합니다.

    AWS 계정 추가 마법사의 1단계: 계정 세부 정보를 입력합니다.

    (선택 사항) 관리 계정을 선택하여 관리 계정에 대한 커넥터를 만듭니다. 제공된 관리 계정에서 검색된 각 멤버 계정에 대해 커넥터가 만들어집니다. 새로 온보딩된 모든 계정에 대해 자동 프로비전이 활성화됩니다.

  6. 다음: 플랜 선택을 선택합니다.

    참고

    각 플랜마다 고유한 요구 사항이 있고 요금이 발생할 수 있습니다.

    [플랜 선택] 탭에서는 이 AWS 계정에 사용할 Defender for Cloud 기능을 선택합니다.

    중요

    권장 사항의 현재 상태를 표시하기 위해 CSPM 계획은 AWS 리소스 API를 하루에 여러 번 쿼리합니다. 이러한 읽기 전용 API 호출에는 요금이 발생하지 않지만 읽기 이벤트에 대한 흔적을 사용하도록 설정한 경우 CloudTrail에 등록됩니다. AWS 설명서에서 설명한 대로 하나의 흔적을 유지하는 데 드는 추가 비용이 없습니다. AWS에서 데이터를 내보내는 경우(예: 외부 SIEM으로) 증가한 이 호출 양으로 인해 수집 비용도 증가할 수 있습니다. 이러한 경우 클라우드용 Defender 사용자 또는 ARN 역할 arn:aws:iam::[accountId]:role/CspmMonitorAws에서 읽기 전용 호출을 필터링하는 것이 좋습니다. 기본 역할 이름의 경우 계정에 구성된 역할 이름을 확인합니다.

  7. 기본적으로 서버 플랜은 켜기로 설정됩니다. 이것은 서버용 Defender 범위를 AWS EC2로 확장하기 위해 필요합니다. Azure Arc에 대한 네트워크 요구 사항을 충족했는지 확인합니다.

    • (선택 사항) 구성을 선택하여 필요에 따라 구성을 편집합니다.
  8. 기본적으로 컨테이너 플랜은 켜기로 설정됩니다. 이것은 컨테이너용 Defender가 AWS EKS 클러스터를 보호하기 위해 필요합니다. 컨테이너용 Defender 플랜의 네트워크 요구 사항이 충족되었는지 확인합니다.

    참고

    Azure Arc 지원 Kubernetes, Defender Arc 확장 및 Azure Policy Arc 확장을 설치해야 합니다. Amazon Elastic Kubernetes Service 클러스터 보호에 설명된 대로 전용 클라우드용 Defender를 사용하여 확장(및 Arc, 필요한 경우)을 배포합니다.

    • (선택 사항) 구성을 선택하여 필요에 따라 구성을 편집합니다. 이 구성을 사용하지 않도록 선택하면 Threat detection (control plane) 기능이 사용하지 않도록 설정됩니다. 기능 가용성에 대해 자세히 알아보세요.
  9. 기본적으로 데이터베이스 계획은 켜기로 설정됩니다. 이는 SQL용 Defender의 적용 범위를 AWS EC2 및 SQL Server용 RDS Custom으로 확장하는 데 필요합니다.

    • (선택 사항) 구성을 선택하여 필요에 따라 구성을 편집합니다. 기본 구성으로 설정된 상태로 두는 것이 좋습니다.
  10. 다음: 액세스 구성을 선택합니다.

  11. CloudFormation 템플릿을 다운로드합니다.

  12. 다운로드한 CloudFormation 템플릿을 사용하여 화면의 지시에 따라 AWS에서 스택을 만듭니다. 관리 계정을 온보딩하는 경우 Stack 및 StackSet으로 CloudFormation 템플릿을 실행해야 합니다. 온보딩 후 최대 24시간 동안 멤버 계정에 대한 커넥터가 만들어집니다.

  13. 다음: 검토 및 생성을 선택합니다.

  14. 만들기를 선택합니다.

클라우드용 Defender가 AWS 리소스 스캔을 즉시 시작하고 몇 시간 내에 보안 권장 사항이 표시됩니다. 클라우드용 Defender가 AWS 리소스에 대해 제공할 수 있는 모든 권장 사항의 참조 목록은 AWS 리소스 보안 권장 사항 - 참조 가이드를 참조하세요.

AWS 인증 프로세스

페더레이션 인증은 클라우드용 Microsoft Defender와 AWS 간에 사용됩니다. 인증과 관련된 모든 리소스는 다음을 포함하여 CloudFormation 템플릿 배포의 일부로 만들어집니다.

  • ID 공급자(OpenID 연결)
  • 페더레이션 보안 주체가 있는 IAM(Identity and Access Management) 역할(ID 공급자에 연결됨).

클라우드 간 인증 프로세스의 아키텍처는 다음과 같습니다.

클라우드 전체의 인증 프로세스 아키텍처를 보여 주는 다이어그램.

  1. 클라우드용 Microsoft Defender 서비스 CSPM은 RS256 알고리즘을 사용하여 Azure AD에서 서명한 유효 기간이 1시간인 Azure AD 토큰을 획득합니다.

  2. Azure AD 토큰은 AWS 단기 자격 증명과 교환되며 클라우드용 Defender의 CPSM 서비스는 CSPM IAM 역할을 맡습니다(웹 ID로 가정됨).

  3. 역할의 원칙은 신뢰 관계 정책에 정의된 페더레이션 ID이므로 AWS ID 공급자는 다음을 포함하는 프로세스를 통해 Azure AD에 대해 Azure AD 토큰의 유효성을 검사합니다.

    • 잠재 고객 유효성 검사
    • 토큰 서명
    • 인증서 지문
  4. 클라우드용 Microsoft Defender 서비스 CSPM 역할은 트러스트 관계에 정의된 유효성 검사 조건이 충족된 후에만 가정됩니다. 역할 수준에 대해 정의된 조건은 AWS 내에서 유효성 검사에 사용되며 클라우드용 Microsoft Defender CSPM 애플리케이션(유효성 검사된 대상 그룹)만 특정 역할에 액세스하도록 허용합니다(다른 Microsoft 토큰은 허용하지 않음).

  5. Azure AD 토큰이 AWS ID 공급자에 의해 유효성 검사된 후 AWS STS는 토큰을 CSPM 서비스가 AWS 계정을 검사하는 데 사용하는 AWS 단기 자격 증명과 교환합니다.

CloudFormation 배포 원본

AWS 계정을 클라우드용 Microsoft Defender에 연결하는 과정에서 CloudFormation 템플릿을 AWS 계정에 배포해야 합니다. 이 CloudFormation 템플릿은 클라우드용 Microsoft Defender가 AWS 계정에 연결하는 데 필요한 모든 필수 리소스를 만듭니다.

CloudFormation 템플릿은 Stack(또는 마스터 계정이 있는 경우 StackSet)을 사용하여 배포해야 합니다.

CloudFormation 템플릿을 배포할 때 스택 만들기 마법사는 다음 옵션을 제공합니다.

스택 만들기 마법사를 보여 주는 스크린샷.

  1. Amazon S3 URL – 다운로드한 CloudFormation 템플릿을 자체 보안 구성을 사용하여 자체 S3 버킷에 업로드합니다. AWS 배포 마법사에서 S3 버킷의 URL을 입력합니다.

  2. 템플릿 파일 업로드 – AWS는 CloudFormation 템플릿이 저장될 S3 버킷을 자동으로 만듭니다. S3 버킷에 대한 자동화에는 S3 buckets should require requests to use Secure Socket Layer 권장 사항이 표시되는 잘못된 보안 구성이 있습니다. 다음 정책을 적용하여 이 권장 사항을 수정할 수 있습니다.

    {  
      "Id": "ExamplePolicy",  
      "Version": "2012-10-17",  
      "Statement": [  
        {  
          "Sid": "AllowSSLRequestsOnly",  
          "Action": "s3:*",  
          "Effect": "Deny",  
          "Resource": [  
            "<S3_Bucket ARN>",  
            "<S3_Bucket ARN>/*"  
          ],  
          "Condition": {  
            "Bool": {  
              "aws:SecureTransport": "false"  
            }  
          },  
          "Principal": "*"  
        }  
      ]  
    }  
    

'클래식' 커넥터 제거

클래식 클라우드 커넥터 환경으로 만든 기존 커넥터가 있는 경우 먼저 제거합니다.

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Defender>환경 설정으로 이동합니다.

  3. 클래식 커넥터 환경으로 다시 전환하는 옵션을 선택합니다.

    Defender for Cloud에서 다시 클래식 클라우드 커넥터 환경으로 전환합니다.

  4. 각 커넥터에 대해 행 끝에 있는 점 3개 단추를 선택하고 삭제를 선택합니다.

  5. AWS에서 역할 ARN 또는 통합용으로 생성된 자격 증명을 삭제합니다.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: 서버용 Microsoft Defender Plan 2가 필요합니다.
필요한 역할 및 권한: 관련 Azure 구독의 소유자
소유자가 서비스 주체 세부 정보를 제공하는 경우에는 기여자를 AWS 계정에 연결할 수도 있습니다.
클라우드: 상용 클라우드
국가(Azure Government, Azure 중국 21Vianet)

AWS 계정 연결

아래 단계에 따라 AWS 클라우드 커넥터를 만듭니다.

1단계: AWS Security Hub 설정:

  1. 여러 영역에 대한 보안 권장 사항을 보려면 관련된 각 지역에 대해 다음 단계를 반복합니다.

    중요

    AWS 관리 계정을 사용하는 경우 다음 세 단계를 반복하여 모든 관련 지역에서 관리 계정 및 연결된 모든 구성원 계정을 구성합니다.

    1. AWS Config를 사용하도록 설정합니다.
    2. AWS Security Hub를 사용하도록 설정합니다.
    3. 데이터가 Security Hub로 전송되는지 확인합니다. 처음으로 Security Hub를 사용하도록 설정하는 경우 데이터를 사용할 수 있기까지 몇 시간이 걸릴 수 있습니다.

2단계. AWS에서 Defender for Cloud에 대한 인증 설정

Defender for Cloud가 AWS에 인증할 수 있도록 허용하는 방법에는 두 가지가 있습니다.

  • Defender for Cloud에 대한 IAM 역할 만들기(권장) - 가장 안전한 방법입니다.
  • Defender for Cloud에 대한 AWS 사용자 - IAM을 사용하도록 설정하지 않을 경우 덜 안전한 옵션입니다.

Defender for Cloud에 대한 IAM 역할 만들기

  1. Amazon Web Services 콘솔의 보안, ID 및 규정 준수에서 IAM을 선택합니다. AWS 서비스.

  2. 역할을 선택하고 역할 만들기를 선택합니다.

  3. 다음 페이지에서 다른 AWS 계정을 선택합니다.

  4. 다음 세부 정보를 입력합니다.

    • 계정 ID - 서버용 Defender의 AWS 커넥터 페이지에 표시된 것처럼 Microsoft 계정 ID(158177204117)를 입력합니다.
    • 필요한 외부 ID - 선택해야 합니다.
    • 외부 ID - Defender for Cloud의 AWS 커넥터 페이지에 표시된 것처럼 구독 ID를 입력합니다.
  5. 다음을 선택합니다.

  6. 권한 정책 연결 섹션에서 다음 AWS 관리형 정책을 선택합니다.

    • SecurityAudit(arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole(arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess(arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. 필요에 따라 태그를 추가합니다. 사용자에게 태그를 추가해도 연결에 영향을 주지 않습니다.

  8. 다음을 선택합니다.

  9. 역할 목록에서, 이전에 생성된 역할을 선택합니다.

  10. 나중에 사용할 수 있도록 ARN(Amazon Resource Name)을 저장합니다.

Defender for Cloud에 대해 AWS 사용자 만들기

  1. 사용자 탭을 열고 사용자 추가를 선택합니다.

  2. 세부 정보 단계에서 Defender for Cloud의 사용자 이름을 입력하고 AWS 액세스 형식으로 프로그래밍 방식 액세스를 선택합니다.

  3. Next Permissions(다음: 권한)를 클릭합니다.

  4. 기존 정책 직접 연결을 선택하고 다음 정책을 적용합니다.

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. 완료되면 다음: 태그를 선택합니다. 필요에 따라 태그를 추가합니다. 사용자에게 태그를 추가해도 연결에 영향을 주지 않습니다.

  6. 검토를 선택합니다.

  7. 나중에 사용할 수 있도록 자동으로 생성된 액세스 키 ID비밀 액세스 키 CSV 파일을 저장합니다.

  8. 요약 정보를 검토하고 사용자 만들기를 선택합니다.

3단계: SSM 에이전트 구성

AWS Systems Manager는 AWS 리소스의 작업을 자동화하는 데 필요합니다. EC2 인스턴스에 SSM 에이전트가 없는 경우 다음과 같은 Amazon의 관련 지침을 따르세요.

4단계. Azure Arc 사전 요구 사항 완료

  1. 적절한 Azure 리소스 공급자가 등록되었는지 확인합니다.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. 대규모 온보딩을 위한 서비스 주체를 만듭니다. 온보딩에 사용하려는 구독의 소유자로서, 대규모 온보딩을 위한 서비스 주체 만들기에 설명된 대로 Azure Arc 온보딩의 서비스 주체를 만듭니다.

5단계. Defender for Cloud에 AWS 연결

  1. Defender for Cloud의 메뉴에서 환경 설정을 열고 클래식 커넥터 환경으로 다시 전환하는 옵션을 선택합니다.

    Defender for Cloud에서 다시 클래식 클라우드 커넥터 환경으로 전환합니다.

  2. AWS 계정 추가를 선택합니다. 클라우드용 Defender의 다중 클라우드 커넥터 페이지에 표시되는 AWS 계정 추가 단추

  3. 다음과 같이 AWS 인증 탭에서 옵션을 구성합니다.

    1. 커넥터의 표시 이름을 입력합니다.
    2. 구독이 올바른지 확인합니다. 커넥터 및 AWS Security Hub 권장 사항을 포함할 구독입니다.
    3. 인증 옵션에 따라 2단계. AWS에서 Defender for Cloud에 대한 인증 설정에서 선택했습니다.
  4. 다음을 선택합니다.

  5. Azure Arc 구성 탭에서 옵션을 구성합니다.

    Defender for Cloud는 연결된 AWS 계정에서 EC2 인스턴스를 검색하고 SSM을 사용하여 Azure Arc에 온보딩합니다.

    지원되는 운영 체제 목록은 FAQ에서 내 EC2 인스턴스에 어떤 운영 체제가 지원되나요?를 참조하세요.

    1. 선택한 구독에서 검색된 AWS EC2를 온보딩할 리소스 그룹Azure 지역을 선택합니다.

    2. 대규모 온보딩을 위한 서비스 주체 만들기에 설명된 대로 서비스 주체 ID 및 Azure Arc에 대한 서비스 주체 클라이언트 암호를 입력합니다.

    3. 머신이 프록시 서버를 통해 인터넷에 연결하는 경우 해당 머신이 프록시 서버와 통신하는 데 사용할 프록시 서버 IP 주소 또는 이름과 포트 번호를 지정합니다. 해당 값을 http://<proxyURL>:<proxyport> 형식으로 입력합니다.

    4. 검토 + 만들기를 선택합니다.

      요약 정보 검토

      Azure에서 쉽게 알아볼 수 있도록 태그 섹션에는 온보딩된 각 EC2에 대해 자동으로 생성되는 모든 Azure 태그와 관련 세부 정보가 나열됩니다.

      Azure 태그에 대한 자세한 내용은 태그를 사용하여 Azure 리소스 및 관리 계층 구조 구성을 참조하세요.

6단계. 확인

커넥터가 성공적으로 생성되고 AWS Security Hub가 올바르게 구성된 경우:

  • Defender for Cloud는 환경에서 AWS EC2 인스턴스를 검색하여 Azure Arc에 온보딩함으로써 Log Analytics 에이전트를 설치할 수 있게 해주고 위협 방지 및 보안 권장 사항을 제공합니다.
  • Defender for Cloud 서비스는 6시간마다 새 AWS EC2 인스턴스를 검색하고 구성에 따라 온보딩합니다.
  • AWS CIS 표준이 Defender for Cloud의 규정 준수 대시보드에 표시됩니다.
  • Security Hub 정책을 사용하도록 설정하면 온보딩이 완료되고 5~10분 후에 클라우드용 Defender 포털과 규정 준수 대시보드에 권장 사항이 표시됩니다.

Defender for Cloud의 권장 사항 페이지에 표시되는 AWS 리소스 및 권장 사항

AWS 리소스 모니터링

이전 스크린샷에서 볼 수 있듯이, Defender for Cloud의 보안 권장 사항 페이지에는 AWS 리소스가 표시됩니다. 환경 필터를 사용하여 클라우드용 Defender의 다중 클라우드 기능을 이용할 수 있습니다. Azure, AWS 및 GCP 리소스에 대한 권장 사항을 함께 볼 수 있습니다.

리소스 종류별로 리소스에 대한 모든 활성 권장 사항을 보려면 Defender for Cloud의 자산 인벤토리 페이지를 사용하여 관심 있는 AWS 리소스 종류로 필터링합니다.

AWS 옵션을 보여 주는 자산 인벤토리 페이지의 리소스 종류 필터 스크린샷.

FAQ - Defender for Cloud의 AWS

EC2 인스턴스를 지원하는 운영 체제는 무엇인가요?

SSM 에이전트가 미리 설치된 AMI 목록은 AWS 문서에서 이 페이지를 참조하세요.

다른 운영 체제의 경우 다음 안내에 따라 SSM 에이전트를 수동으로 설치해야 합니다.

CSPM 계획의 경우 AWS 리소스를 검색하는 데 필요한 IAM 권한은 무엇인가요?

AWS 리소스를 검색하려면 다음 IAM 사용 권한이 필요합니다.

DataCollector AWS 사용 권한
API Gateway apigateway:GET
애플리케이션 자동 크기 조정 application-autoscaling:Describe*
자동 크기 조정 autoscaling-plans:Describe*
autoscaling:Describe*
인증서 관리자 acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch 로그 logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
구성 서비스 config:Describe*
config:List*
DMS – 데이터베이스 마이그레이션 서비스 dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – 탄력적 부하 분산(v1/2) elasticloadbalancing:Describe*
탄력적 검색 es:Describe*
es:List*
EMR – 탄력적 맵 리듀스 elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
네트워크 방화벽 network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 및 S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
비밀 관리자 secretsmanager:Describe*
secretsmanager:List*
단순 알림 서비스 – SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

자세한 정보

다음 블로그를 확인할 수 있습니다.

다음 단계

AWS 계정 연결은 클라우드용 Microsoft Defender에서 사용할 수 있는 다중 클라우드 환경의 일부입니다. 관련 정보는 다음 페이지를 참조하세요.