Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt

Amazon Web Services is een IaaS-provider waarmee uw organisatie de volledige workloads in de cloud kan hosten en beheren. Naast de voordelen van het gebruik van infrastructuur in de cloud, kunnen de belangrijkste assets van uw organisatie worden blootgesteld aan bedreigingen. Blootgestelde assets omvatten opslagexemplaren met mogelijk gevoelige informatie, rekenresources die enkele van uw meest kritieke toepassingen, poorten en virtuele particuliere netwerken gebruiken die toegang tot uw organisatie mogelijk maken.

Verbinding maken AWS te Defender voor Cloud Apps helpt u bij het beveiligen van uw assets en het detecteren van mogelijke bedreigingen door beheer- en aanmeldingsactiviteiten te controleren, op de hoogte te stellen van mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegd gebruikersaccount, ongebruikelijke verwijderingen van VM's en openbaar blootgestelde opslagbuckets.

Belangrijkste bedreigingen

• Misbruik van cloudresources
• Gecompromitteerde accounts en bedreigingen van insiders
• Gegevenslekken
• Onjuiste configuratie van resources en onvoldoende toegangsbeheer

Hoe Defender voor Cloud Apps uw omgeving helpt beschermen

• Cloudbedreigingen, gecompromitteerde accounts en kwaadwillende insiders detecteren
• Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
• Het audittrail van activiteiten voor forensisch onderzoek gebruiken

AWS beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om u te detecteren en op de hoogte te stellen van mogelijke bedreigingen:

Type	Naam
Sjabloon voor activiteitenbeleid	aanmeldingsfouten Beheer console CloudTrail-configuratiewijzigingen Configuratiewijzigingen voor EC2-exemplaren Wijzigingen in IAM-beleid Aanmelding vanaf een riskant IP-adres Wijzigingen in de lijst met netwerktoegangsbeheer (ACL's) Wijzigingen in de netwerkgateway Activiteit van S3-bucket Configuratiewijzigingen van beveiligingsgroepen Wijzigingen in virtueel particulier netwerk
Ingebouwd beleid voor anomaliedetectie	Activiteit van anonieme IP-adressen Activiteit van onregelmatig land Activiteit van verdachte IP-adressen Onmogelijke reis Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP) Meerdere mislukte aanmeldingspogingen Ongebruikelijke administratieve activiteiten Ongebruikelijke activiteiten voor meerdere opslagverwijderingen (preview) Meerdere VM-activiteiten verwijderen Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview) Ongebruikelijke regio voor cloudresource (preview)
Sjabloon voor bestandsbeleid	S3-bucket is openbaar toegankelijk

Zie Een beleid maken voor meer informatie over het maken van beleid.

Besturingselementen voor governance automatiseren

Naast het bewaken van mogelijke bedreigingen, kunt u de volgende AWS-beheeracties toepassen en automatiseren om gedetecteerde bedreigingen te verhelpen:

Type	Actie
Gebruikersbeheer	- Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra-id) - Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID) - Gebruiker onderbreken (via Microsoft Entra-id)
Gegevens-governance	- Een S3-bucket privé maken - Een samenwerker voor een S3-bucket verwijderen

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

AWS in realtime beveiligen

Bekijk onze aanbevolen procedures voor het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

Verbinding maken Amazon Web Services om apps te Microsoft Defender voor Cloud

In deze sectie vindt u instructies voor het verbinden van uw bestaande AWS-account (Amazon Web Services) met Microsoft Defender voor Cloud Apps met behulp van de connector-API's. Zie AWS beveiligen voor meer informatie over hoe Defender voor Cloud Apps AWS beveiligt.

U kunt AWS Security Auditing verbinden met Defender voor Cloud Apps-verbindingen om inzicht te krijgen in en controle te krijgen over het gebruik van AWS-apps.

Stap 1: Amazon Web Services-controle configureren

1. Selecteer IAM in uw Amazon Web Services-console onder Beveiliging, Identiteit en naleving.

   

2. Selecteer Gebruikers en selecteer vervolgens Gebruiker toevoegen.

   

3. Geef in de stap Details een nieuwe gebruikersnaam op voor Defender voor Cloud Apps. Zorg ervoor dat u onder Access-type programmatische toegang selecteert en volgende machtigingen selecteert.

   

4. Selecteer Bestaande beleidsregels rechtstreeks bijvoegen en vervolgens Beleid maken.

   

5. Selecteer het JSON-tabblad:

   

6. Plak het volgende script in het opgegeven gebied:

   {
     "Version" : "2012-10-17",
     "Statement" : [{
         "Action" : [
           "cloudtrail:DescribeTrails",
           "cloudtrail:LookupEvents",
           "cloudtrail:GetTrailStatus",
           "cloudwatch:Describe*",
           "cloudwatch:Get*",
           "cloudwatch:List*",
           "iam:List*",
           "iam:Get*",
           "s3:ListAllMyBuckets",
           "s3:PutBucketAcl",
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Effect" : "Allow",
         "Resource" : "*"
       }
     ]
    }
   

7. Selecteer Volgende: Tags

   

8. Selecteer Volgende: Controleren.

   

9. Geef een naam op en selecteer Beleid maken.

   

10. In het scherm Gebruiker toevoegen vernieuwt u indien nodig de lijst en selecteert u de gebruiker die u hebt gemaakt en selecteert u Volgende: Tags.

    

11. Selecteer Volgende: Controleren.

12. Als alle details juist zijn, selecteert u Gebruiker maken.

    

13. Wanneer u het bericht met succes krijgt, selecteert u Downloaden .csv om een kopie van de referenties van de nieuwe gebruiker op te slaan. U hebt deze later nodig.

    

    Notitie

    Nadat u verbinding hebt gemaakt met AWS, ontvangt u gebeurtenissen gedurende zeven dagen voorafgaand aan de verbinding. Als u CloudTrail zojuist hebt ingeschakeld, ontvangt u gebeurtenissen vanaf het moment dat u CloudTrail hebt ingeschakeld.

Stap 2: controle van Amazon Web Services Verbinding maken om apps te Defender voor Cloud

1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps.

2. Voer op de pagina App-connector s de referenties van de AWS-connector op een van de volgende manieren uit:

   Voor een nieuwe connector

   1. Selecteer de +Verbinding maken een app, gevolgd door Amazon Web Services.

      

   2. Geef in het volgende venster een naam op voor de connector en selecteer vervolgens Volgende.

      

   3. Selecteer op de pagina Verbinding maken Amazon Web Services de optie Beveiliging controleren en selecteer vervolgens Volgende.

   4. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      

   Voor een bestaande connector

   1. Selecteer instellingen bewerken in de lijst met connectors in de rij waarin de AWS-connector wordt weergegeven.

      

   2. Selecteer Volgende op de pagina's exemplaarnaam en Verbinding maken Amazon Web Services. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      

3. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps. Zorg ervoor dat de status van de verbonden app-Verbinding maken or is Verbinding maken.

Volgende stappen

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.