Deze handleiding laat zien hoe Microsoft Defender voor Cloud Apps en Microsoft Sentinel kunnen helpen bij het beveiligen en beveiligen van AWS-accounts (Amazon Web Services) en omgevingen.
AWS-organisaties die gebruikmaken van Microsoft Entra ID voor Microsoft 365 of hybride cloudidentiteit en toegangsbeveiliging, kunnen Microsoft Entra ID voor AWS-accounts snel en eenvoudig implementeren, vaak zonder extra kosten.
Architectuur
In dit diagram wordt samengevat hoe AWS-installaties kunnen profiteren van belangrijke Microsoft-beveiligingsonderdelen:
Download een PowerPoint-bestand van deze architectuur.
Workflow
Microsoft Entra ID biedt gecentraliseerde eenmalige aanmelding (SSO) en sterke verificatie via meervoudige verificatie en de functie voor voorwaardelijke toegang. Microsoft Entra ID ondersteunt op rollen gebaseerde AWS-identiteiten en autorisatie voor toegang tot AWS-resources. Zie Microsoft Entra-identiteits- en toegangsbeheer voor AWS voor meer informatie en gedetailleerde instructies. Microsoft Entra-machtigingsbeheer is een CIEM-product (Cloud Infrastructure Entitlement Management) dat uitgebreide zichtbaarheid en controle biedt over machtigingen voor elke AWS-identiteit of -resource. U kunt Microsoft Entra-machtigingsbeheer gebruiken om het volgende te doen:
- Krijg een multidimensionale weergave van uw risico door identiteiten, machtigingen en resources te beoordelen.
- Automatiseer het afdwingen van het beleid met minimale bevoegdheden in uw volledige infrastructuur voor meerdere clouds.
- Gebruik anomalie- en uitbijterdetectie om gegevensschendingen te voorkomen die worden veroorzaakt door misbruik en schadelijke exploitatie van machtigingen.
Zie Een AwS-account (Amazon Web Services) onboarden voor meer informatie en gedetailleerde instructies voor onboarding.
Defender voor Cloud Apps:
- Integreert met de functie Voorwaardelijke toegang van Microsoft Entra om aanvullende beperkingen af te dwingen.
- Helpt bij het bewaken en beveiligen van sessies na aanmelding.
- Maakt gebruik van analyse van gebruikersgedrag (UBA) en andere AWS-API's om sessies en gebruikers te bewaken en informatiebeveiliging te ondersteunen.
Microsoft Defender voor Cloud geeft AWS-beveiligingsaanvelingen weer in de Defender voor Cloud-portal, samen met Azure-aanbevelingen. Defender voor Cloud biedt meer dan 160 out-of-the-box-aanbevelingen voor IaaS-services (Infrastructure as a Service) en PaaS-services (Platform as a Service). Het biedt ook ondersteuning voor regelgevingsstandaarden, waaronder PCI-standaarden (Center for Internet Security) en payment card industry (PCI) en voor de AWS Foundational Security Best Practices-standaard. Defender voor Cloud biedt ook cloudworkloadbeveiliging (CWP) voor Amazon EKS-clusters, AWS EC2-exemplaren en SQL-servers die worden uitgevoerd op AWS EC2.
Microsoft Sentinel kan worden geïntegreerd met Defender voor Cloud Apps en AWS om bedreigingen te detecteren en automatisch te reageren. Microsoft Sentinel bewaakt de AWS-omgeving op onjuiste configuratie, mogelijke malware en geavanceerde bedreigingen voor AWS-identiteiten, apparaten, toepassingen en gegevens.
Onderdelen
- Microsoft Defender voor Cloud-apps
- Microsoft Defender voor Cloud
- Microsoft Sentinel
- Microsoft Entra-id
Defender voor Cloud Apps voor zichtbaarheid en beheer
Wanneer meerdere gebruikers of rollen beheerwijzigingen aanbrengen, kan een gevolg zijn van configuratiedrift van de beoogde beveiligingsarchitectuur en -standaarden. Beveiligingsstandaarden kunnen ook na verloop van tijd veranderen. Beveiligingspersoneel moet voortdurend en consistent nieuwe risico's detecteren, risicobeperkingsopties evalueren en beveiligingsarchitectuur bijwerken om potentiële schendingen te voorkomen. Beveiligingsbeheer in meerdere openbare cloud- en privéinfrastructuuromgevingen kan lastig worden.
Defender voor Cloud Apps is een CASB-platform (Cloud Access Security Broker) met CSPM-mogelijkheden (Cloud Security Posture Management). Defender voor Cloud Apps kunnen verbinding maken met meerdere cloudservices en toepassingen om beveiligingslogboeken te verzamelen, gebruikersgedrag te bewaken en beperkingen op te leggen die de platforms zelf mogelijk niet bieden.
Defender voor Cloud Apps biedt verschillende mogelijkheden die kunnen worden geïntegreerd met AWS voor onmiddellijke voordelen:
- De Defender voor Cloud Apps-app-connector maakt gebruik van verschillende AWS-API's, waaronder UBA, om te zoeken naar configuratieproblemen en bedreigingen op het AWS-platform.
- AWS-toegangsbeheer kan aanmeldingsbeperkingen afdwingen die zijn gebaseerd op toepassing, apparaat, IP-adres, locatie, geregistreerde internetprovider en specifieke gebruikerskenmerken.
- Sessiebesturingselementen voor AWS blokkeren potentiële malware-uploads of downloads op basis van Microsoft Defender-bedreigingsinformatie of realtime inhoudsinspectie.
- Sessiebesturingselementen kunnen ook realtime inhoudsinspectie en detectie van gevoelige gegevens gebruiken om regels voor preventie van gegevensverlies (DLP) op te leggen die knippen, kopiëren, plakken of afdrukbewerkingen voorkomen.
Defender voor Cloud Apps is zelfstandig beschikbaar of als onderdeel van Microsoft Enterprise Mobility + Security E5, waaronder Microsoft Entra ID P2. Zie Enterprise Mobility + Security-prijsopties voor informatie over prijzen en licenties.
Defender voor Cloud voor CSPM- en CWP-platformen (CWPP)
Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen. Defender voor Cloud helpt workloads in Azure, AWS en Google Cloud Platform (GCP) te beveiligen.
Defender voor Cloud biedt een verbinding zonder agent met uw AWS-account. Defender voor Cloud biedt ook plannen om uw AWS-resources te beveiligen:
- Op de Defender voor Cloud overzichtspagina worden metrische gegevens, waarschuwingen en inzichten van CSPM weergegeven. Defender voor Cloud beoordeelt uw AWS-resources op basis van AWS-specifieke beveiligingsaanbevelingen en neemt uw beveiligingspostuur op in uw beveiligingsscore. De assetinventaris biedt één plek om al uw beveiligde AWS-resources weer te geven. Het dashboard naleving van regelgeving weerspiegelt de status van uw naleving van ingebouwde standaarden die specifiek zijn voor AWS. Voorbeelden hiervan zijn AWS CIS-standaarden, PCI-gegevensbeveiligingsstandaarden (PCI-DSS) en de STANDAARD AWS Foundational Security Best Practices.
- Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar ondersteunde Exemplaren van Windows en Linux EC2.
- Microsoft Defender for Containers brengt bedreigingsdetectie en geavanceerde verdediging naar ondersteunde Amazon EKS-clusters.
- Microsoft Defender voor SQL brengt bedreigingsdetectie en geavanceerde verdediging naar uw SQL-servers die worden uitgevoerd op AWS EC2 en AWS RDS Custom voor SQL Server.
Microsoft Sentinel voor geavanceerde detectie van bedreigingen
Bedreigingen kunnen afkomstig zijn van een breed scala aan apparaten, toepassingen, locaties en gebruikerstypen. DLP vereist het controleren van inhoud tijdens het uploaden of downloaden, omdat post-mortembeoordeling mogelijk te laat is. AWS beschikt niet over systeemeigen mogelijkheden voor apparaat- en toepassingsbeheer, op risico gebaseerde voorwaardelijke toegang, op sessies gebaseerde besturingselementen of inline-UBA.
Het is essentieel dat beveiligingsoplossingen de complexiteit verminderen en uitgebreide beveiliging bieden, ongeacht of resources zich in meerdere clouds, on-premises of hybride omgevingen bevinden. Defender voor Cloud biedt CSPM en CWP. Defender voor Cloud identificeert zwakke plekken in de configuratie in AWS om uw algehele beveiligingspostuur te versterken. Het helpt ook bescherming tegen bedreigingen te bieden voor Amazon EKS Linux-clusters, AWS EC2-exemplaren en SQL-servers in AWS EC2.
Microsoft Sentinel is een SOAR-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR) waarmee bedreigingsdetectie en -responsautomatisering voor moderne beveiligingsbewerkingen worden gecentraliseerd en gecoördineerd. Microsoft Sentinel kan AWS-accounts bewaken om gebeurtenissen te vergelijken tussen meerdere firewalls, netwerkapparaten en servers. Microsoft Sentinel combineert bewakingsgegevens met bedreigingsinformatie, analyseregels en machine learning om geavanceerde aanvalstechnieken te detecteren en erop te reageren.
U kunt AWS en Defender voor Cloud Apps verbinden met Microsoft Sentinel. Vervolgens ziet u Defender voor Cloud Apps-waarschuwingen en voert u extra bedreigingscontroles uit die gebruikmaken van meerdere Defender Threat Intelligence-feeds. Microsoft Sentinel kan een gecoördineerd antwoord starten dat zich buiten Defender voor Cloud Apps bevindt. Microsoft Sentinel kan ook worden geïntegreerd met ITSM-oplossingen (IT Service Management) en gegevens op lange termijn bewaren voor nalevingsdoeleinden.
Scenariodetails
Microsoft biedt verschillende beveiligingsoplossingen waarmee AWS-accounts en -omgevingen kunnen worden beveiligd en beschermd.
Andere Microsoft-beveiligingsonderdelen kunnen worden geïntegreerd met Microsoft Entra ID om extra beveiliging te bieden voor AWS-accounts:
- Defender voor Cloud Apps maakt een back-up van Microsoft Entra ID met sessiebeveiliging en bewaking van gebruikersgedrag.
- Defender voor Cloud biedt beveiliging tegen bedreigingen voor AWS-workloads. Het helpt ook proactief de beveiliging voor AWS-omgevingen te versterken en maakt gebruik van een benadering zonder agents om verbinding te maken met deze omgevingen.
- Microsoft Sentinel kan worden geïntegreerd met Microsoft Entra ID en Defender voor Cloud Apps om bedreigingen te detecteren en automatisch te reageren op AWS-omgevingen.
Deze Microsoft-beveiligingsoplossingen zijn uitbreidbaar en bieden meerdere beveiligingsniveaus. U kunt een of meer van deze oplossingen samen met andere soorten beveiliging implementeren voor een architectuur met volledige beveiliging waarmee u de huidige en toekomstige AWS-implementaties kunt beveiligen.
Potentiële gebruikscases
Dit artikel bevat AWS-identiteitsarchitecten, beheerders en beveiligingsanalisten met onmiddellijke inzichten en gedetailleerde richtlijnen voor het implementeren van verschillende Microsoft-beveiligingsoplossingen.
Aanbevelingen
Houd rekening met de volgende punten wanneer u een beveiligingsoplossing ontwikkelt.
Aanbevelingen voor beveiliging
De volgende principes en richtlijnen zijn belangrijk voor elke cloudbeveiligingsoplossing:
- Zorg ervoor dat de organisatie gebruikers- en programmatische toegang tot cloudomgevingen kan bewaken, detecteren en automatisch kan beveiligen.
- Controleer voortdurend huidige accounts om identiteits- en machtigingsbeheer en controle te garanderen.
- Volg minimale bevoegdheden en nul vertrouwensprincipes . Zorg ervoor dat gebruikers alleen toegang hebben tot de specifieke resources die ze nodig hebben, van vertrouwde apparaten en bekende locaties. Verminder de machtigingen van elke beheerder en ontwikkelaar om alleen de rechten te bieden die ze nodig hebben voor de rol die ze uitvoeren. Controleer regelmatig.
- Controleer voortdurend wijzigingen in de platformconfiguratie, met name als ze mogelijkheden bieden voor escalatie van bevoegdheden of aanvalspersistentie.
- Voorkom niet-geautoriseerde gegevensexfiltratie door inhoud actief te inspecteren en te beheren.
- Profiteer van oplossingen die u mogelijk al hebt, zoals Microsoft Entra ID P2, die de beveiliging zonder extra kosten kunnen verhogen.
Basisbeveiliging van AWS-account
Om basisbeveiligingscontroles voor AWS-accounts en -resources te garanderen:
- Bekijk de richtlijnen voor AWS-beveiliging bij best practices voor het beveiligen van AWS-accounts en -resources.
- Verminder het risico op het uploaden en downloaden van malware en andere schadelijke inhoud door alle gegevensoverdrachten actief te inspecteren via de AWS Management Console. Inhoud die u rechtstreeks uploadt of downloadt naar resources binnen het AWS-platform, zoals webservers of databases, heeft mogelijk extra beveiliging nodig.
- Overweeg de toegang tot andere resources te beveiligen, waaronder:
- Resources die zijn gemaakt binnen het AWS-account.
- Specifieke workloadplatforms, zoals Windows Server, Linux Server of containers.
- Apparaten die beheerders en ontwikkelaars gebruiken voor toegang tot de AWS-beheerconsole.
Dit scenario implementeren
Voer de stappen in de volgende secties uit om een beveiligingsoplossing te implementeren.
Plannen en voorbereiden
Bekijk en noteer de huidige AWS- en Microsoft Entra-accountgegevens om de implementatie van Azure-beveiligingsoplossingen voor te bereiden. Als u meer dan één AWS-account hebt geïmplementeerd, herhaalt u deze stappen voor elk account.
Noteer in de AWS Billing Management-console de volgende huidige AWS-accountgegevens:
- AWS-account-id, een unieke id
- Accountnaam of hoofdgebruiker
- Betalingswijze, ongeacht of deze is toegewezen aan een creditcard of een factureringsovereenkomst van een bedrijf
- Alternatieve contactpersonen die toegang hebben tot AWS-accountgegevens
- Beveiligingsvragen, veilig bijgewerkt en vastgelegd voor toegang tot noodgevallen
- AWS-regio's die zijn ingeschakeld of uitgeschakeld om te voldoen aan het beleid voor gegevensbeveiliging
Controleer in Azure Portal de Microsoft Entra-tenant:
- Evalueer tenantgegevens om te zien of de tenant een Microsoft Entra ID P1- of P2-licentie heeft. Een P2-licentie biedt geavanceerde functies voor Identiteitsbeheer van Microsoft Entra.
- Evalueer Bedrijfstoepassingen om te zien of bestaande toepassingen gebruikmaken van het AWS-toepassingstype, zoals wordt weergegeven
http://aws.amazon.com/
in de kolom Startpagina-URL .
Defender voor Cloud-apps implementeren
Nadat u het centrale beheer en de sterke verificatie hebt geïmplementeerd die moderne identiteits- en toegangsbeheer vereisen, kunt u Defender voor Cloud Apps implementeren op:
- Verzamel beveiligingsgegevens en voer bedreigingsdetecties uit voor AWS-accounts.
- Implementeer geavanceerde besturingselementen om risico's te beperken en gegevensverlies te voorkomen.
Ga als volgende te werk om Defender voor Cloud-apps te implementeren:
- Voeg een Defender voor Cloud Apps-app-connector toe voor AWS.
- Configureer Defender voor Cloud Apps-bewakingsbeleid voor AWS-activiteiten.
- Maak een bedrijfstoepassing voor eenmalige aanmelding bij AWS.
- Maak een app-beheertoepassing voor voorwaardelijke toegang in Defender voor Cloud Apps.
- Configureer Microsoft Entra-sessiebeleid voor AWS-activiteiten.
- Test Defender voor Cloud Apps-beleid voor AWS.
Een AWS-app-connector toevoegen
Vouw Onderzoeken uit in de Defender voor Cloud Apps-portal en selecteer vervolgens Verbinding maken ed apps.
Selecteer op de pagina App-connector s het plusteken (+) en selecteer vervolgens Amazon Web Services in de lijst.
Gebruik een unieke naam voor de connector. Neem in de naam een id op voor het bedrijf en een specifiek AWS-account, bijvoorbeeld Contoso-AWS-Account1.
Volg de instructies in Verbinding maken AWS om apps te Microsoft Defender voor Cloud om een geschikte AWS-gebruiker (Identity and Access Management) te maken.
- Definieer een beleid voor beperkte machtigingen.
- Maak een serviceaccount om deze machtigingen te gebruiken namens de Defender voor Cloud Apps-service.
- Geef de referenties op voor de app-connector.
De tijd die nodig is om de eerste verbinding tot stand te brengen, is afhankelijk van de logboekgrootten van het AWS-account. Wanneer de verbinding is voltooid, ziet u een bevestiging van de verbinding:
App-bewakingsbeleid configureren Defender voor Cloud voor AWS-activiteiten
Nadat u de app-connector hebt ingeschakeld, worden in Defender voor Cloud Apps nieuwe sjablonen en opties weergegeven in de opbouwfunctie voor beleidsconfiguraties. U kunt beleidsregels rechtstreeks vanuit de sjablonen maken en wijzigen voor uw behoeften. U kunt ook een beleid ontwikkelen zonder de sjablonen te gebruiken.
Beleidsregels implementeren met behulp van de sjablonen:
Vouw in het linkernavigatievenster van Defender voor Cloud Apps Het besturingselement uit en selecteer vervolgens Sjablonen.
Zoek naar aws en bekijk de beschikbare beleidssjablonen voor AWS.
Als u een sjabloon wilt gebruiken, selecteert u het plusteken (+) rechts van het sjabloonitem.
Elk beleidstype heeft verschillende opties. Controleer de configuratie-instellingen en sla het beleid op. Herhaal deze stap voor elke sjabloon.
Als u bestandsbeleid wilt gebruiken, moet u ervoor zorgen dat de instelling voor bestandsbewaking is ingeschakeld in Defender voor Cloud Apps-instellingen:
Wanneer Defender voor Cloud Apps waarschuwingen detecteert, worden deze weergegeven op de pagina Waarschuwingen in de portal Defender voor Cloud Apps:
Een bedrijfstoepassing maken voor eenmalige aanmelding bij AWS
Volg de instructies in Tutorial: Eenmalige aanmelding van Microsoft Entra integreren met eenmalige aanmelding van AWS om een bedrijfstoepassing te maken voor eenmalige aanmelding bij AWS. Hier volgt een samenvatting van de procedure:
- Voeg AWS SSO toe vanuit de galerie.
- Eenmalige aanmelding van Microsoft Entra voor AWS SSO configureren en testen:
- Eenmalige aanmelding voor Microsoft Entra configureren.
- Eenmalige aanmelding voor AWS configureren.
- Maak een AWS SSO-testgebruiker.
- Eenmalige aanmelding testen.
Een app-beheertoepassing voor voorwaardelijke toegang maken in Defender voor Cloud Apps
Ga naar de Defender voor Cloud Apps-portal, selecteer Onderzoeken en selecteer vervolgens Verbinding maken ed apps.
Selecteer Apps voor app-beheer voor voorwaardelijke toegang en selecteer vervolgens Toevoegen.
Voer in het vak Zoeken naar een app Amazon Web Services in en selecteer vervolgens de toepassing. Selecteer de wizard Start.
Selecteer Gegevens handmatig invullen. Voer de URL-waarde voor de Assertion Consumer Service in die wordt weergegeven in de volgende schermopname en selecteer Vervolgens.
Negeer op de volgende pagina de externe configuratiestappen . Selecteer Volgende.
Selecteer Gegevens handmatig invullen en voer vervolgens de volgende stappen uit om de gegevens in te voeren:
- Voer onder Service-URL voor eenmalige aanmelding de aanmeldings-URL-waarde in voor de bedrijfstoepassing die u hebt gemaakt voor AWS.
- Selecteer Bladeren onder Het SAML-certificaat van de id-provider uploaden.
- Zoek het certificaat voor de bedrijfstoepassing die u hebt gemaakt.
- Download het certificaat naar uw lokale apparaat en upload het vervolgens naar de wizard.
- Selecteer Volgende.
Negeer op de volgende pagina de externe configuratiestappen . Selecteer Volgende.
Negeer op de volgende pagina de externe configuratiestappen . Selecteer Voltooien.
Negeer op de volgende pagina de stappen uw instellingen controleren. Selecteer Sluiten.
Microsoft Entra-sessiebeleid configureren voor AWS-activiteiten
Sessiebeleid is een krachtige combinatie van beleid voor voorwaardelijke toegang van Microsoft Entra en de mogelijkheid voor omgekeerde proxy van Defender voor Cloud Apps. Deze beleidsregels bieden realtime bewaking en controle van verdacht gedrag.
Maak in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang met de volgende instellingen:
- Voer onder Naam AWS Console – Sessiebesturingselementen in.
- Selecteer onder Gebruikers en groepen de twee rollengroepen die u eerder hebt gemaakt:
- AWS-Account1-Beheer istrators
- AWS-Account1-Developers
- Selecteer onder Cloud-apps of -acties de bedrijfstoepassing die u eerder hebt gemaakt, zoals Contoso-AWS-Account 1.
- Selecteer Onder Sessie de optie App-beheer voor voorwaardelijke toegang gebruiken.
Selecteer onder Beleid inschakelen de optie Aan.
Selecteer Maken.
Nadat u het beleid voor voorwaardelijke toegang van Microsoft Entra hebt gemaakt, stelt u een Defender voor Cloud Apps-sessiebeleid in om het gebruikersgedrag tijdens AWS-sessies te beheren.
Vouw In de portal Defender voor Cloud Apps het besturingselement uit en selecteer vervolgens Beleid.
Selecteer beleid maken op de pagina Beleid en selecteer vervolgens Sessiebeleid in de lijst.
Selecteer op de pagina Sessiebeleid maken onder Beleidssjabloon het uploaden van potentiële malware blokkeren (op basis van Microsoft Threat Intelligence).
Wijzig onder Activiteiten die overeenkomen met het volgende het activiteitsfilter om App, gelijk aan en Amazon Web Services op te nemen. Verwijder de standaardselectie van het apparaat.
Controleer de andere instellingen en selecteer Vervolgens Maken.
Beleid voor Defender voor Cloud-apps voor AWS testen
Test regelmatig alle beleidsregels om ervoor te zorgen dat ze nog steeds effectief en relevant zijn. Hier volgen enkele aanbevolen tests:
Wijzigingen in het IAM-beleid: dit beleid wordt telkens geactiveerd wanneer u probeert de instellingen in AWS IAM te wijzigen. Wanneer u bijvoorbeeld de procedure verderop in deze implementatiesectie volgt om een nieuw IAM-beleid en -account te maken, ziet u een waarschuwing.
Aanmeldingsfouten in de console: mislukte pogingen om zich aan te melden bij een van de testaccounts activeren dit beleid. De waarschuwingsdetails laten zien dat de poging afkomstig is van een van de regionale Azure-datacenters.
Activiteitenbeleid voor S3-buckets: wanneer u probeert een nieuw AWS S3-opslagaccount te maken en dit in te stellen op openbaar beschikbaar, activeert u dit beleid.
Beleid voor malwaredetectie: Als u malwaredetectie configureert als sessiebeleid, kunt u dit testen door de volgende stappen uit te voeren:
- Download een veilig testbestand van het Europees Instituut voor Computer Anti-Virus Research (EICAR).
- Probeer dat bestand te uploaden naar een AWS S3-opslagaccount.
Het beleid blokkeert de uploadpoging onmiddellijk en er wordt een waarschuwing weergegeven in de Defender voor Cloud Apps-portal.
Defender voor Cloud implementeren
U kunt een systeemeigen cloudconnector gebruiken om een AWS-account te verbinden met Defender voor Cloud. De connector biedt een verbinding zonder agent met uw AWS-account. U kunt deze verbinding gebruiken om CSPM-aanbevelingen te verzamelen. Met behulp van Defender voor Cloud-plannen kunt u uw AWS-resources beveiligen met CWP.
Als u uw op AWS gebaseerde resources wilt beveiligen, voert u deze stappen uit, die in de volgende secties gedetailleerd worden beschreven:
- Verbinding maken een AWS-account.
- Aws bewaken.
Verbinding maken met uw AWS-account
Voer de volgende stappen uit om uw AWS-account te verbinden met Defender voor Cloud met behulp van een systeemeigen connector:
Bekijk de vereisten voor het verbinden van een AWS-account. Zorg ervoor dat u deze voltooit voordat u verdergaat.
Als u klassieke connectors hebt, verwijdert u deze door de stappen in Klassieke connectors verwijderen uit te voeren. Het gebruik van zowel de klassieke als systeemeigen connectors kan dubbele aanbevelingen opleveren.
Meld u aan bij de Azure-portal.
Selecteer Microsoft Defender voor Cloud en selecteer vervolgens Omgevingsinstellingen.
Selecteer Omgeving toevoegen>Amazon Web Services.
Voer de details van het AWS-account in, inclusief de opslaglocatie van de connectorresource. Selecteer eventueel beheeraccount om een connector voor een beheeraccount te maken. Verbinding maken ors worden gemaakt voor elk lidaccount dat wordt gedetecteerd onder het opgegeven beheeraccount. Automatische inrichting is ingeschakeld voor alle nieuw voorbereide accounts.
Selecteer Volgende: Selecteer plannen.
Het serversplan is standaard ingeschakeld. Deze instelling is nodig om de dekking van Defender for Servers uit te breiden naar uw AWS EC2. Zorg ervoor dat u voldoet aan de netwerkvereisten voor Azure Arc. Als u de configuratie wilt bewerken, selecteert u Configureren.
Het containersplan is standaard ingeschakeld. Deze instelling is nodig om Defender for Containers-beveiliging te hebben voor uw AWS EKS-clusters. Zorg ervoor dat u voldoet aan de netwerkvereisten voor het Defender for Containers-plan. Als u de configuratie wilt bewerken, selecteert u Configureren. Als u deze configuratie uitschakelt, wordt de functie voor detectie van bedreigingen voor het besturingsvlak uitgeschakeld. Als u een lijst met functies wilt weergeven, raadpleegt u de beschikbaarheid van functies van Defender for Containers.
Het databasesplan is standaard ingeschakeld. Deze instelling is nodig om Defender voor SQL-dekking uit te breiden naar uw AWS EC2 en RDS Custom voor SQL Server. Als u de configuratie wilt bewerken, selecteert u Configureren. U wordt aangeraden de standaardconfiguratie te gebruiken.
Selecteer Volgende: Toegang configureren.
Download de CloudFormation-sjabloon.
Volg de instructies op het scherm om de gedownloade CloudFormation-sjabloon te gebruiken om de stack te maken in AWS. Als u een beheeraccount onboardt, moet u de CloudFormation-sjabloon uitvoeren als Stack en als StackSet. Verbinding maken ors worden binnen 24 uur na onboarding voor de lidaccounts gemaakt.
Selecteer Volgende: Controleren en genereren.
Selecteer Maken.
Defender voor Cloud begint onmiddellijk met het scannen van uw AWS-resources. Binnen een paar uur ziet u aanbevelingen voor beveiliging. Zie Beveiligingsaanbevelingen voor AWS-resources , een referentiehandleiding voor een lijst met alle aanbevelingen die Defender voor Cloud kunnen bieden voor AWS-resources.
Uw AWS-resources bewaken
Op de pagina Defender voor Cloud beveiligingsaanvelingen worden uw AWS-resources weergegeven. U kunt het omgevingsfilter gebruiken om te profiteren van de mogelijkheden voor meerdere clouds van Defender voor Cloud, zoals het samen weergeven van de aanbevelingen voor Azure-, AWS- en GCP-resources.
Als u alle actieve aanbevelingen voor uw resources per resourcetype wilt weergeven, gebruikt u de pagina Defender voor Cloud assetinventaris. Stel het filter in om het AWS-resourcetype weer te geven waarin u geïnteresseerd bent.
Microsoft Sentinel implementeren
Als u een AWS-account verbindt en apps Defender voor Cloud met Microsoft Sentinel, kunt u bewakingsmogelijkheden gebruiken waarmee gebeurtenissen worden vergeleken tussen meerdere firewalls, netwerkapparaten en servers.
De Microsoft Sentinel AWS-connector inschakelen
Nadat u de Microsoft Sentinel-connector voor AWS hebt ingeschakeld, kunt u AWS-incidenten en gegevensopname bewaken.
Net als bij de configuratie van Defender voor Cloud Apps moet voor deze verbinding AWS IAM worden geconfigureerd om referenties en machtigingen op te geven.
Volg in AWS IAM de stappen in Verbinding maken Microsoft Sentinel naar AWS CloudTrail.
Als u de configuratie in Azure Portal wilt voltooien, selecteert u onder Microsoft Sentinel>Data-connectors de Amazon Web Services-connector.
Selecteer de pagina Verbindingslijn openen.
Voer onder Configuratie de waarde role ARN in van de AWS IAM-configuratie in de rol om het veld toe te voegen en selecteer Toevoegen.
Selecteer Volgende stappen en selecteer vervolgens de activiteiten voor AWS-netwerkactiviteiten en AWS-gebruikersactiviteiten die moeten worden bewaakt.
Selecteer onder Relevante analysesjablonen de optie Regel maken naast de analytische AWS-sjablonen die u wilt inschakelen.
Stel elke regel in en selecteer Maken.
In de volgende tabel ziet u de regelsjablonen die beschikbaar zijn voor het controleren van het gedrag van AWS-entiteiten en bedreigingsindicatoren. De regelnamen beschrijven hun doel en de mogelijke gegevensbronnen vermelden de gegevensbronnen die elke regel kan gebruiken.
Naam van analysesjabloon | Gegevensbronnen |
---|---|
Bekende IRIDIUM IP | DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS |
Volledig Beheer beleid gemaakt en vervolgens gekoppeld aan rollen, gebruikers of groepen | AWS |
Mislukte AzureAD-aanmeldingen, maar geslaagde aanmelding bij de AWS-console | Microsoft Entra ID, AWS |
Mislukte aanmeldingen voor AWS-console, maar aanmelden bij AzureAD | Microsoft Entra ID, AWS |
Meervoudige verificatie uitgeschakeld voor een gebruiker | Microsoft Entra ID, AWS |
Wijzigingen in de instellingen voor inkomend en uitgaand verkeer van AWS-beveiligingsgroep | AWS |
AWS-referentiemisbruik of -hijacking bewaken | AWS |
Wijzigingen in beveiligingsgroepen van AWS Elastic Load Balancer | AWS |
Wijzigingen in Amazon VPC-instellingen | AWS |
Nieuwe UserAgent waargenomen in de afgelopen 24 uur | Microsoft 365, Azure Monitor, AWS |
Aanmelden bij AWS Management Console zonder meervoudige verificatie | AWS |
Wijzigingen in internetgerichte AWS RDS Database-exemplaren | AWS |
Wijzigingen aangebracht in AWS CloudTrail-logboeken | AWS |
Defender Threat Intelligence wijst IP-entiteit toe aan AWS CloudTrail | Defender Threat Intelligence Platforms, AWS |
Ingeschakelde sjablonen hebben een IN USE-indicator op de pagina met connectordetails.
AWS-incidenten bewaken
Microsoft Sentinel maakt incidenten op basis van de analyses en detecties die u inschakelt. Elk incident kan een of meer gebeurtenissen bevatten, wat het totale aantal onderzoeken vermindert dat nodig is om potentiële bedreigingen te detecteren en erop te reageren.
Microsoft Sentinel toont incidenten die Defender voor Cloud Apps genereert, als deze is verbonden en incidenten die Door Microsoft Sentinel worden gemaakt. In de kolom Productnamen wordt de incidentbron weergegeven.
Gegevensopname controleren
Controleer of gegevens continu worden opgenomen in Microsoft Sentinel door regelmatig de details van de connector te bekijken. In de volgende grafiek ziet u een nieuwe verbinding.
Als de connector stopt met het opnemen van gegevens en de waarde van het lijndiagram afneemt, controleert u de referenties die u gebruikt om verbinding te maken met het AWS-account. Controleer ook of AWS CloudTrail de gebeurtenissen nog steeds kan verzamelen.
Inzenders
Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzender.
Hoofdauteur:
- Lavanya Murthy | Senior Cloud Solution Architect
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
- Zie De aanbevolen procedures voor het beveiligen van AWS-accounts en -resources voor beveiligingsrichtlijnen van AWS.
- Zie Microsoft Security voor de meest recente beveiligingsgegevens van Microsoft.
- Zie Azure-omgevingen beveiligen met Microsoft Entra ID voor meer informatie over het implementeren en beheren van Microsoft Entra ID.
- Zie Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt voor een overzicht van AWS-activabedreigingen en bijbehorende beschermende maatregelen.
- Zie deze resources voor informatie over connectors en het tot stand brengen van verbindingen:
Verwante resources
- Zie de inhoudsset azure voor AWS-professionals voor uitgebreide dekking en vergelijking van Azure- en AWS-functies.
- Zie Microsoft Entra-identiteits- en toegangsbeheer voor AWS voor richtlijnen voor het implementeren van Microsoft Entra-identiteits- en toegangsoplossingen voor AWS.