Bewerken

Azure-beveiligingsoplossingen voor AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Deze handleiding laat zien hoe Microsoft Defender voor Cloud Apps en Microsoft Sentinel kunnen helpen bij het beveiligen en beveiligen van AWS-accounts (Amazon Web Services) en omgevingen.

AWS-organisaties die gebruikmaken van Microsoft Entra ID voor Microsoft 365 of hybride cloudidentiteit en toegangsbeveiliging, kunnen Microsoft Entra ID voor AWS-accounts snel en eenvoudig implementeren, vaak zonder extra kosten.

Architectuur

In dit diagram wordt samengevat hoe AWS-installaties kunnen profiteren van belangrijke Microsoft-beveiligingsonderdelen:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Download een PowerPoint-bestand van deze architectuur.

Workflow

  • Microsoft Entra ID biedt gecentraliseerde eenmalige aanmelding (SSO) en sterke verificatie via meervoudige verificatie en de functie voor voorwaardelijke toegang. Microsoft Entra ID ondersteunt op rollen gebaseerde AWS-identiteiten en autorisatie voor toegang tot AWS-resources. Zie Microsoft Entra-identiteits- en toegangsbeheer voor AWS voor meer informatie en gedetailleerde instructies. Microsoft Entra-machtigingsbeheer is een CIEM-product (Cloud Infrastructure Entitlement Management) dat uitgebreide zichtbaarheid en controle biedt over machtigingen voor elke AWS-identiteit of -resource. U kunt Microsoft Entra-machtigingsbeheer gebruiken om het volgende te doen:

    • Krijg een multidimensionale weergave van uw risico door identiteiten, machtigingen en resources te beoordelen.
    • Automatiseer het afdwingen van het beleid met minimale bevoegdheden in uw volledige infrastructuur voor meerdere clouds.
    • Gebruik anomalie- en uitbijterdetectie om gegevensschendingen te voorkomen die worden veroorzaakt door misbruik en schadelijke exploitatie van machtigingen.

    Zie Een AwS-account (Amazon Web Services) onboarden voor meer informatie en gedetailleerde instructies voor onboarding.

  • Defender voor Cloud Apps:

    • Integreert met de functie Voorwaardelijke toegang van Microsoft Entra om aanvullende beperkingen af te dwingen.
    • Helpt bij het bewaken en beveiligen van sessies na aanmelding.
    • Maakt gebruik van analyse van gebruikersgedrag (UBA) en andere AWS-API's om sessies en gebruikers te bewaken en informatiebeveiliging te ondersteunen.

  • Microsoft Defender voor Cloud geeft AWS-beveiligingsaanvelingen weer in de Defender voor Cloud-portal, samen met Azure-aanbevelingen. Defender voor Cloud biedt meer dan 160 out-of-the-box-aanbevelingen voor IaaS-services (Infrastructure as a Service) en PaaS-services (Platform as a Service). Het biedt ook ondersteuning voor regelgevingsstandaarden, waaronder PCI-standaarden (Center for Internet Security) en payment card industry (PCI) en voor de AWS Foundational Security Best Practices-standaard. Defender voor Cloud biedt ook cloudworkloadbeveiliging (CWP) voor Amazon EKS-clusters, AWS EC2-exemplaren en SQL-servers die worden uitgevoerd op AWS EC2.

  • Microsoft Sentinel kan worden geïntegreerd met Defender voor Cloud Apps en AWS om bedreigingen te detecteren en automatisch te reageren. Microsoft Sentinel bewaakt de AWS-omgeving op onjuiste configuratie, mogelijke malware en geavanceerde bedreigingen voor AWS-identiteiten, apparaten, toepassingen en gegevens.

Onderdelen

Defender voor Cloud Apps voor zichtbaarheid en beheer

Wanneer meerdere gebruikers of rollen beheerwijzigingen aanbrengen, kan een gevolg zijn van configuratiedrift van de beoogde beveiligingsarchitectuur en -standaarden. Beveiligingsstandaarden kunnen ook na verloop van tijd veranderen. Beveiligingspersoneel moet voortdurend en consistent nieuwe risico's detecteren, risicobeperkingsopties evalueren en beveiligingsarchitectuur bijwerken om potentiële schendingen te voorkomen. Beveiligingsbeheer in meerdere openbare cloud- en privéinfrastructuuromgevingen kan lastig worden.

Defender voor Cloud Apps is een CASB-platform (Cloud Access Security Broker) met CSPM-mogelijkheden (Cloud Security Posture Management). Defender voor Cloud Apps kunnen verbinding maken met meerdere cloudservices en toepassingen om beveiligingslogboeken te verzamelen, gebruikersgedrag te bewaken en beperkingen op te leggen die de platforms zelf mogelijk niet bieden.

Defender voor Cloud Apps biedt verschillende mogelijkheden die kunnen worden geïntegreerd met AWS voor onmiddellijke voordelen:

  • De Defender voor Cloud Apps-app-connector maakt gebruik van verschillende AWS-API's, waaronder UBA, om te zoeken naar configuratieproblemen en bedreigingen op het AWS-platform.
  • AWS-toegangsbeheer kan aanmeldingsbeperkingen afdwingen die zijn gebaseerd op toepassing, apparaat, IP-adres, locatie, geregistreerde internetprovider en specifieke gebruikerskenmerken.
  • Sessiebesturingselementen voor AWS blokkeren potentiële malware-uploads of downloads op basis van Microsoft Defender-bedreigingsinformatie of realtime inhoudsinspectie.
  • Sessiebesturingselementen kunnen ook realtime inhoudsinspectie en detectie van gevoelige gegevens gebruiken om regels voor preventie van gegevensverlies (DLP) op te leggen die knippen, kopiëren, plakken of afdrukbewerkingen voorkomen.

Defender voor Cloud Apps is zelfstandig beschikbaar of als onderdeel van Microsoft Enterprise Mobility + Security E5, waaronder Microsoft Entra ID P2. Zie Enterprise Mobility + Security-prijsopties voor informatie over prijzen en licenties.

Defender voor Cloud voor CSPM- en CWP-platformen (CWPP)

Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen. Defender voor Cloud helpt workloads in Azure, AWS en Google Cloud Platform (GCP) te beveiligen.

Defender voor Cloud biedt een verbinding zonder agent met uw AWS-account. Defender voor Cloud biedt ook plannen om uw AWS-resources te beveiligen:

Microsoft Sentinel voor geavanceerde detectie van bedreigingen

Bedreigingen kunnen afkomstig zijn van een breed scala aan apparaten, toepassingen, locaties en gebruikerstypen. DLP vereist het controleren van inhoud tijdens het uploaden of downloaden, omdat post-mortembeoordeling mogelijk te laat is. AWS beschikt niet over systeemeigen mogelijkheden voor apparaat- en toepassingsbeheer, op risico gebaseerde voorwaardelijke toegang, op sessies gebaseerde besturingselementen of inline-UBA.

Het is essentieel dat beveiligingsoplossingen de complexiteit verminderen en uitgebreide beveiliging bieden, ongeacht of resources zich in meerdere clouds, on-premises of hybride omgevingen bevinden. Defender voor Cloud biedt CSPM en CWP. Defender voor Cloud identificeert zwakke plekken in de configuratie in AWS om uw algehele beveiligingspostuur te versterken. Het helpt ook bescherming tegen bedreigingen te bieden voor Amazon EKS Linux-clusters, AWS EC2-exemplaren en SQL-servers in AWS EC2.

Microsoft Sentinel is een SOAR-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR) waarmee bedreigingsdetectie en -responsautomatisering voor moderne beveiligingsbewerkingen worden gecentraliseerd en gecoördineerd. Microsoft Sentinel kan AWS-accounts bewaken om gebeurtenissen te vergelijken tussen meerdere firewalls, netwerkapparaten en servers. Microsoft Sentinel combineert bewakingsgegevens met bedreigingsinformatie, analyseregels en machine learning om geavanceerde aanvalstechnieken te detecteren en erop te reageren.

U kunt AWS en Defender voor Cloud Apps verbinden met Microsoft Sentinel. Vervolgens ziet u Defender voor Cloud Apps-waarschuwingen en voert u extra bedreigingscontroles uit die gebruikmaken van meerdere Defender Threat Intelligence-feeds. Microsoft Sentinel kan een gecoördineerd antwoord starten dat zich buiten Defender voor Cloud Apps bevindt. Microsoft Sentinel kan ook worden geïntegreerd met ITSM-oplossingen (IT Service Management) en gegevens op lange termijn bewaren voor nalevingsdoeleinden.

Scenariodetails

Microsoft biedt verschillende beveiligingsoplossingen waarmee AWS-accounts en -omgevingen kunnen worden beveiligd en beschermd.

Andere Microsoft-beveiligingsonderdelen kunnen worden geïntegreerd met Microsoft Entra ID om extra beveiliging te bieden voor AWS-accounts:

  • Defender voor Cloud Apps maakt een back-up van Microsoft Entra ID met sessiebeveiliging en bewaking van gebruikersgedrag.
  • Defender voor Cloud biedt beveiliging tegen bedreigingen voor AWS-workloads. Het helpt ook proactief de beveiliging voor AWS-omgevingen te versterken en maakt gebruik van een benadering zonder agents om verbinding te maken met deze omgevingen.
  • Microsoft Sentinel kan worden geïntegreerd met Microsoft Entra ID en Defender voor Cloud Apps om bedreigingen te detecteren en automatisch te reageren op AWS-omgevingen.

Deze Microsoft-beveiligingsoplossingen zijn uitbreidbaar en bieden meerdere beveiligingsniveaus. U kunt een of meer van deze oplossingen samen met andere soorten beveiliging implementeren voor een architectuur met volledige beveiliging waarmee u de huidige en toekomstige AWS-implementaties kunt beveiligen.

Potentiële gebruikscases

Dit artikel bevat AWS-identiteitsarchitecten, beheerders en beveiligingsanalisten met onmiddellijke inzichten en gedetailleerde richtlijnen voor het implementeren van verschillende Microsoft-beveiligingsoplossingen.

Aanbevelingen

Houd rekening met de volgende punten wanneer u een beveiligingsoplossing ontwikkelt.

Aanbevelingen voor beveiliging

De volgende principes en richtlijnen zijn belangrijk voor elke cloudbeveiligingsoplossing:

  • Zorg ervoor dat de organisatie gebruikers- en programmatische toegang tot cloudomgevingen kan bewaken, detecteren en automatisch kan beveiligen.
  • Controleer voortdurend huidige accounts om identiteits- en machtigingsbeheer en controle te garanderen.
  • Volg minimale bevoegdheden en nul vertrouwensprincipes . Zorg ervoor dat gebruikers alleen toegang hebben tot de specifieke resources die ze nodig hebben, van vertrouwde apparaten en bekende locaties. Verminder de machtigingen van elke beheerder en ontwikkelaar om alleen de rechten te bieden die ze nodig hebben voor de rol die ze uitvoeren. Controleer regelmatig.
  • Controleer voortdurend wijzigingen in de platformconfiguratie, met name als ze mogelijkheden bieden voor escalatie van bevoegdheden of aanvalspersistentie.
  • Voorkom niet-geautoriseerde gegevensexfiltratie door inhoud actief te inspecteren en te beheren.
  • Profiteer van oplossingen die u mogelijk al hebt, zoals Microsoft Entra ID P2, die de beveiliging zonder extra kosten kunnen verhogen.

Basisbeveiliging van AWS-account

Om basisbeveiligingscontroles voor AWS-accounts en -resources te garanderen:

  • Bekijk de richtlijnen voor AWS-beveiliging bij best practices voor het beveiligen van AWS-accounts en -resources.
  • Verminder het risico op het uploaden en downloaden van malware en andere schadelijke inhoud door alle gegevensoverdrachten actief te inspecteren via de AWS Management Console. Inhoud die u rechtstreeks uploadt of downloadt naar resources binnen het AWS-platform, zoals webservers of databases, heeft mogelijk extra beveiliging nodig.
  • Overweeg de toegang tot andere resources te beveiligen, waaronder:
    • Resources die zijn gemaakt binnen het AWS-account.
    • Specifieke workloadplatforms, zoals Windows Server, Linux Server of containers.
    • Apparaten die beheerders en ontwikkelaars gebruiken voor toegang tot de AWS-beheerconsole.

Dit scenario implementeren

Voer de stappen in de volgende secties uit om een beveiligingsoplossing te implementeren.

Plannen en voorbereiden

Bekijk en noteer de huidige AWS- en Microsoft Entra-accountgegevens om de implementatie van Azure-beveiligingsoplossingen voor te bereiden. Als u meer dan één AWS-account hebt geïmplementeerd, herhaalt u deze stappen voor elk account.

  1. Noteer in de AWS Billing Management-console de volgende huidige AWS-accountgegevens:

    • AWS-account-id, een unieke id
    • Accountnaam of hoofdgebruiker
    • Betalingswijze, ongeacht of deze is toegewezen aan een creditcard of een factureringsovereenkomst van een bedrijf
    • Alternatieve contactpersonen die toegang hebben tot AWS-accountgegevens
    • Beveiligingsvragen, veilig bijgewerkt en vastgelegd voor toegang tot noodgevallen
    • AWS-regio's die zijn ingeschakeld of uitgeschakeld om te voldoen aan het beleid voor gegevensbeveiliging

  2. Controleer in Azure Portal de Microsoft Entra-tenant:

    • Evalueer tenantgegevens om te zien of de tenant een Microsoft Entra ID P1- of P2-licentie heeft. Een P2-licentie biedt geavanceerde functies voor Identiteitsbeheer van Microsoft Entra.
    • Evalueer Bedrijfstoepassingen om te zien of bestaande toepassingen gebruikmaken van het AWS-toepassingstype, zoals wordt weergegeven http://aws.amazon.com/ in de kolom Startpagina-URL .

Defender voor Cloud-apps implementeren

Nadat u het centrale beheer en de sterke verificatie hebt geïmplementeerd die moderne identiteits- en toegangsbeheer vereisen, kunt u Defender voor Cloud Apps implementeren op:

  • Verzamel beveiligingsgegevens en voer bedreigingsdetecties uit voor AWS-accounts.
  • Implementeer geavanceerde besturingselementen om risico's te beperken en gegevensverlies te voorkomen.

Ga als volgende te werk om Defender voor Cloud-apps te implementeren:

  1. Voeg een Defender voor Cloud Apps-app-connector toe voor AWS.
  2. Configureer Defender voor Cloud Apps-bewakingsbeleid voor AWS-activiteiten.
  3. Maak een bedrijfstoepassing voor eenmalige aanmelding bij AWS.
  4. Maak een app-beheertoepassing voor voorwaardelijke toegang in Defender voor Cloud Apps.
  5. Configureer Microsoft Entra-sessiebeleid voor AWS-activiteiten.
  6. Test Defender voor Cloud Apps-beleid voor AWS.

Een AWS-app-connector toevoegen

  1. Vouw Onderzoeken uit in de Defender voor Cloud Apps-portal en selecteer vervolgens Verbinding maken ed apps.

  2. Selecteer op de pagina App-connector s het plusteken (+) en selecteer vervolgens Amazon Web Services in de lijst.

  3. Gebruik een unieke naam voor de connector. Neem in de naam een id op voor het bedrijf en een specifiek AWS-account, bijvoorbeeld Contoso-AWS-Account1.

  4. Volg de instructies in Verbinding maken AWS om apps te Microsoft Defender voor Cloud om een geschikte AWS-gebruiker (Identity and Access Management) te maken.

    1. Definieer een beleid voor beperkte machtigingen.
    2. Maak een serviceaccount om deze machtigingen te gebruiken namens de Defender voor Cloud Apps-service.
    3. Geef de referenties op voor de app-connector.

De tijd die nodig is om de eerste verbinding tot stand te brengen, is afhankelijk van de logboekgrootten van het AWS-account. Wanneer de verbinding is voltooid, ziet u een bevestiging van de verbinding:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

App-bewakingsbeleid configureren Defender voor Cloud voor AWS-activiteiten

Nadat u de app-connector hebt ingeschakeld, worden in Defender voor Cloud Apps nieuwe sjablonen en opties weergegeven in de opbouwfunctie voor beleidsconfiguraties. U kunt beleidsregels rechtstreeks vanuit de sjablonen maken en wijzigen voor uw behoeften. U kunt ook een beleid ontwikkelen zonder de sjablonen te gebruiken.

Beleidsregels implementeren met behulp van de sjablonen:

  1. Vouw in het linkernavigatievenster van Defender voor Cloud Apps Het besturingselement uit en selecteer vervolgens Sjablonen.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Zoek naar aws en bekijk de beschikbare beleidssjablonen voor AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Als u een sjabloon wilt gebruiken, selecteert u het plusteken (+) rechts van het sjabloonitem.

  4. Elk beleidstype heeft verschillende opties. Controleer de configuratie-instellingen en sla het beleid op. Herhaal deze stap voor elke sjabloon.

    Screenshot of the Create file policy page, with various options visible.

    Als u bestandsbeleid wilt gebruiken, moet u ervoor zorgen dat de instelling voor bestandsbewaking is ingeschakeld in Defender voor Cloud Apps-instellingen:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Wanneer Defender voor Cloud Apps waarschuwingen detecteert, worden deze weergegeven op de pagina Waarschuwingen in de portal Defender voor Cloud Apps:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Een bedrijfstoepassing maken voor eenmalige aanmelding bij AWS

Volg de instructies in Tutorial: Eenmalige aanmelding van Microsoft Entra integreren met eenmalige aanmelding van AWS om een bedrijfstoepassing te maken voor eenmalige aanmelding bij AWS. Hier volgt een samenvatting van de procedure:

  1. Voeg AWS SSO toe vanuit de galerie.
  2. Eenmalige aanmelding van Microsoft Entra voor AWS SSO configureren en testen:
    1. Eenmalige aanmelding voor Microsoft Entra configureren.
    2. Eenmalige aanmelding voor AWS configureren.
    3. Maak een AWS SSO-testgebruiker.
    4. Eenmalige aanmelding testen.

Een app-beheertoepassing voor voorwaardelijke toegang maken in Defender voor Cloud Apps

  1. Ga naar de Defender voor Cloud Apps-portal, selecteer Onderzoeken en selecteer vervolgens Verbinding maken ed apps.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Selecteer Apps voor app-beheer voor voorwaardelijke toegang en selecteer vervolgens Toevoegen.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. Voer in het vak Zoeken naar een app Amazon Web Services in en selecteer vervolgens de toepassing. Selecteer de wizard Start.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Selecteer Gegevens handmatig invullen. Voer de URL-waarde voor de Assertion Consumer Service in die wordt weergegeven in de volgende schermopname en selecteer Vervolgens.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Negeer op de volgende pagina de externe configuratiestappen . Selecteer Volgende.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Selecteer Gegevens handmatig invullen en voer vervolgens de volgende stappen uit om de gegevens in te voeren:

    1. Voer onder Service-URL voor eenmalige aanmelding de aanmeldings-URL-waarde in voor de bedrijfstoepassing die u hebt gemaakt voor AWS.
    2. Selecteer Bladeren onder Het SAML-certificaat van de id-provider uploaden.
    3. Zoek het certificaat voor de bedrijfstoepassing die u hebt gemaakt.
    4. Download het certificaat naar uw lokale apparaat en upload het vervolgens naar de wizard.
    5. Selecteer Volgende.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Negeer op de volgende pagina de externe configuratiestappen . Selecteer Volgende.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Negeer op de volgende pagina de externe configuratiestappen . Selecteer Voltooien.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. Negeer op de volgende pagina de stappen uw instellingen controleren. Selecteer Sluiten.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Microsoft Entra-sessiebeleid configureren voor AWS-activiteiten

Sessiebeleid is een krachtige combinatie van beleid voor voorwaardelijke toegang van Microsoft Entra en de mogelijkheid voor omgekeerde proxy van Defender voor Cloud Apps. Deze beleidsregels bieden realtime bewaking en controle van verdacht gedrag.

  1. Maak in Microsoft Entra ID een nieuw beleid voor voorwaardelijke toegang met de volgende instellingen:

    • Voer onder Naam AWS Console – Sessiebesturingselementen in.
    • Selecteer onder Gebruikers en groepen de twee rollengroepen die u eerder hebt gemaakt:
      • AWS-Account1-Beheer istrators
      • AWS-Account1-Developers
    • Selecteer onder Cloud-apps of -acties de bedrijfstoepassing die u eerder hebt gemaakt, zoals Contoso-AWS-Account 1.
    • Selecteer Onder Sessie de optie App-beheer voor voorwaardelijke toegang gebruiken.

  2. Selecteer onder Beleid inschakelen de optie Aan.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Selecteer Maken.

Nadat u het beleid voor voorwaardelijke toegang van Microsoft Entra hebt gemaakt, stelt u een Defender voor Cloud Apps-sessiebeleid in om het gebruikersgedrag tijdens AWS-sessies te beheren.

  1. Vouw In de portal Defender voor Cloud Apps het besturingselement uit en selecteer vervolgens Beleid.

  2. Selecteer beleid maken op de pagina Beleid en selecteer vervolgens Sessiebeleid in de lijst.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. Selecteer op de pagina Sessiebeleid maken onder Beleidssjabloon het uploaden van potentiële malware blokkeren (op basis van Microsoft Threat Intelligence).

  4. Wijzig onder Activiteiten die overeenkomen met het volgende het activiteitsfilter om App, gelijk aan en Amazon Web Services op te nemen. Verwijder de standaardselectie van het apparaat.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Controleer de andere instellingen en selecteer Vervolgens Maken.

Beleid voor Defender voor Cloud-apps voor AWS testen

Test regelmatig alle beleidsregels om ervoor te zorgen dat ze nog steeds effectief en relevant zijn. Hier volgen enkele aanbevolen tests:

  • Wijzigingen in het IAM-beleid: dit beleid wordt telkens geactiveerd wanneer u probeert de instellingen in AWS IAM te wijzigen. Wanneer u bijvoorbeeld de procedure verderop in deze implementatiesectie volgt om een nieuw IAM-beleid en -account te maken, ziet u een waarschuwing.

  • Aanmeldingsfouten in de console: mislukte pogingen om zich aan te melden bij een van de testaccounts activeren dit beleid. De waarschuwingsdetails laten zien dat de poging afkomstig is van een van de regionale Azure-datacenters.

  • Activiteitenbeleid voor S3-buckets: wanneer u probeert een nieuw AWS S3-opslagaccount te maken en dit in te stellen op openbaar beschikbaar, activeert u dit beleid.

  • Beleid voor malwaredetectie: Als u malwaredetectie configureert als sessiebeleid, kunt u dit testen door de volgende stappen uit te voeren:

    1. Download een veilig testbestand van het Europees Instituut voor Computer Anti-Virus Research (EICAR).
    2. Probeer dat bestand te uploaden naar een AWS S3-opslagaccount.

    Het beleid blokkeert de uploadpoging onmiddellijk en er wordt een waarschuwing weergegeven in de Defender voor Cloud Apps-portal.

Defender voor Cloud implementeren

U kunt een systeemeigen cloudconnector gebruiken om een AWS-account te verbinden met Defender voor Cloud. De connector biedt een verbinding zonder agent met uw AWS-account. U kunt deze verbinding gebruiken om CSPM-aanbevelingen te verzamelen. Met behulp van Defender voor Cloud-plannen kunt u uw AWS-resources beveiligen met CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Als u uw op AWS gebaseerde resources wilt beveiligen, voert u deze stappen uit, die in de volgende secties gedetailleerd worden beschreven:

  1. Verbinding maken een AWS-account.
  2. Aws bewaken.

Verbinding maken met uw AWS-account

Voer de volgende stappen uit om uw AWS-account te verbinden met Defender voor Cloud met behulp van een systeemeigen connector:

  1. Bekijk de vereisten voor het verbinden van een AWS-account. Zorg ervoor dat u deze voltooit voordat u verdergaat.

  2. Als u klassieke connectors hebt, verwijdert u deze door de stappen in Klassieke connectors verwijderen uit te voeren. Het gebruik van zowel de klassieke als systeemeigen connectors kan dubbele aanbevelingen opleveren.

  3. Meld u aan bij de Azure-portal.

  4. Selecteer Microsoft Defender voor Cloud en selecteer vervolgens Omgevingsinstellingen.

  5. Selecteer Omgeving toevoegen>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Voer de details van het AWS-account in, inclusief de opslaglocatie van de connectorresource. Selecteer eventueel beheeraccount om een connector voor een beheeraccount te maken. Verbinding maken ors worden gemaakt voor elk lidaccount dat wordt gedetecteerd onder het opgegeven beheeraccount. Automatische inrichting is ingeschakeld voor alle nieuw voorbereide accounts.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Selecteer Volgende: Selecteer plannen.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Het serversplan is standaard ingeschakeld. Deze instelling is nodig om de dekking van Defender for Servers uit te breiden naar uw AWS EC2. Zorg ervoor dat u voldoet aan de netwerkvereisten voor Azure Arc. Als u de configuratie wilt bewerken, selecteert u Configureren.

  9. Het containersplan is standaard ingeschakeld. Deze instelling is nodig om Defender for Containers-beveiliging te hebben voor uw AWS EKS-clusters. Zorg ervoor dat u voldoet aan de netwerkvereisten voor het Defender for Containers-plan. Als u de configuratie wilt bewerken, selecteert u Configureren. Als u deze configuratie uitschakelt, wordt de functie voor detectie van bedreigingen voor het besturingsvlak uitgeschakeld. Als u een lijst met functies wilt weergeven, raadpleegt u de beschikbaarheid van functies van Defender for Containers.

  10. Het databasesplan is standaard ingeschakeld. Deze instelling is nodig om Defender voor SQL-dekking uit te breiden naar uw AWS EC2 en RDS Custom voor SQL Server. Als u de configuratie wilt bewerken, selecteert u Configureren. U wordt aangeraden de standaardconfiguratie te gebruiken.

  11. Selecteer Volgende: Toegang configureren.

  12. Download de CloudFormation-sjabloon.

  13. Volg de instructies op het scherm om de gedownloade CloudFormation-sjabloon te gebruiken om de stack te maken in AWS. Als u een beheeraccount onboardt, moet u de CloudFormation-sjabloon uitvoeren als Stack en als StackSet. Verbinding maken ors worden binnen 24 uur na onboarding voor de lidaccounts gemaakt.

  14. Selecteer Volgende: Controleren en genereren.

  15. Selecteer Maken.

Defender voor Cloud begint onmiddellijk met het scannen van uw AWS-resources. Binnen een paar uur ziet u aanbevelingen voor beveiliging. Zie Beveiligingsaanbevelingen voor AWS-resources , een referentiehandleiding voor een lijst met alle aanbevelingen die Defender voor Cloud kunnen bieden voor AWS-resources.

Uw AWS-resources bewaken

Op de pagina Defender voor Cloud beveiligingsaanvelingen worden uw AWS-resources weergegeven. U kunt het omgevingsfilter gebruiken om te profiteren van de mogelijkheden voor meerdere clouds van Defender voor Cloud, zoals het samen weergeven van de aanbevelingen voor Azure-, AWS- en GCP-resources.

Als u alle actieve aanbevelingen voor uw resources per resourcetype wilt weergeven, gebruikt u de pagina Defender voor Cloud assetinventaris. Stel het filter in om het AWS-resourcetype weer te geven waarin u geïnteresseerd bent.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Microsoft Sentinel implementeren

Als u een AWS-account verbindt en apps Defender voor Cloud met Microsoft Sentinel, kunt u bewakingsmogelijkheden gebruiken waarmee gebeurtenissen worden vergeleken tussen meerdere firewalls, netwerkapparaten en servers.

De Microsoft Sentinel AWS-connector inschakelen

Nadat u de Microsoft Sentinel-connector voor AWS hebt ingeschakeld, kunt u AWS-incidenten en gegevensopname bewaken.

Net als bij de configuratie van Defender voor Cloud Apps moet voor deze verbinding AWS IAM worden geconfigureerd om referenties en machtigingen op te geven.

  1. Volg in AWS IAM de stappen in Verbinding maken Microsoft Sentinel naar AWS CloudTrail.

  2. Als u de configuratie in Azure Portal wilt voltooien, selecteert u onder Microsoft Sentinel>Data-connectors de Amazon Web Services-connector.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Selecteer de pagina Verbindingslijn openen.

  4. Voer onder Configuratie de waarde role ARN in van de AWS IAM-configuratie in de rol om het veld toe te voegen en selecteer Toevoegen.

  5. Selecteer Volgende stappen en selecteer vervolgens de activiteiten voor AWS-netwerkactiviteiten en AWS-gebruikersactiviteiten die moeten worden bewaakt.

  6. Selecteer onder Relevante analysesjablonen de optie Regel maken naast de analytische AWS-sjablonen die u wilt inschakelen.

  7. Stel elke regel in en selecteer Maken.

In de volgende tabel ziet u de regelsjablonen die beschikbaar zijn voor het controleren van het gedrag van AWS-entiteiten en bedreigingsindicatoren. De regelnamen beschrijven hun doel en de mogelijke gegevensbronnen vermelden de gegevensbronnen die elke regel kan gebruiken.

Naam van analysesjabloon Gegevensbronnen
Bekende IRIDIUM IP DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
Volledig Beheer beleid gemaakt en vervolgens gekoppeld aan rollen, gebruikers of groepen AWS
Mislukte AzureAD-aanmeldingen, maar geslaagde aanmelding bij de AWS-console Microsoft Entra ID, AWS
Mislukte aanmeldingen voor AWS-console, maar aanmelden bij AzureAD Microsoft Entra ID, AWS
Meervoudige verificatie uitgeschakeld voor een gebruiker Microsoft Entra ID, AWS
Wijzigingen in de instellingen voor inkomend en uitgaand verkeer van AWS-beveiligingsgroep AWS
AWS-referentiemisbruik of -hijacking bewaken AWS
Wijzigingen in beveiligingsgroepen van AWS Elastic Load Balancer AWS
Wijzigingen in Amazon VPC-instellingen AWS
Nieuwe UserAgent waargenomen in de afgelopen 24 uur Microsoft 365, Azure Monitor, AWS
Aanmelden bij AWS Management Console zonder meervoudige verificatie AWS
Wijzigingen in internetgerichte AWS RDS Database-exemplaren AWS
Wijzigingen aangebracht in AWS CloudTrail-logboeken AWS
Defender Threat Intelligence wijst IP-entiteit toe aan AWS CloudTrail Defender Threat Intelligence Platforms, AWS

Ingeschakelde sjablonen hebben een IN USE-indicator op de pagina met connectordetails.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

AWS-incidenten bewaken

Microsoft Sentinel maakt incidenten op basis van de analyses en detecties die u inschakelt. Elk incident kan een of meer gebeurtenissen bevatten, wat het totale aantal onderzoeken vermindert dat nodig is om potentiële bedreigingen te detecteren en erop te reageren.

Microsoft Sentinel toont incidenten die Defender voor Cloud Apps genereert, als deze is verbonden en incidenten die Door Microsoft Sentinel worden gemaakt. In de kolom Productnamen wordt de incidentbron weergegeven.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Gegevensopname controleren

Controleer of gegevens continu worden opgenomen in Microsoft Sentinel door regelmatig de details van de connector te bekijken. In de volgende grafiek ziet u een nieuwe verbinding.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Als de connector stopt met het opnemen van gegevens en de waarde van het lijndiagram afneemt, controleert u de referenties die u gebruikt om verbinding te maken met het AWS-account. Controleer ook of AWS CloudTrail de gebeurtenissen nog steeds kan verzamelen.

Inzenders

Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzender.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen