AWS-accounts verbinden met Microsoft Defender voor Cloud

Workloads omvatten vaak meerdere cloudplatforms, dus cloudbeveiligingsservices moeten hetzelfde doen. Microsoft Defender voor Cloud helpt workloads in Amazon Web Services (AWS) te beveiligen, maar u moet de verbinding tussen deze workloads en Defender voor Cloud instellen.

In de volgende schermopname ziet u AWS-accounts die worden weergegeven in het Defender voor Cloud overzichtsdashboard.

U kunt meer te weten komen door de video Nieuwe AWS-connector in Defender voor Cloud uit de Defender for Cloud in the Field videoserie te bekijken.

Notitie

Als u een AWS-account hebt dat is verbonden met Microsoft Sentinel, kunt u het niet verbinden met Defender for Cloud. Volg de instructies voor het verbinden van een Sentinel-verbonden AWS-account met Defender for Cloud om ervoor te zorgen dat de connector correct werkt.

AWS-verificatieproces

Defender voor Cloud en AWS maken gebruik van federatieve verificatie. Alle resources met betrekking tot verificatie worden gemaakt als onderdeel van de implementatie van de CloudFormation-sjabloon, waaronder:

• Een id-provider (OpenID Connect)
• IAM-rollen (Identity and Access Management) met een federatieve principal (verbonden met de id-providers)

De architectuur van het verificatieproces in clouds omvat:

Defender for Cloud CSPM-service verkrijgt een Entra-token met een geldigheidsduur van 1 uur, ondertekend door Entra-id met behulp van het RS256-algoritme.

Het Entra-token wordt uitgewisseld voor kortdurende AWS-referenties, en de CSPM-service van Defender for Cloud neemt de CSPM IAM-rol aan (aangenomen met web-identiteit).

Omdat de principal van de rol een federatieve identiteit is die is gedefinieerd in een vertrouwensrelatiebeleid, valideert de AWS-id-provider het Entra-token tegen Entra-id via een proces dat het volgende omvat:

• doelgroepvalidatie
• validatie van digitale handtekening voor tokens
• vingerafdruk van certificaat

De rol Defender for Cloud CSPM wordt alleen aangenomen nadat is voldaan aan de validatievoorwaarden die zijn gedefinieerd in de vertrouwensrelatie. De voorwaarden die voor het rolniveau zijn gedefinieerd, worden gebruikt voor validatie binnen AWS en staan alleen de Microsoft Defender voor Cloud CSPM-toepassing (gevalideerde doelgroep) toegang tot de specifieke rol (en geen ander Microsoft-token) toe.

Nadat het Entra-token is gevalideerd door de AWS-id-provider, wisselt de AWS STS het token uit met kortlevende AWS-referenties die door de CSPM-service worden gebruikt om het AWS-account te scannen.

Vereisten

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

• Een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.

• Microsoft Defender voor Cloud instellen voor uw Azure-abonnement.

• Toegang tot een AWS-account.

• Machtiging op inzenderniveau voor het relevante Azure-abonnement.

• Als CIEM is ingeschakeld als onderdeel van Defender voor CSPM, heeft de gebruiker die de connector inschakelt ook de rol Beveiligingsbeheerder en application.ReadWrite.All-machtiging voor uw tenant nodig.

Notitie

De AWS-connector is niet beschikbaar in de nationale overheidsclouds (Azure Government, Microsoft Azure beheerd door 21Vianet).

Vereisten voor systeemeigen connectorplannen

Elk plan heeft zijn eigen vereisten voor de systeemeigen connector.

Bescherming voor Containers

Als u het Microsoft Defender for Containers-abonnement kiest, hebt u het volgende nodig:

• Ten minste één Amazon EKS-cluster met toestemming voor toegang tot de EKS Kubernetes API-server. Als u een nieuw EKS-cluster wilt maken, volgt u de instructies in Aan de slag met Amazon EKS – eksctl.
• De resourcecapaciteit voor het maken van een nieuwe Amazon SQS-wachtrij, Kinesis Data Firehose leveringsstroom en Amazon S3-bucket in de regio van het cluster.

Defender voor SQL

Als u het Microsoft Defender voor SQL-abonnement kiest, hebt u het volgende nodig:

• Microsoft Defender voor SQL ingeschakeld voor uw abonnement. Meer informatie over het beveiligen van uw databases.
• Een actief AWS-account met EC2-exemplaren waarop SQL Server of RDS Custom voor SQL Server wordt uitgevoerd.
• Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren of RDS Custom voor SQL Server.

U wordt aangeraden het proces voor automatisch inrichten te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u de Azure Arc-autoprovisioning wilt inschakelen, hebt u Eigenaar machtiging nodig voor het relevante Azure-abonnement.

AWS Systems Manager (SSM) maakt gebruik van de SSM-agent voor het afhandelen van automatische inrichting. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van deze instructies van Amazon: SSM Agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows).

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft. Het maakt kernfunctionaliteit mogelijk voor de AWS Systems Manager-service.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

• Microsoft Defender voor Eindpunten
• Een oplossing voor evaluatie van beveiligingsproblemen (TVM of Qualys)
• De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten (Google Cloud Platform) onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Defender voor opensource-databases (Preview)

Als u het abonnement defender voor opensource-relationele databases kiest, hebt u het volgende nodig:

• U hebt een Microsoft Azure-abonnement nodig. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.

• U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.

• Verbind uw Azure-account of AWS-account.

Beschikbaarheid van regio's: Alle openbare AWS-regio's (met uitzondering van Tel Aviv, Milaan, Jakarta, Spanje en Bahrein).

Defender voor Servers

Als u het Microsoft Defender for Servers-abonnement kiest, hebt u het volgende nodig:

• Microsoft Defender voor Servers is ingeschakeld voor uw abonnement. Meer informatie over het inschakelen van plannen in verbeterde beveiligingsfuncties inschakelen.
• Een actief AWS-account met EC2-exemplaren.
• Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren.

U wordt aangeraden het proces voor automatisch inrichten te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u de Azure Arc-autoprovisioning wilt inschakelen, hebt u Eigenaar machtiging nodig voor het relevante Azure-abonnement.

AWS Systems Manager richt automatisch de inrichting in met behulp van de SSM-agent. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van een van de volgende instructies van Amazon:

• SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows)
• SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Linux)

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft, waardoor de kernfunctionaliteit voor de AWS Systems Manager-service mogelijk is.

U moet de SSM Agent hebben voor het automatisch provisioneren van de Arc Agent op EC2-machines. Als de SSM niet bestaat of wordt verwijderd uit de EC2, kan de Arc-inrichting niet doorgaan.

Notitie

Als onderdeel van de CloudFormation-sjabloon die wordt uitgevoerd tijdens het onboardingproces, wordt er elke 30 dagen een automatiseringsproces gemaakt en geactiveerd voor alle EC2's die bestonden tijdens de eerste uitvoering van de CloudFormation. Het doel van deze geplande scan is ervoor te zorgen dat alle relevante EC2's een IAM-profiel hebben met het vereiste IAM-beleid waarmee Defender voor Cloud toegang heeft tot, beheren en bieden van de relevante beveiligingsfuncties (inclusief het inrichten van de Arc-agent). De scan is niet van toepassing op EC2's die zijn gemaakt na de uitvoering van cloudformation.

Als u Azure Arc handmatig wilt installeren op uw bestaande en toekomstige EC2-exemplaren, moet u de EC2-exemplaren verbinden met azure Arc-aanbeveling om exemplaren te identificeren waarop Azure Arc niet is geïnstalleerd.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

• Microsoft Defender voor Eindpunten
• Een oplossing voor evaluatie van beveiligingsproblemen (TVM of Qualys)
• De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Notitie

Omdat de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 buiten gebruik is gesteld, zijn alle functies en beveiligingsmogelijkheden van Defender for Servers die momenteel afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt-integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.

Defender voor Servers wijst tags toe aan uw Azure ARC-resources naast uw EC2-instanties om het proces van automatische inrichting te beheren. U moet deze tags correct aan uw resources hebben toegewezen, zodat Defender voor Cloud ze kunnen beheren: AccountId, Cloud, InstanceIden MDFCSecurityConnector.

Defender CSPM

Als u het Microsoft Defender CSPM-abonnement kiest, hebt u het volgende nodig:

• een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
• U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
• Verbind uw niet-Azure-machines en AWS-accounts.
• Als u toegang wilt krijgen tot alle functies die beschikbaar zijn in het CSPM-abonnement, moet het abonnement worden ingeschakeld door de eigenaar van het abonnement.
• Als u CIEM-mogelijkheden (Cloud Infrastructure Entitlement Management) wilt inschakelen, moet het Entra ID-account dat wordt gebruikt voor het onboardingproces de directoryrol Applicatiebeheerder of Cloud Applicatiebeheerder binnen uw tenant hebben (of vergelijkbare beheerdersrechten om app-registraties te maken). Deze vereiste is alleen nodig tijdens het onboardingproces.

Meer informatie over het inschakelen van Defender CSPM.

Verbinding maken met uw AWS-account

Belangrijk

Als uw AWS-account al is verbonden met Microsoft Sentinel, kunt u het niet verbinden met Defender for Cloud. Volg de instructies voor het verbinden van een Sentinel-verbonden AWS-account met Defender for Cloud om ervoor te zorgen dat de connector correct werkt.

Uw AWS verbinden met Defender voor Cloud met behulp van een systeemeigen connector:

1. Meld u aan bij het Azure-portaal.

2. Ga naar Defender voor Cloud> Omgevingsinstellingen.

3. Selecteer Omgeving toevoegen>Amazon Web Services.

   

4. Voer de details van het AWS-account in, inclusief de locatie waar u de connectorresource opslaat.

   

   Met de vervolgkeuzelijst AWS-regio's kunt u de regio's selecteren waarnaar Defender voor Cloud API-aanroepen uitvoert. Elke regio die uit de vervolgkeuzelijst wordt gedeselecteerd, impliceert dat Defender voor Cloud geen API-aanroepen naar deze regio's uitvoert.

5. Selecteer een interval om de AWS-omgeving elke 4, 6, 12 of 24 uur te scannen.

   Sommige gegevensverzamelaars worden uitgevoerd met vaste scanintervallen en worden niet beïnvloed door aangepaste intervalconfiguraties. In de volgende tabel ziet u de vaste scanintervallen voor elke uitgesloten gegevensverzamelaar:

   Naam van gegevensverzamelaar	Scaninterval
   EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3BucketTags S3Regio EKSCluster EKSClusterName EKSNodegroup EKSNodegroupName AutoScalingAutoScalingGroup	1 uur
   EcsClusterArn EcsService EcsServiceArn EcsTaakDefinitie EcsTaskDefinitionArn EcsTaskDefinitionTags AwsPolicyVersion LokaleBeleidsversie AwsEntiteitenVoorBeleid Lokale Entiteiten Voor Beleid BucketEncryption BucketPolicy S3PublicAccessBlockConfiguration BucketVersioning S3LifecycleConfiguration Bucketbeleidsstatus S3ReplicationConfiguration S3-toegangscontrolelijst S3BucketLoggingConfig Configuratie voor Openbare Toegangsblokkering	12 uur

   Notitie

   (Optioneel) Selecteer Beheeraccount om een connector voor een beheeraccount te maken. Connectors worden vervolgens gemaakt voor elk lidaccount dat wordt gedetecteerd onder het opgegeven beheeraccount. Autoprovisioning is ook voorzien voor alle nieuw aangesloten accounts.

   (Optioneel) Gebruik de vervolgkeuzelijst AWS-regio's om specifieke AWS-regio's te selecteren die moeten worden gescand. Alle regio's zijn standaard geselecteerd.

Bekijk en selecteer vervolgens de Defender for Cloud-abonnementen om dit AWS-account in te schakelen.

Defender-abonnementen selecteren

In deze sectie van de wizard selecteert u de Defender voor Cloud-plannen die u wilt inschakelen.

1. Selecteer Volgende: Selecteer plannen.

   Op het tabblad Plannen selecteren kiest u welke Defender voor Cloud-functies u voor dit AWS-account wilt inschakelen. Elk plan heeft zijn eigen vereisten voor machtigingen en kan kosten in rekening brengen.

   

   Belangrijk

   Om de huidige status van uw aanbevelingen te presenteren, voert het Microsoft Defender Cloud Security Posture Management-plan meerdere keren per dag een query uit op de AWS-resource-API's. Voor deze alleen-lezen API-aanroepen worden geen kosten in rekening gebracht, maar ze worden geregistreerd in CloudTrail als u een trail inschakelt voor leesgebeurtenissen.

   In de documentatie van AWS wordt uitgelegd dat er geen extra kosten in rekening worden gebracht voor het houden van één spoor. Als u de gegevens uit AWS exporteert (bijvoorbeeld naar een extern SIEM-systeem), kan dit toegenomen aantal aanroepen ook de opnamekosten verhogen. In dergelijke gevallen adviseren we om de read-only-verzoeken uit de Microsoft Defender voor Cloud gebruikers- of ARN-rol te filteren: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Dit is de standaardrolnaam. Bevestig de rolnaam die is geconfigureerd voor uw account.)

2. Standaard is het serversplan ingesteld op Aan. Deze instelling is nodig om de dekking van Defender for Servers uit te breiden naar AWS EC2. Zorg ervoor dat u voldoet aan de netwerkvereisten voor Azure Arc.

   Selecteer optioneel Configureren om de configuratie naar behoefte te bewerken.

   Notitie

   De respectieve Azure Arc-servers voor EC2-exemplaren of virtuele GCP-machines die niet meer bestaan (en de respectieve Azure Arc-servers met de status Verbinding verbroken of Verlopen) worden na zeven dagen verwijderd. Met dit proces worden irrelevante Azure Arc-entiteiten verwijderd om ervoor te zorgen dat alleen Azure Arc-servers met betrekking tot bestaande exemplaren worden weergegeven.

3. Standaard is het Containers-plan ingesteld op Aan. Deze instelling is nodig om Defender for Containers uw AWS EKS-clusters te laten beveiligen. Zorg ervoor dat u voldoet aan de netwerkvereisten voor het Defender for Containers-plan.

   Notitie

   Kubernetes met Azure Arc, de Azure Arc-extensies voor Defender-sensor en Azure Policy voor Kubernetes moeten worden geïnstalleerd. Gebruik de specifieke aanbevelingen van Defender voor Cloud om de extensies (en Azure Arc, indien nodig) in te zetten, zoals uitgelegd in Bescherm Amazon Elastic Kubernetes Service-clusters.

   Selecteer optioneel Configureren om de configuratie naar behoefte te bewerken. Als u ervoor kiest om deze configuratie uit te schakelen, wordt de functie Bedreigingsdetectie (besturingsvlak) ook uitgeschakeld. Meer informatie over beschikbaarheid van functies.

4. Standaard is het plan Databases ingesteld op Aan. Deze instelling is nodig om de dekking van Defender voor SQL uit te breiden naar AWS EC2 en RDS Custom voor SQL Server en opensource relationele databases op RDS.

   (Optioneel) Selecteer Configureren om de configuratie naar behoefte te bewerken. U wordt aangeraden deze in te stellen op de standaardconfiguratie.

5. Selecteer Toegang configureren en selecteer het volgende:

   een. Selecteer een implementatietype:

   • Standaardtoegang: hiermee kunt Defender voor Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.
   • Toegang tot minimale bevoegdheden: verleent Defender voor Cloud alleen toegang tot de huidige machtigingen die nodig zijn voor de geselecteerde plannen. Als u de minst bevoorrechte machtigingen selecteert, ontvangt u meldingen over nieuwe rollen en machtigingen die nodig zijn om de volledige functionaliteit van de connectorgezondheid te garanderen.

   b. Selecteer een implementatiemethode: AWS CloudFormation of Terraform.

   

   Notitie

   Als u beheeraccount selecteert om een connector te maken voor een beheeraccount, is het tabblad voor onboarding met Terraform niet zichtbaar in de gebruikersinterface, maar u kunt nog steeds onboarden met behulp van Terraform, vergelijkbaar met de methode die wordt uitgelegd in Het onboarden van uw AWS/GCP-omgeving naar Microsoft Defender for Cloud met Terraform - Microsoft Community Hub.

6. Volg de instructies op het scherm voor de geselecteerde implementatiemethode om de vereiste afhankelijkheden van AWS te voltooien. Als u een beheeraccount onboardt, moet u de CloudFormation-sjabloon zowel als Stack als StackSet uitvoeren. Connectors worden tot 24 uur na de onboarding voor de lidaccounts aangemaakt.

7. Selecteer Volgende: Controleren en genereren.

8. Selecteer Maken.

Defender voor Cloud begint onmiddellijk met het scannen van uw AWS-resources. Beveiligingsaanbevelingen verschijnen binnen een paar uur.

Een CloudFormation-sjabloon implementeren in uw AWS-account

Als onderdeel van het verbinden van een AWS-account met Microsoft Defender voor Cloud, implementeert u een CloudFormation-sjabloon naar het AWS-account. Met deze sjabloon maakt u alle vereiste resources voor de verbinding.

Implementeer de CloudFormation-sjabloon met behulp van Stack (of StackSet als u een beheeraccount hebt). Wanneer u de sjabloon implementeert, biedt de wizard Stack maken de volgende opties.

• Amazon S3-URL: Upload de gedownloade CloudFormation-sjabloon naar uw eigen S3-bucket met uw eigen beveiligingsconfiguraties. Voer de URL naar de S3-bucket in de AWS-implementatiewizard in.

• Een sjabloonbestand uploaden: AWS maakt automatisch een S3-bucket waarnaar de CloudFormation-sjabloon wordt opgeslagen. De automatisering voor de S3-bucket heeft een onjuiste beveiligingsconfiguratie waardoor de S3 buckets should require requests to use Secure Socket Layer aanbeveling wordt weergegeven. U kunt deze aanbeveling herstellen door het volgende beleid toe te passen:

  { 
    "Id": "ExamplePolicy", 
    "Version": "2012-10-17", 
    "Statement": [ 
      { 
        "Sid": "AllowSSLRequestsOnly", 
        "Action": "s3:*", 
        "Effect": "Deny", 
        "Resource": [ 
          "<S3_Bucket ARN>", 
          "<S3_Bucket ARN>/*" 
        ], 
        "Condition": { 
          "Bool": { 
            "aws:SecureTransport": "false" 
          } 
        }, 
        "Principal": "*" 
      } 
    ] 
  } 
  

  Notitie

  Wanneer u de CloudFormation StackSets uitvoert bij het onboarden van een AWS-beheeraccount, kan het volgende foutbericht optreden: You must enable organizations access to operate a service managed stack set

  Deze fout geeft aan dat u de vertrouwde toegang voor AWS-organisaties niet hebt ingeschakeld.

  Als u dit foutbericht wilt oplossen, heeft de pagina CloudFormation StackSets een prompt met een knop die u kunt selecteren om vertrouwde toegang in te schakelen. Nadat vertrouwde toegang is ingeschakeld, moet de CloudFormation Stack opnieuw worden uitgevoerd.

Uw AWS-resources bewaken

Op de pagina met aanbevelingen voor beveiliging in Defender voor Cloud worden uw AWS-resources weergegeven. U kunt het omgevingsfilter gebruiken om te genieten van mogelijkheden voor meerdere clouds in Defender voor Cloud.

Als u alle actieve aanbevelingen voor uw resources per resourcetype wilt weergeven, gebruikt u de pagina assetinventaris in Defender voor Cloud en filtert u op het AWS-resourcetype waarin u geïnteresseerd bent.

Integreren met Microsoft Defender XDR

Wanneer u Defender voor Cloud inschakelt, worden de beveiligingswaarschuwingen automatisch geïntegreerd in de Microsoft Defender-portal.

De integratie tussen Microsoft Defender voor Cloud en Microsoft Defender XDR brengt uw cloudomgevingen naar Microsoft Defender XDR. Met Defender voor Cloud waarschuwingen en cloudcorrelaties die zijn geïntegreerd in Microsoft Defender XDR, hebben SOC-teams nu toegang tot alle beveiligingsgegevens vanuit één interface.

Meer informatie over de waarschuwingen van Defender voor Cloud in Microsoft Defender XDR.

Meer informatie

Bekijk de volgende blogs:

• Ignite 2021: Microsoft Defender voor Cloud nieuws
• Beveiligingspostuurbeheer en serverbeveiliging voor AWS en GCP

Resources opschonen

U hoeft geen resources voor dit artikel op te schonen.

Volgende stappen

Het verbinden van uw AWS-account maakt deel uit van de multicloud-ervaring die beschikbaar is in Microsoft Defender voor Cloud:

• Wijs toegang toe aan workloadeigenaren.
• Beveilig al uw resources met Defender voor Cloud.
• Stel uw on-premises machines en GCP-projecten in.
• Krijg antwoorden op veelgestelde vragen over onboarding van uw AWS-account.
• Problemen met uw connectors voor meerdere clouds oplossen.