Delen via


AWS-accounts verbinden met Microsoft Defender voor Cloud

Workloads omvatten vaak meerdere cloudplatforms. Cloudbeveiligingsservices moeten hetzelfde doen. Microsoft Defender voor Cloud helpt workloads in Amazon Web Services (AWS) te beveiligen, maar u moet de verbinding tussen deze workloads en Defender voor Cloud instellen.

In de volgende schermopname ziet u AWS-accounts die worden weergegeven in het Defender voor Cloud overzichtsdashboard.

Schermopname van vier AWS-projecten die worden weergegeven op het overzichtsdashboard in Defender voor Cloud.

U kunt meer informatie vinden door de nieuwe AWS-connector te bekijken in Defender voor Cloud video uit de Defender voor Cloud in de videoserie Veld.

AWS-verificatieproces

Federatieve verificatie wordt gebruikt tussen Microsoft Defender voor Cloud en AWS. Alle resources met betrekking tot de verificatie worden gemaakt als onderdeel van de implementatie van de CloudFormation-sjabloon, waaronder:

  • Een id-provider (OpenID Connect)

  • IAM-rollen (Identity and Access Management) met een federatieve principal (verbonden met de id-providers).

De architectuur van het verificatieproces in clouds is als volgt:

Diagram van de architectuur van het verificatieproces in clouds.

Microsoft Defender voor Cloud CSPM-service krijgt een Microsoft Entra-token met een geldigheidsduur van 1 uur dat is ondertekend door de Microsoft Entra-id met behulp van het RS256-algoritme.

Het Microsoft Entra-token wordt uitgewisseld met korte referenties van AWS en de CSPM-service van Defender voor Cloud gaat ervan uit dat de CSPM IAM-rol (aangenomen met webidentiteit).

Aangezien het principe van de rol een federatieve identiteit is zoals gedefinieerd in een vertrouwensrelatiebeleid, valideert de AWS-id-provider het Microsoft Entra-token met de Microsoft Entra-id via een proces dat het volgende omvat:

  • doelgroepvalidatie

  • validatie van digitale handtekening voor tokens

  • vingerafdruk van certificaat

De Microsoft Defender voor Cloud CSPM-rol wordt alleen aangenomen nadat aan de validatievoorwaarden is voldaan die zijn gedefinieerd in de vertrouwensrelatie. De voorwaarden die voor het rolniveau zijn gedefinieerd, worden gebruikt voor validatie binnen AWS en staan alleen de Microsoft Defender voor Cloud CSPM-toepassing (gevalideerde doelgroep) toegang tot de specifieke rol (en geen ander Microsoft-token) toe.

Nadat het Microsoft Entra-token is gevalideerd door de AWS-id-provider, wisselt de AWS STS het token uit met kortlevende AWS-referenties die door de CSPM-service worden gebruikt om het AWS-account te scannen.

Vereisten

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

  • Een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.

  • Microsoft Defender voor Cloud instellen voor uw Azure-abonnement.

  • Toegang tot een AWS-account.

  • Machtiging op inzenderniveau voor het relevante Azure-abonnement.

Notitie

De AWS-connector is niet beschikbaar in de nationale overheidsclouds (Azure Government, Microsoft Azure beheerd door 21Vianet).

Vereisten voor systeemeigen connectorplannen

Elk plan heeft zijn eigen vereisten voor de systeemeigen connector.

Defender voor Containers

Als u het Microsoft Defender for Containers-abonnement kiest, hebt u het volgende nodig:

  • Ten minste één Amazon EKS-cluster met toestemming voor toegang tot de EKS Kubernetes API-server. Als u een nieuw EKS-cluster wilt maken, volgt u de instructies in Aan de slag met Amazon EKS – eksctl.
  • De resourcecapaciteit voor het maken van een nieuwe Amazon SQS-wachtrij, Kinesis Data Firehose leveringsstroom en Amazon S3-bucket in de regio van het cluster.

Defender voor SQL

Als u het Microsoft Defender voor SQL-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor SQL ingeschakeld voor uw abonnement. Meer informatie over het beveiligen van uw databases.
  • Een actief AWS-account met EC2-exemplaren waarop SQL Server of RDS Custom voor SQL Server wordt uitgevoerd.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren of RDS Custom voor SQL Server.

U wordt aangeraden het proces voor automatisch inrichten te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische inrichting van Azure Arc wilt inschakelen, hebt u de machtiging Eigenaar nodig voor het relevante Azure-abonnement.

AWS Systems Manager (SSM) maakt gebruik van de SSM-agent voor het afhandelen van automatische inrichting. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van deze instructies van Amazon: SSM Agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows).

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft. Het maakt kernfunctionaliteit mogelijk voor de AWS Systems Manager-service.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunten
  • Een oplossing voor evaluatie van beveiligingsproblemen (TVM of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten (Google Cloud Platform) onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Defender voor opensource-databases (preview)

Als u het abonnement defender voor opensource-relationele databases kiest, hebt u het volgende nodig:

Beschikbaarheid van regio's: Alle openbare AWS-regio's (met uitzondering van Tel Aviv, Milaan, Jakarta, Spanje en Milaan).

Defender voor Servers

Als u het Microsoft Defender for Servers-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor Servers ingeschakeld voor uw abonnement. Meer informatie over het inschakelen van plannen in verbeterde beveiligingsfuncties inschakelen.
  • Een actief AWS-account met EC2-exemplaren.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren.

U wordt aangeraden het proces voor automatisch inrichten te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische inrichting van Azure Arc wilt inschakelen, hebt u de machtiging Eigenaar nodig voor het relevante Azure-abonnement.

AWS Systems Manager richt automatisch de inrichting in met behulp van de SSM-agent. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van een van de volgende instructies van Amazon:

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft, waardoor de kernfunctionaliteit voor de AWS Systems Manager-service mogelijk is.

U moet de SSM-agent hebben voor het automatisch inrichten van Arc-agent op EC2-machines. Als de SSM niet bestaat of wordt verwijderd uit de EC2, kan de Arc-inrichting niet doorgaan.

Notitie

Als onderdeel van de CloudFormation-sjabloon die wordt uitgevoerd tijdens het onboardingproces, wordt er elke 30 dagen een automatiseringsproces gemaakt en geactiveerd voor alle EC2's die bestonden tijdens de eerste uitvoering van de CloudFormation. Het doel van deze geplande scan is ervoor te zorgen dat alle relevante EC2's een IAM-profiel hebben met het vereiste IAM-beleid waarmee Defender voor Cloud toegang heeft tot, beheren en bieden van de relevante beveiligingsfuncties (inclusief het inrichten van de Arc-agent). De scan is niet van toepassing op EC2's die zijn gemaakt na de uitvoering van de CloudFormation.

Als u Azure Arc handmatig wilt installeren op uw bestaande en toekomstige EC2-exemplaren, moet u de EC2-exemplaren verbinden met azure Arc-aanbeveling om exemplaren te identificeren waarop Azure Arc niet is geïnstalleerd.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunten
  • Een oplossing voor evaluatie van beveiligingsproblemen (TVM of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Notitie

Aangezien de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 is ingesteld op buiten gebruik stellen, zijn alle functies en beveiligingsmogelijkheden van Defender for Servers die momenteel afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt integratie of zonder agent scannen, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.

Defender voor Servers wijst tags toe aan uw Azure ARC-resources boven op uw EC2-exemplaren om het proces voor automatisch inrichten te beheren. U moet deze tags correct aan uw resources hebben toegewezen, zodat Defender voor Cloud ze kunnen beheren: AccountId, Cloud, InstanceIden MDFCSecurityConnector.

Defender CSPM

Als u het Microsoft Defender CSPM-abonnement kiest, hebt u het volgende nodig:

  • een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
  • U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
  • Verbind uw niet-Azure-machines, AWS-accounts.
  • Als u toegang wilt krijgen tot alle functies die beschikbaar zijn in het CSPM-abonnement, moet het abonnement worden ingeschakeld door de eigenaar van het abonnement.
  • Als u CIEM-mogelijkheden (Cloud Infrastructure Entitlement Management) wilt inschakelen, moet het Entra ID-account dat wordt gebruikt voor het onboardingproces de directoryrol Toepassingsbeheerder of CloudToepassingsbeheerder voor uw tenant hebben (of gelijkwaardige beheerdersrechten voor het maken van app-registraties). Deze vereiste is alleen nodig tijdens het onboardingproces.

Meer informatie over het inschakelen van Defender CSPM.

Verbinding maken met uw AWS-account

Uw AWS verbinden met Defender voor Cloud met behulp van een systeemeigen connector:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Omgevingsinstellingen.

  3. Selecteer Omgeving toevoegen>Amazon Web Services.

    Schermopname van het verbinden van een AWS-account met een Azure-abonnement.

  4. Voer de details van het AWS-account in, inclusief de locatie waar u de connectorresource opslaat.

    Schermopname van het tabblad voor het invoeren van accountgegevens voor een AWS-account.

    Met de vervolgkeuzelijst AWS-regio's kunt u de regio's selecteren waarnaar Defender voor Cloud API-aanroepen uitvoert. Elke regio die uit de vervolgkeuzelijst wordt gedeselecteerd, impliceert dat Defender voor Cloud geen API-aanroepen naar deze regio's uitvoert.

  5. Selecteer een scaninterval tussen 1 en 24 uur.

    Sommige gegevensverzamelaars worden uitgevoerd met vaste scanintervallen en worden niet beïnvloed door aangepaste intervalconfiguraties. In de volgende tabel ziet u de vaste scanintervallen voor elke uitgesloten gegevensverzamelaar:

    Naam van gegevensverzamelaar Scaninterval
    EC2Instance
    ECRImage
    ECRRepository
    RDSDBInstance
    S3Bucket
    S3BucketTags
    S3Regio
    EKSCluster
    EKSClusterName
    EKSNodegroup
    EKSNodegroupName
    AutoScalingAutoScalingGroup
    1 uur
    EcsClusterArn
    EcsService
    EcsServiceArn
    EcsTaskDefinition
    EcsTaskDefinitionArn
    EcsTaskDefinitionTags
    AwsPolicyVersion
    LocalPolicyVersion
    AwsEntitiesForPolicy
    LocalEntitiesForPolicy
    BucketEncryption
    BucketPolicy
    S3PublicAccessBlockConfiguration
    BucketVersioning
    S3LifecycleConfiguration
    BucketPolicyStatus
    S3ReplicationConfiguration
    S3AccessControlList
    S3BucketLoggingConfig
    PublicAccessBlockConfiguration
    12 uur

Notitie

(Optioneel) Selecteer Beheeraccount om een connector voor een beheeraccount te maken. Connectors worden vervolgens gemaakt voor elk lidaccount dat wordt gedetecteerd onder het opgegeven beheeraccount. Automatische inrichting is ook ingeschakeld voor alle nieuw voorbereide accounts.

(Optioneel) Gebruik de vervolgkeuzelijst AWS-regio's om specifieke AWS-regio's te selecteren die moeten worden gescand. Alle regio's zijn standaard geselecteerd.

Defender-abonnementen selecteren

In deze sectie van de wizard selecteert u de Defender voor Cloud plannen die u wilt inschakelen.

  1. Selecteer Volgende: Selecteer plannen.

    Op het tabblad Plannen selecteren kiest u welke Defender voor Cloud mogelijkheden om dit AWS-account in te schakelen. Elk plan heeft zijn eigen vereisten voor machtigingen en kan kosten in rekening brengen.

    Schermopname van het tabblad voor het selecteren van plannen voor een AWS-account.

    Belangrijk

    Om de huidige status van uw aanbevelingen te presenteren, voert het Microsoft Defender Cloud Security Posture Management-plan meerdere keren per dag een query uit op de AWS-resource-API's. Voor deze alleen-lezen API-aanroepen worden geen kosten in rekening gebracht, maar ze worden geregistreerd in CloudTrail als u een trail voor leesgebeurtenissen hebt ingeschakeld.

    Zoals uitgelegd in de AWS-documentatie, zijn er geen extra kosten verbonden aan het houden van één spoor. Als u de gegevens uit AWS exporteert (bijvoorbeeld naar een extern SIEM-systeem), kan dit toegenomen aantal aanroepen ook de opnamekosten verhogen. In dergelijke gevallen raden we u aan om de alleen-lezen aanroepen uit de Defender voor Cloud gebruikers- of ARN-rol te filteren: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Dit is de standaardrolnaam. Bevestig de rolnaam die is geconfigureerd voor uw account.)

  2. Standaard is het serversplan ingesteld op Aan. Deze instelling is nodig om de dekking van Defender for Servers uit te breiden naar AWS EC2. Zorg ervoor dat u voldoet aan de netwerkvereisten voor Azure Arc.

    Selecteer optioneel Configureren om de configuratie naar behoefte te bewerken.

    Notitie

    De respectieve Azure Arc-servers voor EC2-exemplaren of virtuele GCP-machines die niet meer bestaan (en de respectieve Azure Arc-servers met de status Verbinding verbroken of Verlopen) worden na 7 dagen verwijderd. Met dit proces worden irrelevante Azure Arc-entiteiten verwijderd om ervoor te zorgen dat alleen Azure Arc-servers met betrekking tot bestaande exemplaren worden weergegeven.

  3. Standaard is het Containers-plan ingesteld op Aan. Deze instelling is nodig om Defender for Containers uw AWS EKS-clusters te laten beveiligen. Zorg ervoor dat u voldoet aan de netwerkvereisten voor het Defender for Containers-plan.

    Notitie

    Kubernetes met Azure Arc, de Azure Arc-extensies voor Defender-sensor en Azure Policy voor Kubernetes moeten worden geïnstalleerd. Gebruik de aanbevelingen voor toegewezen Defender voor Cloud om de extensies (en Azure Arc, indien nodig), te implementeren, zoals wordt uitgelegd in Clusters van Amazon Elastic Kubernetes Service.

    Selecteer optioneel Configureren om de configuratie naar behoefte te bewerken. Als u ervoor kiest om deze configuratie uit te schakelen, wordt de functie Bedreigingsdetectie (besturingsvlak) ook uitgeschakeld. Meer informatie over beschikbaarheid van functies.

  4. Standaard is het plan Databases ingesteld op Aan. Deze instelling is nodig om de dekking van Defender voor SQL uit te breiden naar AWS EC2 en RDS Custom voor SQL Server en opensource relationele databases op RDS.

    (Optioneel) Selecteer Configureren om de configuratie naar behoefte te bewerken. U wordt aangeraden deze in te stellen op de standaardconfiguratie.

  5. Selecteer Toegang configureren en selecteer het volgende:

    a. Selecteer een implementatietype:

    • Standaardtoegang: hiermee kunt Defender voor Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.
    • Toegang tot minimale bevoegdheden: verleent Defender voor Cloud alleen toegang tot de huidige machtigingen die nodig zijn voor de geselecteerde plannen. Als u de minst bevoegde machtigingen selecteert, ontvangt u meldingen over nieuwe rollen en machtigingen die nodig zijn om volledige functionaliteit voor de connectorstatus te krijgen.

    b. Selecteer een implementatiemethode: AWS CloudFormation of Terraform.

    Schermopname van implementatieopties en instructies voor het configureren van toegang.

    Notitie

    Als u beheeraccount selecteert om een connector te maken voor een beheeraccount, is het tabblad voor onboarding met Terraform niet zichtbaar in de gebruikersinterface, maar u kunt nog steeds onboarden met Behulp van Terraform, vergelijkbaar met wat wordt behandeld bij onboarding van uw AWS/GCP-omgeving om te Microsoft Defender voor Cloud met Terraform - Microsoft Community Hub.

  6. Volg de instructies op het scherm voor de geselecteerde implementatiemethode om de vereiste afhankelijkheden van AWS te voltooien. Als u een beheeraccount onboardt, moet u de CloudFormation-sjabloon zowel als Stack als StackSet uitvoeren. Connectors worden maximaal 24 uur na de onboarding voor de lidaccounts gemaakt.

  7. Selecteer Volgende: Controleren en genereren.

  8. Selecteer Maken.

Defender voor Cloud begint onmiddellijk met het scannen van uw AWS-resources. Beveiligingsaan aanbevelingen worden binnen een paar uur weergegeven.

Een CloudFormation-sjabloon implementeren in uw AWS-account

Als onderdeel van het verbinden van een AWS-account met Microsoft Defender voor Cloud, implementeert u een CloudFormation-sjabloon naar het AWS-account. Met deze sjabloon maakt u alle vereiste resources voor de verbinding.

Implementeer de CloudFormation-sjabloon met behulp van Stack (of StackSet als u een beheeraccount hebt). Wanneer u de sjabloon implementeert, biedt de wizard Stack maken de volgende opties.

Schermopname van de wizard Stack maken met opties voor sjabloonbronnen.

  • Amazon S3-URL: Upload de gedownloade CloudFormation-sjabloon naar uw eigen S3-bucket met uw eigen beveiligingsconfiguraties. Voer de URL in van de S3-bucket in de WIZARD AWS-implementatie.

  • Een sjabloonbestand uploaden: AWS maakt automatisch een S3-bucket waarnaar de CloudFormation-sjabloon wordt opgeslagen. De automatisering voor de S3-bucket heeft een onjuiste beveiligingsconfiguratie waardoor de S3 buckets should require requests to use Secure Socket Layer aanbeveling wordt weergegeven. U kunt deze aanbeveling herstellen door het volgende beleid toe te passen:

    { 
      "Id": "ExamplePolicy", 
      "Version": "2012-10-17", 
      "Statement": [ 
        { 
          "Sid": "AllowSSLRequestsOnly", 
          "Action": "s3:*", 
          "Effect": "Deny", 
          "Resource": [ 
            "<S3_Bucket ARN>", 
            "<S3_Bucket ARN>/*" 
          ], 
          "Condition": { 
            "Bool": { 
              "aws:SecureTransport": "false" 
            } 
          }, 
          "Principal": "*" 
        } 
      ] 
    } 
    

    Notitie

    Wanneer u de CloudFormation StackSets uitvoert bij het onboarden van een AWS-beheeraccount, kan het volgende foutbericht optreden: You must enable organizations access to operate a service managed stack set

    Deze fout geeft aan dat u de vertrouwde toegang voor AWS-organisaties niet hebt ingeschakeld.

    Als u dit foutbericht wilt oplossen, heeft de pagina CloudFormation StackSets een prompt met een knop die u kunt selecteren om vertrouwde toegang in te schakelen. Nadat vertrouwde toegang is ingeschakeld, moet de CloudFormation Stack opnieuw worden uitgevoerd.

Uw AWS-resources bewaken

Op de pagina met aanbevelingen voor beveiliging in Defender voor Cloud worden uw AWS-resources weergegeven. U kunt het omgevingsfilter gebruiken om te genieten van mogelijkheden voor meerdere clouds in Defender voor Cloud.

Als u alle actieve aanbevelingen voor uw resources per resourcetype wilt weergeven, gebruikt u de pagina assetinventaris in Defender voor Cloud en filtert u op het AWS-resourcetype waarin u geïnteresseerd bent.

Schermopname van AWS-opties in het resourcetypefilter van de pagina assetinventaris.

Integreren met Microsoft Defender XDR

Wanneer u Defender voor Cloud inschakelt, worden de beveiligingswaarschuwingen automatisch geïntegreerd in de Microsoft Defender-portal. Er zijn geen verdere stappen nodig.

De integratie tussen Microsoft Defender voor Cloud en Microsoft Defender XDR brengt uw cloudomgevingen naar Microsoft Defender XDR. Met Defender voor Cloud waarschuwingen en cloudcorrelaties die zijn geïntegreerd in Microsoft Defender XDR, hebben SOC-teams nu toegang tot alle beveiligingsgegevens vanuit één interface.

Meer informatie over de waarschuwingen van Defender voor Cloud in Microsoft Defender XDR.

Meer informatie

Bekijk de volgende blogs:

Resources opschonen

U hoeft geen resources voor dit artikel op te schonen.

Volgende stappen

Het verbinden van uw AWS-account maakt deel uit van de multicloud-ervaring die beschikbaar is in Microsoft Defender voor Cloud: