Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt
Notitie
Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft 365 Defender, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft 365 Defender voor meer informatie.
Amazon Web Services is een IaaS-provider waarmee uw organisatie de volledige workloads in de cloud kan hosten en beheren. Naast de voordelen van het gebruik van infrastructuur in de cloud, kunnen de belangrijkste assets van uw organisatie worden blootgesteld aan bedreigingen. Blootgestelde assets omvatten opslagexemplaren met mogelijk gevoelige informatie, rekenresources die enkele van uw meest kritieke toepassingen, poorten en virtuele particuliere netwerken gebruiken die toegang tot uw organisatie mogelijk maken.
Verbinding maken AWS te Defender voor Cloud Apps helpt u bij het beveiligen van uw assets en het detecteren van mogelijke bedreigingen door beheer- en aanmeldingsactiviteiten te controleren, op de hoogte te stellen van mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegd gebruikersaccount, ongebruikelijke verwijderingen van VM's en openbaar blootgestelde opslagbuckets.
Belangrijkste bedreigingen
- Misbruik van cloudresources
- Gecompromitteerde accounts en bedreigingen van insiders
- Gegevenslekken
- Onjuiste configuratie van resources en onvoldoende toegangsbeheer
Hoe Defender voor Cloud Apps uw omgeving helpt beschermen
- Cloudbedreigingen, gecompromitteerde accounts en kwaadwillende insiders detecteren
- Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
- Het audittrail van activiteiten voor forensisch onderzoek gebruiken
AWS beheren met ingebouwde beleidsregels en beleidssjablonen
U kunt de volgende ingebouwde beleidssjablonen gebruiken om u te detecteren en op de hoogte te stellen van mogelijke bedreigingen:
| Type | Naam |
|---|---|
| Sjabloon voor activiteitenbeleid | aanmeldingsfouten Beheer console CloudTrail-configuratiewijzigingen Configuratiewijzigingen voor EC2-exemplaren Wijzigingen in IAM-beleid Aanmelding vanaf een riskant IP-adres Wijzigingen in de lijst met netwerktoegangsbeheer (ACL's) Wijzigingen in de netwerkgateway S3-configuratiewijzigingen Configuratiewijzigingen van beveiligingsgroepen Wijzigingen in virtueel particulier netwerk |
| Ingebouwd beleid voor anomaliedetectie | Activiteit van anonieme IP-adressen Activiteit van onregelmatig land Activiteit van verdachte IP-adressen Onmogelijke reis Activiteit uitgevoerd door beëindigde gebruiker (vereist Azure Active Directory als IdP) Meerdere mislukte aanmeldingspogingen Ongebruikelijke administratieve activiteiten Ongebruikelijke activiteiten voor meerdere opslagverwijderingen (preview) Meerdere VM-activiteiten verwijderen Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview) Ongebruikelijke regio voor cloudresource (preview) |
| Sjabloon voor bestandsbeleid | S3-bucket is openbaar toegankelijk |
Zie Een beleid maken voor meer informatie over het maken van beleid.
Besturingselementen voor governance automatiseren
Naast het bewaken van mogelijke bedreigingen, kunt u de volgende AWS-beheeracties toepassen en automatiseren om gedetecteerde bedreigingen te verhelpen:
| Type | Actie |
|---|---|
| Gebruikersbeheer | - Gebruiker waarschuwen voor waarschuwing (via Azure AD) - Vereisen dat de gebruiker zich opnieuw aanmeldt (via Azure AD) - Gebruiker onderbreken (via Azure AD) |
| Gegevens-governance | - Een S3-bucket privé maken - Een samenwerker voor een S3-bucket verwijderen |
Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.
AWS in realtime beveiligen
Bekijk onze aanbevolen procedures voor het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.