Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt

  • Artikel

Amazon Web Services is een IaaS-provider waarmee uw organisatie de volledige workloads in de cloud kan hosten en beheren. Naast de voordelen van het gebruik van infrastructuur in de cloud, kunnen de belangrijkste assets van uw organisatie worden blootgesteld aan bedreigingen. Blootgestelde assets omvatten opslagexemplaren met mogelijk gevoelige informatie, rekenresources die enkele van uw meest kritieke toepassingen, poorten en virtuele particuliere netwerken gebruiken die toegang tot uw organisatie mogelijk maken.

Verbinding maken AWS te Defender voor Cloud Apps helpt u bij het beveiligen van uw assets en het detecteren van mogelijke bedreigingen door beheer- en aanmeldingsactiviteiten te controleren, op de hoogte te stellen van mogelijke beveiligingsaanvallen, schadelijk gebruik van een bevoegd gebruikersaccount, ongebruikelijke verwijderingen van VM's en openbaar blootgestelde opslagbuckets.

Belangrijkste bedreigingen

  • Misbruik van cloudresources
  • Gecompromitteerde accounts en bedreigingen van insiders
  • Gegevenslekken
  • Onjuiste configuratie van resources en onvoldoende toegangsbeheer

Hoe Defender voor Cloud Apps uw omgeving helpt beschermen

AWS beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om u te detecteren en op de hoogte te stellen van mogelijke bedreigingen:

Type Naam
Sjabloon voor activiteitenbeleid aanmeldingsfouten Beheer console
CloudTrail-configuratiewijzigingen
Configuratiewijzigingen voor EC2-exemplaren
Wijzigingen in IAM-beleid
Aanmelding vanaf een riskant IP-adres
Wijzigingen in de lijst met netwerktoegangsbeheer (ACL's)
Wijzigingen in de netwerkgateway
S3-configuratiewijzigingen
Configuratiewijzigingen van beveiligingsgroepen
Wijzigingen in virtueel particulier netwerk
Ingebouwd beleid voor anomaliedetectie Activiteit van anonieme IP-adressen
Activiteit van onregelmatig land
Activiteit van verdachte IP-adressen
Onmogelijke reis
Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP)
Meerdere mislukte aanmeldingspogingen
Ongebruikelijke administratieve activiteiten
Ongebruikelijke activiteiten voor meerdere opslagverwijderingen (preview)
Meerdere VM-activiteiten verwijderen
Ongebruikelijke activiteiten voor het maken van meerdere VM's (preview)
Ongebruikelijke regio voor cloudresource (preview)
Sjabloon voor bestandsbeleid S3-bucket is openbaar toegankelijk

Zie Een beleid maken voor meer informatie over het maken van beleid.

Besturingselementen voor governance automatiseren

Naast het bewaken van mogelijke bedreigingen, kunt u de volgende AWS-beheeracties toepassen en automatiseren om gedetecteerde bedreigingen te verhelpen:

Type Actie
Gebruikersbeheer - Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra-id)
- Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID)
- Gebruiker onderbreken (via Microsoft Entra-id)
Gegevens-governance - Een S3-bucket privé maken
- Een samenwerker voor een S3-bucket verwijderen

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

AWS in realtime beveiligen

Bekijk onze aanbevolen procedures voor het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

Verbinding maken Amazon Web Services om apps te Microsoft Defender voor Cloud

In deze sectie vindt u instructies voor het verbinden van uw bestaande AWS-account (Amazon Web Services) met Microsoft Defender voor Cloud Apps met behulp van de connector-API's. Zie AWS beveiligen voor meer informatie over hoe Defender voor Cloud Apps AWS beveiligt.

U kunt AWS Security Auditing verbinden met Defender voor Cloud Apps-verbindingen om inzicht te krijgen in en controle te krijgen over het gebruik van AWS-apps.

Stap 1: Amazon Web Services-controle configureren

  1. Selecteer IAM in uw Amazon Web Services-console onder Beveiliging, Identiteit en naleving.

    AWS identity and access.

  2. Selecteer Gebruikers en selecteer vervolgens Gebruiker toevoegen.

    AWS users.

  3. Geef in de stap Details een nieuwe gebruikersnaam op voor Defender voor Cloud Apps. Zorg ervoor dat u onder Access-type programmatische toegang selecteert en volgende machtigingen selecteert.

    Create user in AWS.

  4. Selecteer Bestaande beleidsregels rechtstreeks bijvoegen en vervolgens Beleid maken.

    Attach existing policies.

  5. Selecteer het JSON-tabblad:

    AWS JSON tab.

  6. Plak het volgende script in het opgegeven gebied:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selecteer Volgende: Tags

    AWS code.

  8. Selecteer Volgende: Controleren.

    Add tags (optional).

  9. Geef een naam op en selecteer Beleid maken.

    Provide AWS policy name.

  10. In het scherm Gebruiker toevoegen vernieuwt u indien nodig de lijst en selecteert u de gebruiker die u hebt gemaakt en selecteert u Volgende: Tags.

    Attach existing policy in AWS.

  11. Selecteer Volgende: Controleren.

  12. Als alle details juist zijn, selecteert u Gebruiker maken.

    User permissions in AWS.

  13. Wanneer u het bericht met succes krijgt, selecteert u Downloaden .csv om een kopie van de referenties van de nieuwe gebruiker op te slaan. U hebt deze later nodig.

    Download csv in AWS.

    Notitie

    Nadat u verbinding hebt gemaakt met AWS, ontvangt u gebeurtenissen gedurende zeven dagen voorafgaand aan de verbinding. Als u CloudTrail zojuist hebt ingeschakeld, ontvangt u gebeurtenissen vanaf het moment dat u CloudTrail hebt ingeschakeld.

Stap 2: controle van Amazon Web Services Verbinding maken om apps te Defender voor Cloud

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps.

  2. Voer op de pagina App-connector s de referenties van de AWS-connector op een van de volgende manieren uit:

    Voor een nieuwe connector

    1. Selecteer de +Verbinding maken een app, gevolgd door Amazon Web Services.

      connect AWS auditing.

    2. Geef in het volgende venster een naam op voor de connector en selecteer vervolgens Volgende.

      AWS auditing connector name.

    3. Selecteer op de pagina Verbinding maken Amazon Web Services de optie Beveiliging controleren en selecteer vervolgens Volgende.

    4. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      Connect AWS app security auditing for new connector.

    Voor een bestaande connector

    1. Selecteer instellingen bewerken in de lijst met connectors in de rij waarin de AWS-connector wordt weergegeven.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. Selecteer Volgende op de pagina's exemplaarnaam en Verbinding maken Amazon Web Services. Plak op de pagina Beveiligingscontrole de toegangssleutel en geheime sleutel uit het .csv-bestand in de relevante velden en selecteer Volgende.

      Connect AWS app security auditing for existing connector.

  3. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps. Zorg ervoor dat de status van de verbonden app-Verbinding maken or is Verbinding maken.

Volgende stappen

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.