Edytuj

Rozwiązania zabezpieczeń platformy Azure dla platformy AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

W tym przewodniku pokazano, jak Microsoft Defender dla Chmury Apps i Microsoft Sentinel mogą pomóc w zabezpieczaniu i ochronie dostępu do kont i środowisk usług Amazon Web Services (AWS).

Organizacje platformy AWS korzystające z identyfikatora Microsoft Entra ID na potrzeby tożsamości platformy Microsoft 365 lub tożsamości chmury hybrydowej i ochrony dostępu mogą szybko i łatwo wdrażać identyfikator Entra firmy Microsoft dla kont platformy AWS, często bez dodatkowych kosztów.

Architektura

Na tym diagramie podsumowano, w jaki sposób instalacje platformy AWS mogą korzystać z kluczowych składników zabezpieczeń firmy Microsoft:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Pobierz plik programu PowerPoint tej architektury.

Workflow

  • Microsoft Entra ID zapewnia scentralizowane logowanie jednokrotne (SSO) i silne uwierzytelnianie za pośrednictwem uwierzytelniania wieloskładnikowego i funkcji dostępu warunkowego. Identyfikator Entra firmy Microsoft obsługuje tożsamości oparte na rolach platformy AWS i autoryzację dostępu do zasobów platformy AWS. Aby uzyskać więcej informacji i szczegółowe instrukcje, zobacz Microsoft Entra identity and access management for AWS (Zarządzanie tożsamościami i dostępem firmy Microsoft dla platformy AWS). Zarządzanie uprawnieniami Microsoft Entra to produkt do zarządzania upoważnieniami do infrastruktury w chmurze (CIEM), który zapewnia kompleksową widoczność i kontrolę nad uprawnieniami dla dowolnej tożsamości lub zasobu platformy AWS. Za pomocą Zarządzanie uprawnieniami Microsoft Entra można wykonywać następujące czynności:

    • Uzyskaj wielowymiarowy widok ryzyka, oceniając tożsamości, uprawnienia i zasoby.
    • Automatyzacja wymuszania zasad najniższych uprawnień w całej infrastrukturze wielochmurowej.
    • Użyj wykrywania anomalii i odstających, aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niewłaściwym użyciem i złośliwym wykorzystaniem uprawnień.

    Aby uzyskać więcej informacji i szczegółowe instrukcje dołączania, zobacz Dołączanie konta usług Amazon Web Services (AWS).

  • aplikacje Defender dla Chmury:

    • Integruje się z funkcją dostępu warunkowego firmy Microsoft Entra, aby wymusić dodatkowe ograniczenia.
    • Pomaga monitorować i chronić sesje po zalogowaniu.
    • Używa analizy zachowań użytkowników (UBA) i innych interfejsów API platformy AWS do monitorowania sesji i użytkowników oraz do obsługi ochrony informacji.

  • Microsoft Defender dla Chmury wyświetla zalecenia dotyczące zabezpieczeń platformy AWS w portalu Defender dla Chmury wraz z zaleceniami dotyczącymi platformy Azure. Defender dla Chmury oferuje ponad 160 wbudowanych zaleceń dotyczących infrastruktury jako usługi (IaaS) i usług typu platforma jako usługa (PaaS). Zapewnia również obsługę standardów regulacyjnych, w tym standardów Center for Internet Security (CIS) i payment card industry (PCI) oraz standardu AWS Foundational Security Best Practices. Defender dla Chmury zapewnia również ochronę obciążeń w chmurze (CWP) dla Klastry Amazon EKS, wystąpienia usługi AWS EC2 i serwery SQL działające na platformie AWS EC2.

  • Usługa Microsoft Sentinel integruje się z usługami Defender dla Chmury Apps i AWS w celu wykrywania i automatycznego reagowania na zagrożenia. Usługa Microsoft Sentinel monitoruje środowisko AWS pod kątem błędnej konfiguracji, potencjalnego złośliwego oprogramowania i zaawansowanych zagrożeń dla tożsamości, urządzeń, aplikacji i danych platformy AWS.

Elementy

Defender dla Chmury Apps na potrzeby widoczności i kontroli

Gdy kilku użytkowników lub ról wprowadza zmiany administracyjne, konsekwencją może być odchylenie konfiguracji od zamierzonej architektury i standardów zabezpieczeń. Standardy zabezpieczeń mogą również ulec zmianie w czasie. Personel ds. zabezpieczeń musi stale i spójnie wykrywać nowe zagrożenia, oceniać opcje ograniczania ryzyka i aktualizować architekturę zabezpieczeń, aby zapobiec potencjalnym naruszeniom. Zarządzanie zabezpieczeniami w wielu środowiskach chmury publicznej i prywatnej infrastruktury może stać się uciążliwe.

Defender dla Chmury Apps to platforma brokera zabezpieczeń dostępu do chmury (CASB) z funkcjami zarządzania stanem zabezpieczeń w chmurze (CSPM). Defender dla Chmury Aplikacje mogą łączyć się z wieloma usługami i aplikacjami w chmurze, aby zbierać dzienniki zabezpieczeń, monitorować zachowanie użytkowników i nakładać ograniczenia, które same platformy mogą nie oferować.

Defender dla Chmury Apps oferuje kilka możliwości, które można zintegrować z usługą AWS w celu uzyskania natychmiastowych korzyści:

  • Łącznik aplikacji Defender dla Chmury Apps używa kilku interfejsów API platformy AWS, w tym UBA, do wyszukiwania problemów z konfiguracją i zagrożeń na platformie AWS.
  • Mechanizmy kontroli dostępu platformy AWS mogą wymuszać ograniczenia logowania oparte na aplikacji, urządzeniu, adresie IP, lokalizacji, zarejestrowanej dostawcy tożsamości i określonych atrybutach użytkownika.
  • Kontrolki sesji dla platformy AWS blokują potencjalne przekazywanie lub pobieranie złośliwego oprogramowania na podstawie analizy zagrożeń w usłudze Microsoft Defender lub inspekcji zawartości w czasie rzeczywistym.
  • Kontrolki sesji mogą również używać inspekcji zawartości w czasie rzeczywistym i wykrywania poufnych danych, aby narzucić reguły zapobiegania utracie danych (DLP), które uniemożliwiają wycinanie, kopiowanie, wklejanie lub drukowanie.

Defender dla Chmury Apps jest dostępna autonomicznie lub w ramach pakietu Microsoft Enterprise Mobility + Security E5, w tym Microsoft Entra ID P2. Aby uzyskać informacje o cenach i licencjonowaniu, zobacz Opcje cennika pakietu Enterprise Mobility + Security.

Defender dla Chmury dla platform CSPM i CWP (CWPP)

W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności. Defender dla Chmury pomaga chronić obciążenia na platformie Azure, w usługach AWS i Google Cloud Platform (GCP).

Defender dla Chmury zapewnia bez agenta połączenie z kontem platformy AWS. Defender dla Chmury oferuje również plany zabezpieczenia zasobów platformy AWS:

  • Na stronie przeglądu Defender dla Chmury są wyświetlane metryki, alerty i szczegółowe informacje CSPM. Defender dla Chmury ocenia zasoby platformy AWS zgodnie z Zalecenia dotyczące zabezpieczeń specyficzne dla platformy AWS i obejmują stan zabezpieczeń do wskaźnika bezpieczeństwa. Spis zasobów udostępnia jedno miejsce do wyświetlania wszystkich chronionych zasobów platformy AWS. Pulpit nawigacyjny zgodności z przepisami odzwierciedla stan zgodności z wbudowanymi standardami specyficznymi dla platformy AWS. Przykłady obejmują standardy CIS platformy AWS, standardy zabezpieczeń danych PCI (PCI-DSS) i standard najlepszych rozwiązań w zakresie zabezpieczeń platformy AWS Foundational.
  • Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę do obsługiwanych wystąpień systemu Windows i Linux EC2.
  • Usługa Microsoft Defender for Containers zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia do obsługiwanych klastrów Amazon EKS.
  • Usługa Microsoft Defender for SQL umożliwia wykrywanie zagrożeń i zaawansowaną ochronę serwerów SQL, które działają na platformach AWS EC2 i AWS RDS Custom for SQL Server.

Usługa Microsoft Sentinel do zaawansowanego wykrywania zagrożeń

Zagrożenia mogą pochodzić z szerokiej gamy urządzeń, aplikacji, lokalizacji i typów użytkowników. DLP wymaga inspekcji zawartości podczas przekazywania lub pobierania, ponieważ przegląd pośmiertny może być za późno. Platforma AWS nie ma natywnych możliwości zarządzania urządzeniami i aplikacjami, dostępu warunkowego opartego na ryzyku, mechanizmów kontroli opartych na sesji ani wbudowanej UBA.

Ważne jest, aby rozwiązania zabezpieczeń zmniejszały złożoność i zapewniały kompleksową ochronę niezależnie od tego, czy zasoby znajdują się w środowiskach wielochmurowych, lokalnych czy hybrydowych. Defender dla Chmury zapewnia CSPM i CWP. Defender dla Chmury identyfikuje słabe punkty konfiguracji na platformie AWS, aby zwiększyć ogólny stan zabezpieczeń. Pomaga również zapewnić ochronę przed zagrożeniami dla klastrów Amazon EKS Linux, wystąpień usługi AWS EC2 i serwerów SQL w usłudze AWS EC2.

Microsoft Sentinel to rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR), które centralizuje i koordynuje automatyzację wykrywania zagrożeń i reagowania na nie na potrzeby nowoczesnych operacji zabezpieczeń. Usługa Microsoft Sentinel może monitorować konta platformy AWS w celu porównywania zdarzeń między wieloma zaporami, urządzeniami sieciowymi i serwerami. Usługa Microsoft Sentinel łączy dane monitorowania z analizą zagrożeń, regułami analizy i uczeniem maszynowym w celu odnajdywania zaawansowanych technik ataku i reagowania na nie.

Usługi AWS i aplikacje Defender dla Chmury można połączyć z usługą Microsoft Sentinel. Następnie można wyświetlić alerty Defender dla Chmury Apps i uruchomić dodatkowe testy zagrożeń, które używają wielu źródeł danych analizy zagrożeń w usłudze Defender. Usługa Microsoft Sentinel może zainicjować skoordynowaną odpowiedź, która znajduje się poza usługą Defender dla Chmury Apps. Usługa Microsoft Sentinel może również integrować się z rozwiązaniami do zarządzania usługami IT (ITSM) i przechowywać dane na dłuższą metę na potrzeby zgodności.

Szczegóły scenariusza

Firma Microsoft oferuje kilka rozwiązań zabezpieczeń, które mogą pomóc w zabezpieczaniu i ochronie kont i środowisk platformy AWS.

Inne składniki zabezpieczeń firmy Microsoft mogą integrować się z identyfikatorem Entra firmy Microsoft, aby zapewnić dodatkowe zabezpieczenia kont platformy AWS:

  • Defender dla Chmury Apps wykonuje kopię zapasową identyfikatora Entra firmy Microsoft z ochroną sesji i monitorowaniem zachowania użytkownika.
  • Defender dla Chmury zapewnia ochronę przed zagrożeniami dla obciążeń platformy AWS. Pomaga również aktywnie zwiększyć bezpieczeństwo środowisk AWS i używa podejścia bez agenta do łączenia się z tymi środowiskami.
  • Usługa Microsoft Sentinel integruje się z usługą Microsoft Entra ID i Defender dla Chmury Apps w celu wykrywania i automatycznego reagowania na zagrożenia w środowiskach platformy AWS.

Te rozwiązania zabezpieczeń firmy Microsoft są rozszerzalne i oferują wiele poziomów ochrony. Można zaimplementować co najmniej jedno z tych rozwiązań wraz z innymi typami ochrony dla architektury pełnej zabezpieczeń, która pomaga chronić bieżące i przyszłe wdrożenia platformy AWS.

Potencjalne przypadki użycia

Ten artykuł zawiera architektów tożsamości platformy AWS, administratorów i analityków zabezpieczeń z natychmiastowymi szczegółowymi informacjami i szczegółowymi wskazówkami dotyczącymi wdrażania kilku rozwiązań zabezpieczeń firmy Microsoft.

Zalecenia

Podczas opracowywania rozwiązania zabezpieczeń należy pamiętać o następujących kwestiach.

Zalecenia dotyczące zabezpieczeń

Następujące zasady i wytyczne są ważne dla każdego rozwiązania zabezpieczeń w chmurze:

  • Upewnij się, że organizacja może monitorować, wykrywać i automatycznie chronić dostęp użytkowników i programowych do środowisk w chmurze.
  • Stale przeglądaj bieżące konta, aby zapewnić zarządzanie tożsamościami i uprawnieniami oraz kontrolę.
  • Postępuj zgodnie z zasadami najniższych uprawnień i zerowym zaufaniem . Upewnij się, że użytkownicy mogą uzyskiwać dostęp tylko do określonych zasobów, których potrzebują, z zaufanych urządzeń i znanych lokalizacji. Zmniejsz uprawnienia każdego administratora i dewelopera, aby zapewnić tylko te prawa, których potrzebują do roli, którą wykonują. Regularnie przeglądaj.
  • Ciągłe monitorowanie zmian konfiguracji platformy, zwłaszcza jeśli zapewniają możliwości eskalacji uprawnień lub trwałości ataku.
  • Zapobiegaj eksfiltracji nieautoryzowanych danych, aktywnie sprawdzając i kontrolując zawartość.
  • Skorzystaj z rozwiązań, które możesz już posiadać, takich jak Microsoft Entra ID P2, które mogą zwiększyć bezpieczeństwo bez dodatkowych kosztów.

Podstawowe zabezpieczenia konta platformy AWS

Aby zapewnić podstawową higienę zabezpieczeń kont i zasobów platformy AWS:

  • Zapoznaj się ze wskazówkami dotyczącymi zabezpieczeń platformy AWS w artykule Najlepsze rozwiązania dotyczące zabezpieczania kont i zasobów platformy AWS.
  • Zmniejsz ryzyko przekazywania i pobierania złośliwego oprogramowania oraz innej złośliwej zawartości, aktywnie sprawdzając wszystkie transfery danych za pośrednictwem konsoli zarządzania platformy AWS. Zawartość, którą przekazujesz lub pobierasz bezpośrednio do zasobów na platformie AWS, takich jak serwery internetowe lub bazy danych, może wymagać dodatkowej ochrony.
  • Rozważ ochronę dostępu do innych zasobów, w tym:
    • Zasoby utworzone na koncie platformy AWS.
    • Określone platformy obciążeń, takie jak Windows Server, Linux Server lub kontenery.
    • Urządzenia używane przez administratorów i deweloperów do uzyskiwania dostępu do konsoli zarządzania platformy AWS.

Wdrażanie tego scenariusza

Wykonaj kroki opisane w poniższych sekcjach, aby zaimplementować rozwiązanie zabezpieczeń.

Planowanie i przygotowanie

Aby przygotować się do wdrożenia rozwiązań zabezpieczeń platformy Azure, przejrzyj i zarejestruj bieżące informacje o kontach platform AWS i Microsoft Entra. Jeśli wdrożono więcej niż jedno konto platformy AWS, powtórz te kroki dla każdego konta.

  1. W konsoli zarządzania rozliczeniami platformy AWS zapisz następujące bieżące informacje o koncie platformy AWS:

    • Identyfikator konta platformy AWS, unikatowy identyfikator
    • Nazwa konta lub użytkownik główny
    • Forma płatności przypisana do karty kredytowej lub umowy rozliczeniowej firmy
    • Alternatywne kontakty , które mają dostęp do informacji o koncie platformy AWS
    • Pytania zabezpieczające, bezpiecznie zaktualizowane i zarejestrowane w celu uzyskania dostępu awaryjnego
    • Regiony platformy AWS, które są włączone lub wyłączone w celu zachowania zgodności z zasadami zabezpieczeń danych

  2. W witrynie Azure Portal przejrzyj dzierżawę firmy Microsoft Entra:

    • Oceń informacje o dzierżawie, aby sprawdzić, czy dzierżawa ma licencję Microsoft Entra ID P1 lub P2. Licencja P2 zapewnia zaawansowane funkcje zarządzania tożsamościami firmy Microsoft.
    • Oceń aplikacje dla przedsiębiorstw, aby sprawdzić, czy jakiekolwiek istniejące aplikacje używają typu aplikacji platformy AWS, jak pokazano http://aws.amazon.com/ w kolumnie Adres URL strony głównej.

Wdrażanie aplikacji Defender dla Chmury

Po wdrożeniu centralnego zarządzania i silnego uwierzytelniania wymaganego przez nowoczesne zarządzanie tożsamościami i dostępem można zaimplementować Defender dla Chmury Apps w celu:

  • Zbieranie danych zabezpieczeń i przeprowadzanie wykrywania zagrożeń dla kont platformy AWS.
  • Zaimplementuj zaawansowane mechanizmy kontroli, aby ograniczyć ryzyko i zapobiec utracie danych.

Aby wdrożyć aplikacje Defender dla Chmury:

  1. Dodaj łącznik aplikacji Defender dla Chmury Apps dla platformy AWS.
  2. Konfigurowanie zasad monitorowania aplikacji Defender dla Chmury dla działań platformy AWS.
  3. Tworzenie aplikacji dla przedsiębiorstw na potrzeby logowania jednokrotnego na platformie AWS.
  4. Utwórz aplikację kontroli dostępu warunkowego w usłudze Defender dla Chmury Apps.
  5. Skonfiguruj zasady sesji usługi Microsoft Entra dla działań platformy AWS.
  6. Testowanie zasad aplikacji Defender dla Chmury dla platformy AWS.

Dodawanie łącznika aplikacji platformy AWS

  1. W portalu Defender dla Chmury Apps rozwiń węzeł Zbadaj, a następnie wybierz pozycję aplikacje Połączenie ed.

  2. Na stronie Łącznik aplikacji s wybierz znak plus (+), a następnie z listy wybierz pozycję Amazon Web Services.

  3. Użyj unikatowej nazwy łącznika. W nazwie dołącz identyfikator firmy i określonego konta platformy AWS, na przykład Contoso-AWS-Account1.

  4. Postępuj zgodnie z instrukcjami w witrynie Połączenie AWS, aby Microsoft Defender dla Chmury Apps, aby utworzyć odpowiedniego użytkownika zarządzania tożsamościami i dostępem (IAM) platformy AWS.

    1. Zdefiniuj zasady dla ograniczonych uprawnień.
    2. Utwórz konto usługi, aby używać tych uprawnień w imieniu usługi Defender dla Chmury Apps.
    3. Podaj poświadczenia łącznika aplikacji.

Czas potrzebny na nawiązanie połączenia początkowego zależy od rozmiarów dziennika konta platformy AWS. Po zakończeniu połączenia zostanie wyświetlone potwierdzenie połączenia:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Konfigurowanie zasad monitorowania aplikacji Defender dla Chmury dla działań platformy AWS

Po włączeniu łącznika aplikacji Defender dla Chmury Apps wyświetla nowe szablony i opcje w konstruktorze konfiguracji zasad. Zasady można tworzyć bezpośrednio z szablonów i modyfikować je w zależności od potrzeb. Zasady można również opracowywać bez używania szablonów.

Aby zaimplementować zasady przy użyciu szablonów:

  1. W lewym oknie nawigacji Defender dla Chmury Apps rozwiń węzeł Kontrolka, a następnie wybierz pozycję Szablony.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Wyszukaj usługę aws i przejrzyj dostępne szablony zasad dla platformy AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Aby użyć szablonu, wybierz znak plus (+) po prawej stronie elementu szablonu.

  4. Każdy typ zasad ma różne opcje. Przejrzyj ustawienia konfiguracji i zapisz zasady. Powtórz ten krok dla każdego szablonu.

    Screenshot of the Create file policy page, with various options visible.

    Aby użyć zasad plików, upewnij się, że ustawienie monitorowania plików jest włączone w ustawieniach Defender dla Chmury Apps:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Gdy usługa Defender dla Chmury Apps wykrywa alerty, wyświetla je na stronie Alerty w portalu Defender dla Chmury Apps:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Tworzenie aplikacji dla przedsiębiorstw na potrzeby logowania jednokrotnego do platformy AWS

Postępuj zgodnie z instrukcjami w artykule Tutorial: Microsoft Entra single sign-on (SSO) integration with AWS single sign-on (Integracja logowania jednokrotnego firmy Microsoft z usługą AWS), aby utworzyć aplikację dla przedsiębiorstw na potrzeby logowania jednokrotnego do platformy AWS. Oto podsumowanie procedury:

  1. Dodaj usługę AWS SSO z galerii.
  2. Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft Entra dla logowania jednokrotnego platformy AWS:
    1. Skonfiguruj logowanie jednokrotne microsoft Entra.
    2. Konfigurowanie logowania jednokrotnego platformy AWS.
    3. Tworzenie użytkownika testowego logowania jednokrotnego platformy AWS.
    4. Testowanie logowania jednokrotnego.

Tworzenie aplikacji kontroli dostępu warunkowego w usłudze Defender dla Chmury Apps

  1. Przejdź do portalu aplikacji Defender dla Chmury, wybierz pozycję Zbadaj, a następnie wybierz pozycję Połączenie ed aplikacje.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji, a następnie wybierz pozycję Dodaj.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. W polu Wyszukaj aplikację wpisz Amazon Web Services, a następnie wybierz aplikację. Wybierz pozycję Kreator uruchamiania.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Wybierz pozycję Wypełnij dane ręcznie. Wprowadź wartość adresu URL usługi Assertion Consumer Service, która jest wyświetlana na poniższym zrzucie ekranu, a następnie wybierz pozycję Dalej.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz pozycję Dalej.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Wybierz pozycję Wypełnij dane ręcznie, a następnie wykonaj następujące kroki, aby wprowadzić dane:

    1. W obszarze Adres URL usługi logowania jednokrotnego wprowadź wartość adresu URL logowania dla aplikacji dla przedsiębiorstw utworzonej dla platformy AWS.
    2. W obszarze Przekaż certyfikat SAML dostawcy tożsamości wybierz pozycję Przeglądaj.
    3. Znajdź certyfikat dla utworzonej aplikacji dla przedsiębiorstw.
    4. Pobierz certyfikat na urządzenie lokalne, a następnie przekaż go do kreatora.
    5. Wybierz pozycję Dalej.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz pozycję Dalej.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Na następnej stronie zignoruj kroki konfiguracji zewnętrznej. Wybierz Zakończ.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. Na następnej stronie zignoruj kroki Weryfikowanie ustawień . Wybierz Zamknij.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Konfigurowanie zasad sesji usługi Microsoft Entra dla działań platformy AWS

Zasady sesji to zaawansowana kombinacja zasad dostępu warunkowego firmy Microsoft Entra i możliwości zwrotnego serwera proxy Defender dla Chmury Apps. Te zasady zapewniają monitorowanie i kontrolę zachowania w czasie rzeczywistym.

  1. W usłudze Microsoft Entra ID utwórz nowe zasady dostępu warunkowego z następującymi ustawieniami:

    • W obszarze Nazwa wprowadź ciąg AWS Console — Session Controls( Konsola platformy AWS — kontrolki sesji).
    • W obszarze Użytkownicy i grupy wybierz dwie utworzone wcześniej grupy ról:
      • AWS-Account1-Administracja istrators
      • AWS-Account1-Developers
    • W obszarze Aplikacje lub akcje w chmurze wybierz utworzoną wcześniej aplikację dla przedsiębiorstw, taką jak Contoso-AWS-Account 1.
    • W obszarze Sesja wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji.

  2. W obszarze Włączanie zasad wybierz pozycję Włączone.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Wybierz pozycję Utwórz.

Po utworzeniu zasad dostępu warunkowego firmy Microsoft skonfiguruj zasady sesji Defender dla Chmury Apps w celu kontrolowania zachowania użytkownika podczas sesji platformy AWS.

  1. W portalu Defender dla Chmury Apps rozwiń węzeł Kontrola, a następnie wybierz pozycję Zasady.

  2. Na stronie Zasady wybierz pozycję Utwórz zasady, a następnie z listy wybierz pozycję Zasady sesji.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. Na stronie Tworzenie zasad sesji w obszarze Szablon zasad wybierz pozycję Blokuj przekazywanie potencjalnego złośliwego oprogramowania (na podstawie analizy zagrożeń firmy Microsoft).

  4. W obszarze Działania zgodne ze wszystkimi poniższymi elementami zmodyfikuj filtr działania, aby obejmował aplikację, równości i usługi Amazon Web Services. Usuń wybór urządzenia domyślnego.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Przejrzyj inne ustawienia, a następnie wybierz pozycję Utwórz.

Testowanie zasad aplikacji Defender dla Chmury dla platformy AWS

Regularnie testuj wszystkie zasady, aby upewnić się, że są one nadal skuteczne i istotne. Oto kilka zalecanych testów:

  • Zmiany zasad zarządzania dostępem i tożsamościami: te zasady są wyzwalane za każdym razem, gdy próbujesz zmodyfikować ustawienia w usłudze AWS IAM. Jeśli na przykład wykonasz procedurę w dalszej części tej sekcji wdrażania, aby utworzyć nowe zasady i konto zarządzania dostępem i tożsamościami, zostanie wyświetlony alert.

  • Błędy logowania do konsoli: wszystkie nieudane próby zalogowania się do jednego z kont testowych wyzwalają te zasady. Szczegóły alertu pokazują, że próba pochodzi z jednego z regionalnych centrów danych platformy Azure.

  • Zasady działania zasobnika S3: podczas próby utworzenia nowego konta magazynu platformy AWS S3 i ustawienia go jako publicznie dostępnego należy wyzwolić te zasady.

  • Zasady wykrywania złośliwego oprogramowania: Jeśli skonfigurujesz wykrywanie złośliwego oprogramowania jako zasady sesji, możesz je przetestować, wykonując następujące kroki:

    1. Pobierz bezpieczny plik testowy z Europejskiego Instytutu Badań antywirusowych (EICAR).
    2. Spróbuj przekazać ten plik do konta magazynu platformy AWS S3.

    Zasady natychmiast blokują próbę przekazania, a alert pojawia się w portalu Defender dla Chmury Apps.

Wdrażanie Defender dla Chmury

Możesz użyć natywnego łącznika chmury, aby połączyć konto platformy AWS z Defender dla Chmury. Łącznik zapewnia bez agenta połączenie z kontem platformy AWS. To połączenie służy do zbierania zaleceń CSPM. Korzystając z planów Defender dla Chmury, możesz zabezpieczyć zasoby platformy AWS za pomocą CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Aby chronić zasoby oparte na usłudze AWS, wykonaj następujące kroki, które opisano szczegółowo w poniższych sekcjach:

  1. Połączenie konto platformy AWS.
  2. Monitorowanie platformy AWS.

Łączenie z kontem platformy AWS

Aby połączyć konto platformy AWS z Defender dla Chmury przy użyciu łącznika natywnego, wykonaj następujące kroki:

  1. Zapoznaj się z wymaganiami wstępnymi dotyczącymi łączenia konta platformy AWS. Przed kontynuowaniem upewnij się, że je ukończysz.

  2. Jeśli masz jakiekolwiek łączniki klasyczne, usuń je, wykonując kroki opisane w artykule Usuwanie łączników klasycznych. Użycie zarówno łączników klasycznych, jak i natywnych może generować zduplikowane zalecenia.

  3. Zaloguj się w witrynie Azure Portal.

  4. Wybierz Microsoft Defender dla Chmury, a następnie wybierz pozycję Ustawienia środowiska.

  5. Wybierz pozycję Dodaj środowisko>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Wprowadź szczegóły konta platformy AWS, w tym lokalizację magazynu zasobu łącznika. Opcjonalnie wybierz pozycję Konto zarządzania, aby utworzyć łącznik na koncie zarządzania. Połączenie ory są tworzone dla każdego konta członkowskiego odnalezionego na podanym koncie zarządzania. Automatyczna aprowizacja jest włączona dla wszystkich nowo dołączonych kont.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Wybierz pozycję Dalej: wybierz plany.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Domyślnie plan serwerów jest włączony. To ustawienie jest niezbędne do rozszerzenia zasięgu usługi Defender for Servers na usługę AWS EC2. Upewnij się, że spełniono wymagania dotyczące sieci dla usługi Azure Arc. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj.

  9. Domyślnie plan kontenerów jest włączony. To ustawienie jest niezbędne do ochrony usługi Defender for Containers dla klastrów USŁUGI AWS EKS. Upewnij się, że spełniono wymagania dotyczące sieci dla planu usługi Defender for Containers. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj. Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń dla płaszczyzny sterowania zostanie wyłączona. Aby wyświetlić listę funkcji, zobacz Dostępność funkcji usługi Defender for Containers.

  10. Domyślnie plan baz danych jest włączony. To ustawienie jest konieczne, aby rozszerzyć usługę Defender for SQL na usługi AWS EC2 i RDS Custom dla programu SQL Server. Opcjonalnie, aby edytować konfigurację, wybierz pozycję Konfiguruj. Zalecamy użycie konfiguracji domyślnej.

  11. Wybierz pozycję Dalej: Skonfiguruj dostęp.

  12. Pobierz szablon CloudFormation.

  13. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby użyć pobranego szablonu CloudFormation w celu utworzenia stosu na platformie AWS. Jeśli dołączysz konto zarządzania, musisz uruchomić szablon CloudFormation jako stos i jako StackSet. Połączenie or są tworzone dla kont członkowskich w ciągu 24 godzin od dołączenia.

  14. Wybierz pozycję Dalej: Przeglądanie i generowanie.

  15. Wybierz pozycję Utwórz.

Defender dla Chmury natychmiast rozpoczyna skanowanie zasobów platformy AWS. W ciągu kilku godzin są wyświetlane zalecenia dotyczące zabezpieczeń. Aby uzyskać listę wszystkich zaleceń, Defender dla Chmury mogą zapewnić zasoby platformy AWS, zobacz Zalecenia dotyczące zabezpieczeń dla zasobów platformy AWS — przewodnik referencyjny.

Monitorowanie zasobów platformy AWS

Na stronie Defender dla Chmury zalecenia dotyczące zabezpieczeń są wyświetlane zasoby platformy AWS. Możesz użyć filtru środowisk, aby korzystać z funkcji wielochmurowych Defender dla Chmury, takich jak wyświetlanie zaleceń dotyczących zasobów platformy Azure, AWS i GCP.

Aby wyświetlić wszystkie aktywne zalecenia dotyczące zasobów według typu zasobu, użyj strony spisu zasobów Defender dla Chmury. Ustaw filtr, aby wyświetlić interesujący Cię typ zasobu platformy AWS.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Wdrażanie usługi Microsoft Sentinel

Jeśli połączysz konto platformy AWS i Defender dla Chmury Apps z usługą Microsoft Sentinel, możesz użyć funkcji monitorowania, które porównują zdarzenia między wieloma zaporami, urządzeniami sieciowymi i serwerami.

Włączanie łącznika platformy AWS usługi Microsoft Sentinel

Po włączeniu łącznika usługi Microsoft Sentinel dla platformy AWS można monitorować zdarzenia i pozyskiwanie danych platformy AWS.

Podobnie jak w przypadku konfiguracji aplikacji Defender dla Chmury, to połączenie wymaga skonfigurowania tożsamości platformy AWS w celu podania poświadczeń i uprawnień.

  1. W usłudze AWS IAM wykonaj kroki opisane w artykule Połączenie Microsoft Sentinel do usługi AWS CloudTrail.

  2. Aby ukończyć konfigurację w witrynie Azure Portal, w obszarze Łączniki danych usługi Microsoft Sentinel>wybierz łącznik Amazon Web Services.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Wybierz pozycję Otwórz stronę łącznika.

  4. W obszarze Konfiguracja wprowadź wartość Role ARN z konfiguracji IAM platformy AWS w roli, aby dodać pole, a następnie wybierz pozycję Dodaj.

  5. Wybierz pozycję Następne kroki, a następnie wybierz działania sieciowe platformy AWS i działania użytkownika platformy AWS do monitorowania.

  6. W obszarze Odpowiednie szablony analityczne wybierz pozycję Utwórz regułę obok szablonów analitycznych platformy AWS, które chcesz włączyć.

  7. Skonfiguruj każdą regułę i wybierz pozycję Utwórz.

W poniższej tabeli przedstawiono szablony reguł, które są dostępne do sprawdzania zachowań jednostek platformy AWS i wskaźników zagrożeń. Nazwy reguł opisują ich przeznaczenie, a potencjalne źródła danych zawierają listę źródeł danych, których może używać każda reguła.

Nazwa szablonu analitycznego Źródła danych
Znany adres IP IRIDIUM DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
Utworzone zasady pełnej Administracja, a następnie dołączone do ról, użytkowników lub grup AWS
Logowanie do usługi AzureAD nie powiodło się, ale logowanie do konsoli usług AWS powiodło się Microsoft Entra ID, AWS
Nieudane logowania konsoli platformy AWS, ale logowanie do usługi AzureAD zakończyło się powodzeniem Microsoft Entra ID, AWS
Uwierzytelnianie wieloskładnikowe jest wyłączone dla użytkownika Microsoft Entra ID, AWS
Zmiany ustawień ruchu przychodzącego i wychodzącego grupy zabezpieczeń platformy AWS AWS
Monitorowanie nadużyć poświadczeń platformy AWS lub przejęcie AWS
Zmiany w grupach zabezpieczeń usługi AWS Elastic Load Balancer AWS
Zmiany ustawień usługi Amazon VPC AWS
Nowy agent UserAgent zaobserwowany w ciągu ostatnich 24 godzin Microsoft 365, Azure Monitor, AWS
Logowanie do konsoli zarządzania platformy AWS bez uwierzytelniania wieloskładnikowego AWS
Zmiany wystąpień bazy danych usług AWS RDS z Internetem AWS
Zmiany wprowadzone w dziennikach usługi AWS CloudTrail AWS
Usługa Defender Threat Intelligence mapuje jednostkę IP na platformę AWS CloudTrail Platformy analizy zagrożeń w usłudze Defender, AWS

Włączone szablony mają wskaźnik IN USE na stronie szczegółów łącznika.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Monitorowanie zdarzeń platformy AWS

Usługa Microsoft Sentinel tworzy zdarzenia na podstawie analiz i wykryć, które włączasz. Każde zdarzenie może obejmować co najmniej jedno zdarzenie, co zmniejsza ogólną liczbę badań niezbędnych do wykrywania potencjalnych zagrożeń i reagowania na nie.

Usługa Microsoft Sentinel pokazuje zdarzenia generowane przez usługę Defender dla Chmury Apps, jeśli są połączone, oraz zdarzenia tworzone przez usługę Microsoft Sentinel. Kolumna Product names (Nazwy produktów) zawiera źródło zdarzenia.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Sprawdzanie pozyskiwania danych

Sprawdź, czy dane są stale pozyskiwane do usługi Microsoft Sentinel, regularnie wyświetlając szczegóły łącznika. Na poniższym wykresie przedstawiono nowe połączenie.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Jeśli łącznik przestanie pozyskiwać dane, a wartość wykresu liniowego spadnie, sprawdź poświadczenia używane do nawiązania połączenia z kontem platformy AWS. Sprawdź również, czy usługa AWS CloudTrail nadal może zbierać zdarzenia.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następującego współautora.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki