Udostępnij za pośrednictwem


Jak usługa Defender dla Chmury Apps pomaga chronić środowisko usług Amazon Web Services (AWS)

Amazon Web Services to dostawca IaaS, który umożliwia organizacji hostowanie całych obciążeń w chmurze i zarządzanie nimi. Oprócz korzyści związanych z korzystaniem z infrastruktury w chmurze najbardziej krytyczne zasoby organizacji mogą być narażone na zagrożenia. Ujawnione zasoby obejmują wystąpienia magazynu z potencjalnie poufnymi informacjami, zasobami obliczeniowymi, które obsługują niektóre z najbardziej krytycznych aplikacji, portów i wirtualnych sieci prywatnych, które umożliwiają dostęp do organizacji.

Połączenie awS w celu Defender dla Chmury Apps pomaga zabezpieczyć zasoby i wykrywać potencjalne zagrożenia, monitorując działania administracyjne i logowania, powiadamiając o możliwych atakach siłowych, złośliwego użycia uprzywilejowanego konta użytkownika, nietypowych usuwania maszyn wirtualnych i publicznie uwidocznionych zasobników magazynu.

Główne zagrożenia

  • Nadużycie zasobów w chmurze
  • Naruszone konta i zagrożenia wewnętrzne
  • Wyciek danych
  • Błędna konfiguracja zasobów i niewystarczająca kontrola dostępu

Jak Defender dla Chmury Apps pomaga chronić środowisko

Kontrolowanie platformy AWS za pomocą wbudowanych zasad i szablonów zasad

Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:

Type Nazwisko
Szablon zasad działania Administracja niepowodzenia logowania konsoli
Zmiany konfiguracji cloudTrail
Zmiany konfiguracji wystąpienia usługi EC2
Zmiany zasad zarządzania dostępem i tożsamościami
Logowania z ryzykownego adresu IP
Zmiany listy kontroli dostępu do sieci (ACL)
Zmiany bramy sieci
Działanie zasobnika S3
Zmiany konfiguracji grupy zabezpieczeń
Zmiany wirtualnej sieci prywatnej
Wbudowane zasady wykrywania anomalii Działanie z anonimowych adresów IP
Aktywność z rzadko występującego kraju
Działanie z podejrzanych adresów IP
Niemożliwa podróż
Działanie wykonywane przez zakończonego użytkownika (wymaga identyfikatora Entra firmy Microsoft jako dostawcy tożsamości)
Wiele nieudanych prób logowania
Nietypowe działania administracyjne
Nietypowe działania usuwania magazynu (wersja zapoznawcza)
Wiele działań usuwania maszyny wirtualnej
Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza)
Nietypowy region zasobu w chmurze (wersja zapoznawcza)
Szablon zasad dotyczących plików Zasobnik S3 jest publicznie dostępny

Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.

Automatyzowanie mechanizmów kontroli ładu

Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu platformy AWS w celu skorygowania wykrytych zagrożeń:

Typ Akcja
Zarządzanie użytkownikami — Powiadamianie użytkownika o alercie (za pośrednictwem identyfikatora Entra firmy Microsoft)
— Wymagaj od użytkownika ponownego logowania (za pośrednictwem identyfikatora Entra firmy Microsoft)
— Zawieszanie użytkownika (za pośrednictwem identyfikatora Entra firmy Microsoft)
Ład dotyczący danych — Tworzenie zasobnika S3 jako prywatnego
— Usuwanie współpracownika dla zasobnika S3

Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Ochrona platformy AWS w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi blokowania i ochrony pobierania poufnych danych do niezarządzanych lub ryzykownych urządzeń.

Połączenie usług Amazon Web Services do aplikacji Microsoft Defender dla Chmury

Ta sekcja zawiera instrukcje dotyczące łączenia istniejącego konta usług Amazon Web Services (AWS) z usługą Microsoft Defender dla Chmury Apps przy użyciu interfejsów API łącznika. Aby uzyskać informacje na temat ochrony platformy AWS w usłudze Defender dla Chmury Apps, zobacz Ochrona platformy AWS.

Inspekcję zabezpieczeń platformy AWS można połączyć z połączeniami usługi Defender dla Chmury Apps w celu uzyskania wglądu i kontroli nad użyciem aplikacji platformy AWS.

Krok 1. Konfigurowanie inspekcji usług Amazon Web Services

  1. W konsoli usług Amazon Web Services w obszarze Zabezpieczenia, Tożsamość i zgodność wybierz pozycję Zarządzanie dostępem i tożsamościami.

    Tożsamość i dostęp do platformy AWS.

  2. Wybierz pozycję Użytkownicy , a następnie wybierz pozycję Dodaj użytkownika.

    Użytkownicy platformy AWS.

  3. W kroku Szczegóły podaj nową nazwę użytkownika dla aplikacji Defender dla Chmury. Upewnij się, że w obszarze Typ dostępu wybierz pozycję Dostęp programowy, a następnie wybierz pozycję Następne uprawnienia.

    Tworzenie użytkownika na platformie AWS.

  4. Wybierz pozycję Dołącz istniejące zasady bezpośrednio, a następnie pozycję Utwórz zasady.

    Dołącz istniejące zasady.

  5. Wybierz kartę JSON :

    Karta JSON platformy AWS.

  6. Wklej następujący skrypt do podanego obszaru:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Wybierz pozycję Dalej: tagi

    Kod platformy AWS.

  8. Wybierz pozycję Dalej: Przejrzyj.

    Dodaj tagi (opcjonalnie).

  9. Podaj nazwę i wybierz pozycję Utwórz zasady.

    Podaj nazwę zasad platformy AWS.

  10. Wróć do ekranu Dodawanie użytkownika , odśwież listę, jeśli to konieczne, a następnie wybierz utworzonego użytkownika, a następnie wybierz pozycję Dalej: Tagi.

    Dołącz istniejące zasady na platformie AWS.

  11. Wybierz pozycję Dalej: Przejrzyj.

  12. Jeśli wszystkie szczegóły są poprawne, wybierz pozycję Utwórz użytkownika.

    Uprawnienia użytkownika na platformie AWS.

  13. Po wyświetleniu komunikatu o powodzeniu wybierz pozycję Pobierz .csv , aby zapisać kopię poświadczeń nowego użytkownika. Będą one potrzebne później.

    Pobierz plik CSV na platformie AWS.

    Uwaga

    Po nawiązaniu połączenia z platformą AWS zdarzenia będą odbierane przez siedem dni przed nawiązaniem połączenia. Jeśli po prostu włączono usługę CloudTrail, od momentu włączenia usługi CloudTrail będziesz otrzymywać zdarzenia.

Krok 2. inspekcja usług Amazon Web Services Połączenie w usłudze Defender dla Chmury Apps

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors).

  2. Na stronie Łącznik aplikacji s, aby podać poświadczenia łącznika platformy AWS, wykonaj jedną z następujących czynności:

    W przypadku nowego łącznika

    1. Wybierz pozycję +Połączenie aplikację, a następnie pozycję Amazon Web Services.

      łączenie inspekcji platformy AWS.

    2. W następnym oknie podaj nazwę łącznika, a następnie wybierz przycisk Dalej.

      Nazwa łącznika inspekcji platformy AWS.

    3. Na stronie Połączenie Amazon Web Services wybierz pozycję Inspekcja zabezpieczeń, a następnie wybierz pozycję Dalej.

    4. Na stronie Inspekcja zabezpieczeń wklej klucz dostępu i klucz tajny z pliku .csv do odpowiednich pól, a następnie wybierz przycisk Dalej.

      Połączenie inspekcji zabezpieczeń aplikacji platformy AWS dla nowego łącznika.

    Dla istniejącego łącznika

    1. Na liście łączników w wierszu, w którym pojawi się łącznik platformy AWS, wybierz pozycję Edytuj ustawienia.

      Zrzut ekranu przedstawiający stronę Połączenie ed Apps (Aplikacje) z linkiem edytowania inspekcji zabezpieczeń.

    2. Na stronach Nazwa wystąpienia i Połączenie Amazon Web Services wybierz pozycję Dalej. Na stronie Inspekcja zabezpieczeń wklej klucz dostępu i klucz tajny z pliku .csv do odpowiednich pól, a następnie wybierz przycisk Dalej.

      Połączenie inspekcji zabezpieczeń aplikacji platformy AWS dla istniejącego łącznika.

  3. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors). Upewnij się, że stan połączonej Połączenie or aplikacji jest Połączenie.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.