Conecte contas da AWS ao Microsoft Defender para Nuvem

As cargas de trabalho geralmente abrangem várias plataformas de nuvem, portanto, os serviços de segurança de nuvem devem fazer o mesmo. O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho na Amazon Web Services (AWS), mas você precisa configurar a conexão entre elas e o Defender para Nuvem.

A captura de tela a seguir mostra as contas do AWS exibidas no painel de visão geral do Defender para Nuvem.

Você pode saber mais assistindo ao vídeo Novo conector AWS no Defender para Nuvem da série de vídeos Defender para Nuvem no Campo.

Observação

Se você tiver uma conta do AWS conectada ao Microsoft Sentinel, não poderá conectá-la ao Defender para Nuvem. Para garantir que o conector funcione corretamente, siga as instruções em Conectar uma conta AWS conectada do Sentinel ao Defender para Nuvem.

Processo de autenticação do AWS

O Defender para Nuvem e a AWS usam autenticação federada. Todos os recursos relacionados à autenticação são criados como parte da implantação do modelo CloudFormation, incluindo:

• Um provedor de identidade (OpenID Connect)
• Funções do Gerenciamento de Identidades e Acesso (IAM) com uma entidade de segurança federada (conectada aos provedores de identidade)

A arquitetura do processo de autenticação entre nuvens inclui:

O serviço CSPM do Defender para Nuvem adquire um token Entra com um tempo de vida de validade de 1 hora, assinado pela ID do Entra usando o algoritmo RS256.

O token do Microsoft Entra é trocado pelas credenciais de curta duração da AWS, e o serviço de CSPM do Defender para Nuvem assume a função do IAM do CSPM (assumida com a identidade da Web).

Como a entidade de segurança da função é uma identidade federada definida em uma política de relação de confiança, o provedor de identidade do AWS valida o token do Microsoft Entra em relação ao Microsoft Entra ID por um processo que inclui:

• validação de público-alvo
• validação de assinatura digital de token
• impressão digital do certificado

A função CSPM do Defender para Nuvem é assumida somente após as condições de validação definidas na relação de confiança terem sido atendidas. As condições definidas para o nível de função são usadas para validação na AWS e permitem apenas que o aplicativo Microsoft Defender para Nuvem CSPM (público validado) acesse a função específica (e nenhum outro token da Microsoft).

Depois que o token Entra é validado pelo provedor de identidade do AWS, o STS do AWS troca o token com credenciais de vida curta do AWS que o serviço CSPM usa para verificar a conta do AWS.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa:

• Uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma gratuita.

• Configuração do Microsoft Defender para Nuvem em sua assinatura do Azure.

• Acesso a uma conta AWS.

• Permissão de nível de colaborador para a assinatura relevante do Azure.

• Se o CIEM estiver habilitado como parte do Defender para CSPM, o usuário que habilitar o conector também precisará da função de Administrador de Segurança e da permissão Application.ReadWrite.All para seu locatário.

Observação

O conector do AWS não está disponível nas nuvens do governo nacional (Azure Government, Microsoft Azure operado pela 21Vianet).

Requisitos do plano do conector nativo

Cada plano tem seus próprios requisitos para o conector nativo.

Se você escolher o plano Microsoft Defender para contêineres, precisará:

• Pelo menos um cluster Amazon EKS com permissão para acessar o servidor EKS Kubernetes API. Se você precisar criar um novo cluster EKS, siga as instruções em Introdução ao Amazon EKS – eksctl.
• A capacidade de recursos para criar uma nova fila do Amazon SQS, Kinesis Data Firehose fluxo de entrega e bucket do Amazon S3 na região do cluster.

Defender para SQL

Se você escolher o plano Microsoft Defender para SQL, precisará:

• Microsoft Defender para SQL habilitado em sua assinatura. Saiba como proteger seus bancos de dados.
• Uma conta AWS ativa, com instâncias EC2 executando SQL Server ou RDS Custom for SQL Server.
• Azure Arc para servidores instalados em suas instâncias EC2 ou RDS Custom para SQL Server.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias EC2 existentes e futuras. Para habilitar o provisionamento automático do Azure Arc, você precisa de permissão de Proprietário na assinatura relevante do Azure.

O AWS Systems Manager (SSM) usa o agente SSM para lidar com o provisionamento automático. Algumas imagens de Computadores da Amazon já têm o agente SSM pré-instalado. Se as instâncias do EC2 não tiverem o Agente SSM, instale-o usando estas instruções da Amazon: Instalar o Agente SSM para um ambiente híbrido e multinuvem (Windows).

Verifique se o agente do SSM tem a política gerenciada AmazonSSMManagedInstanceCore. Ele habilita a funcionalidade principal do serviço AWS Systems Manager.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

• Microsoft Defender para Ponto de Extremidade
• Uma solução de avaliação de vulnerabilidade (TVM ou Qualys)
• O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Certifique-se de que o espaço de trabalho do Log Analytics selecionado tenha uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura . Todas as suas contas da AWS e projetos do Google Cloud Platform (GCP) na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

Saiba mais sobre o monitoramento de componentes do Defender para Nuvem.

Defender para bancos de dados de software livre (versão prévia)

Se você escolher o plano Defender para bancos de dados relacionais de código aberto, precisará:

• Você precisa de uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma assinatura gratuita.

• Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.

• Conecte sua conta do Azure ou a conta do AWS.

Disponibilidade da região: todas as regiões públicas da AWS (excluindo Tel Aviv, Milão, Jacarta, Espanha e Bahrein).

Defender para Servidores

Se você escolher o plano Microsoft Defender para servidores, precisará:

• Microsoft Defender para servidores habilitado em sua assinatura. Saiba como habilitar planos em Habilitar recursos de segurança aprimorados.
• Uma conta AWS ativa, com instâncias EC2.
• Azure Arc para servidores instalados em suas instâncias do EC2.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias EC2 existentes e futuras. Para habilitar o provisionamento automático do Azure Arc, você precisa de permissão de Proprietário na assinatura relevante do Azure.

O AWS Systems Manager provisiona automaticamente usando o Agente SSM. Algumas imagens de Computadores da Amazon já têm o agente SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente SSM, instale-o usando uma das seguintes instruções da Amazon:

• Instalar o Agente do SSM para um ambiente híbrido e multinuvem (Windows)
• Instalar o SSM Agent para um ambiente híbrido e multinuvem (Linux)

Verifique se o seu agente do SSM possui a política gerenciada AmazonSSMManagedInstanceCore, que habilita a funcionalidade principal do serviço AWS Systems Manager.

Você deve ter o Agente SSM para provisionamento automático do agente Arc em máquinas EC2. Se o SSM não existir ou for removido do EC2, o provisionamento do Arc não poderá prosseguir.

Observação

Como parte do modelo do CloudFormation executado durante o processo de integração, um processo de automação é criado e acionado a cada 30 dias, em todos os EC2s que existiam durante a execução inicial do CloudFormation. O objetivo dessa verificação agendada é garantir que todos os EC2s relevantes tenham um perfil do IAM com a política do IAM necessária que permite que o Defender para Nuvem acesse, gerencie e forneça os recursos de segurança relevantes (incluindo o provisionamento do agente Arc). A verificação não se aplica a EC2s que foram criados após a execução do CloudFormation.

Se você quiser instalar manualmente o Azure Arc em suas instâncias EC2 existentes e futuras, use a recomendação de "instâncias EC2 que devem ser conectadas ao Azure Arc" para identificar instâncias que ainda não têm o Azure Arc instalado.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

• Microsoft Defender para Ponto de Extremidade
• Uma solução de avaliação de vulnerabilidade (TVM ou Qualys)
• O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Certifique-se de que o espaço de trabalho do Log Analytics selecionado tenha uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura . Todas as suas contas da AWS e projetos do GCP na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

Saiba mais sobre o monitoramento de componentes do Defender para Nuvem.

Observação

Como o agente do Log Analytics (também conhecido como MMA) será desativado em agosto de 2024, todos os recursos e capacidades de segurança do Defender para Servidores que atualmente dependem dele, incluindo aqueles descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender para Endpoint ou da verificação sem agente, antes dessa data. Para obter mais informações sobre o roteiro de cada um dos recursos que atualmente dependem do Agente do Log Analytics, consulte este comunicado.

O Defender para servidores atribui marcas aos seus recursos do Azure ARC sobre suas instâncias do EC2 para gerenciar o processo de provisionamento automático. Você deve ter essas marcas atribuídas corretamente aos seus recursos para que o Defender para Nuvem possa gerenciá-los: AccountId, Cloud, InstanceId, e MDFCSecurityConnector.

Defender CSPM

Se você escolher o plano Microsoft Defender CSPM, precisará:

• uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma assinatura gratuita.
• Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
• Conecte seus computadores que não são do Azure e contas do AWS.
• Para obter acesso a todos os recursos disponíveis no plano CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.
• Para habilitar os recursos de CIEM (Cloud Infrastructure Gerenciamento de direitos), a conta Entra ID usada para o processo de integração deve ter a função de diretório de Administrador de Aplicativos ou Administrador de Aplicativos em Nuvem para seu locatário (ou direitos de administrador equivalentes para criar registros de aplicativos). Esse requisito só é necessário durante o processo de integração.

Saiba mais sobre como habilitar o Defender CSPM.

Conecte sua conta AWS

Importante

Se sua conta do AWS já estiver conectada ao Microsoft Sentinel, você não poderá conectá-la ao Defender para Nuvem. Para garantir que o conector funcione corretamente, siga as instruções em Conectar uma conta AWS conectada do Sentinel ao Defender para Nuvem.

Para conectar sua AWS ao Defender para Nuvem usando um conector nativo:

1. Entre no portal do Azure.

2. Vá para Defender para Nuvem>Configurações do ambiente.

3. Selecione Adicionar ambiente>Amazon Web Services.

   

4. Insira os detalhes da conta da AWS, incluindo o local onde você armazena o recurso do conector.

   

   A lista suspensa de regiões da AWS permite selecionar as regiões para as quais o Defender para Nuvem faz chamadas à API. Cada região desmarcada no menu suspenso implica que o Defender para Nuvem não fará chamadas de API para essas regiões.

5. Selecione um intervalo para verificar o ambiente da AWS a cada 4, 6, 12 ou 24 horas.

   Alguns coletores de dados são executados com intervalos de verificação fixos e não são afetados por configurações de intervalo personalizadas. A tabela a seguir mostra os intervalos de varredura fixos para cada coletor de dados excluído:

   Nome do coletor de dados	Intervalo de verificação
   EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3BucketTags S3Region EKSCluster EKSClusterName EKSNodegroup EKSNodegroupName AutoScalingAutoScalingGroup	1 hora
   EcsClusterArn EcsService EcsServiceArn EcsTaskDefinition EcsTaskDefinitionArn EcsTaskDefinitionTags AwsPolicyVersion LocalPolicyVersion AwsEntitiesForPolicy EntidadesLocaisParaPolítica BucketEncryption BucketPolicy Configuração de Bloqueio de Acesso Público do S3 BucketVersioning S3LifecycleConfiguration BucketPolicyStatus S3ReplicationConfiguration S3AccessControlList S3BucketLoggingConfig Configuração de Bloqueio de Acesso Público	12 horas

   Observação

   (Opcional) Selecione a conta de Gerenciamento para criar um conector para uma conta de gerenciamento. Os conectores são então criados para cada conta de membro descoberta na conta de gerenciamento fornecida. O provisionamento automático também está habilitado para todas as contas recém-integradas.

   (Opcional) Use o menu suspenso Regiões da AWS para selecionar regiões específicas da AWS a serem escaneadas. Todas as regiões são selecionadas por padrão.

Em seguida, examine e selecione os planos do Defender para Nuvem para habilitar essa conta do AWS.

Selecione os planos Defender

Nessa seção do assistente, você seleciona os planos do Defender para Nuvem que deseja habilitar.

1. Selecione Avançar: Selecionar planos.

   A guia Selecionar planos é onde você escolhe quais recursos do Defender para Nuvem habilitar para essa conta do AWS. Cada plano tem seus próprios requisitos para permissões e pode incorrer em encargos.

   

   Importante

   Para apresentar o status atual das suas recomendações, o plano Microsoft Defender Cloud Security Posture Management consulta as APIs de recursos da AWS várias vezes ao dia. Essas chamadas de API somente leitura não incorrem em encargos, mas são registradas no CloudTrail se você habilitar uma trilha para os eventos de leitura.

   A Documentação da AWS explica que não há encargos extras para manter uma trilha. Se você estiver exportando os dados da AWS (por exemplo, para um sistema SIEM externo), esse aumento no volume de chamadas também poderá aumentar os custos de ingestão. Nesses casos, recomendamos filtrar as chamadas somente leitura do usuário do Defender para Nuvem ou da função ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Esse é o nome da função padrão. Confirme o nome da função configurado na sua conta.)

2. Por padrão, o plano servidores é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender para servidores para o AWS EC2. Verifique se você cumpriu os requisitos de rede do Azure Arc.

   Opcionalmente, selecione Configurar para editar a configuração conforme necessário.

   Observação

   Os respectivos servidores do Azure Arc para instâncias EC2 ou máquinas virtuais GCP que não existem mais (e os respectivos servidores do Azure Arc com status de Desconectado ou Expirado) são removidos após sete dias. Esse processo remove entidades irrelevantes do Azure Arc para garantir que apenas servidores do Azure Arc relacionados a instâncias existentes sejam exibidos.

3. Por padrão, o plano contêineres é definido como Ativado. Essa configuração é necessária para que o Defender para contêineres proteja seus clusters do AWS EKS. Verifique se você cumpriu os requisitos de rede para o plano do Defender para Contêineres.

   Observação

   O Kubernetes habilitado para Azure Arc, as extensões do Azure Arc para o sensor Defender e o Azure Policy para Kubernetes devem ser instalados. Use as recomendações dedicadas do Defender para Nuvem para implantar as extensões (e o Azure Arc, se necessário), conforme explicado em Proteja os clusters do Amazon Elastic Kubernetes Service.

   Opcionalmente, selecione Configurar para editar a configuração conforme necessário. Se você optar por desativar essa configuração, o recurso detecção de ameaças (plano de controle) também será desabilitado. Saiba mais sobre a disponibilidade do recurso.

4. Por padrão, o plano Bancos de Dados é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender for SQL para AWS EC2 e RDS Custom para SQL Server e bancos de dados relacionais de código aberto no RDS.

   (Opcional) Selecione Configurar para editar a configuração conforme necessário. Recomendamos que você deixe a configuração padrão.

5. Selecione Configurar o acesso e selecione o seguinte:

   a. Selecione um tipo de implantação:

   • Acesso padrão: permite que o Defender para Nuvem examine seus recursos e inclua automaticamente recursos futuros.
   • Acesso de privilégio mínimo: concede ao Defender para Nuvem acesso somente às permissões atuais necessárias para os planos selecionados. Se você selecionar as permissões menos privilegiadas, receberá notificações em quaisquer novas funções e permissões necessárias para obter a funcionalidade completa para a integridade do conector.

   b. Selecione um método de implantação: AWS CloudFormation ou Terraform.

   

   Observação

   Se você selecionar a conta de gerenciamento para criar um conector para uma conta de gerenciamento, a guia para fazer a integração com o Terraform não estará visível na interface do usuário, mas você ainda poderá fazer a integração usando o Terraform, de forma semelhante ao que está descrito na integração do ambiente do AWS/GCP ao Microsoft Defender para Nuvem com o Terraform – Microsoft Community Hub.

6. Siga as instruções na tela para o método de implantação selecionado para concluir as dependências necessárias na AWS. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e como StackSet. Os conectores são criados para as contas dos membros até 24 horas após a integração.

7. Selecione Avançar: Examinar e gerar.

8. Selecione Criar.

O Defender para Nuvem começa imediatamente a escanear seus recursos da AWS. As recomendações de segurança aparecem em poucas horas.

Implante um modelo do CloudFormation na sua conta da AWS

Como parte da conexão de uma conta da AWS ao Microsoft Defender para Nuvem, você implanta um modelo do CloudFormation na conta da AWS. Esse modelo cria todos os recursos necessários para a conexão.

Implante o modelo do CloudFormation usando o Stack (ou StackSet se você tiver uma conta de gerenciamento). Ao implantar o modelo, o assistente de criação de pilha oferece as seguintes opções.

• URL do Amazon S3: carregue o modelo de CloudFormation baixado em seu próprio bucket S3 com suas próprias configurações de segurança. Insira a URL para o bucket S3 no assistente de implantação da AWS.

• Carregar um arquivo de modelo: o AWS cria automaticamente um bucket S3 no qual o modelo CloudFormation é salvo. A automação do bucket S3 tem uma configuração de segurança incorreta que faz com que a recomendação S3 buckets should require requests to use Secure Socket Layer apareça. Você pode remediar essa recomendação aplicando a seguinte política:

  { 
    "Id": "ExamplePolicy", 
    "Version": "2012-10-17", 
    "Statement": [ 
      { 
        "Sid": "AllowSSLRequestsOnly", 
        "Action": "s3:*", 
        "Effect": "Deny", 
        "Resource": [ 
          "<S3_Bucket ARN>", 
          "<S3_Bucket ARN>/*" 
        ], 
        "Condition": { 
          "Bool": { 
            "aws:SecureTransport": "false" 
          } 
        }, 
        "Principal": "*" 
      } 
    ] 
  } 
  

  Observação

  Ao executar o CloudFormation StackSets ao integrar uma conta de gerenciamento da AWS, você pode encontrar a seguinte mensagem de erro: You must enable organizations access to operate a service managed stack set

  Esse erro indica que você não habilitou o acesso confiável para organizações AWS.

  Para corrigir essa mensagem de erro, sua página CloudFormation StackSets tem um prompt com um botão que você pode selecionar para habilitar o acesso confiável. Depois que o acesso confiável for habilitado, o CloudFormation Stack deverá ser executado novamente.

Monitore seus recursos da AWS

A página de recomendações de segurança no Defender para Nuvem exibe seus recursos da AWS. Você pode usar o filtro de ambientes para aproveitar os recursos de multinuvem no Defender para Nuvem.

Para visualizar todas as recomendações ativas para seus recursos por tipo de recurso, use a página de inventário de ativos no Defender para Nuvem e filtre pelo tipo de recurso da AWS no qual você está interessado.

Integrar ao Microsoft Defender XDR

Quando você habilita o Defender para Nuvem, seus alertas de segurança são automaticamente integrados ao Portal do Microsoft Defender.

A integração entre o Microsoft Defender para Nuvem e o Microsoft Defender XDR traz seus ambientes de nuvem para o Microsoft Defender XDR. Com os alertas e correlações de nuvem do Defender for Cloud integrados ao Microsoft Defender XDR, as equipes do SOC agora podem acessar todas as informações de segurança a partir de uma única interface.

Saiba mais sobre os alertas do Defender para Nuvem no Microsoft Defender XDR.

Saiba mais

Confira os seguintes blogs:

• Ignite 2021: Notícias do Microsoft Defender para Nuvem
• Gerenciamento de postura de segurança e proteção do servidor para AWS e GCP

Limpar os recursos

Não há necessidade de limpar nenhum recurso para esse artigo.

Próximas etapas

Conectar sua conta da AWS faz parte da experiência multicloud disponível no Microsoft Defender para Nuvem:

• Atribuir acesso aos proprietários da carga de trabalho.
• Proteja todos os seus recursos com o Defender para Nuvem.
• Configure seus computadores locais e projetos GCP.
• Obtenha respostas para perguntas comuns sobre como integrar sua conta do AWS.
• Solucionar problemas com seus conectores multinuvem.