Conecte as suas contas AWS

Concluído

Integrar sua conta do AWS (Amazon Web Services) ao Microsoft Defender para Nuvem, integra o Hub de segurança do AWS e o Defender para Nuvem. O Defender para Nuvem, portanto, fornece visibilidade e proteção em ambos os ambientes de nuvem.

• Provisionamento automático de agente (o Defender para Nuvem usa o Azure Arc para implantar o agente do Connected Machine em suas instâncias do AWS)

• Gerenciamento de política

• Gerenciamento de vulnerabilidades

• EDR (Detecção e Resposta de Ponto de Extremidade) integrada

• Detecção de configurações incorretas de segurança

• Uma exibição única mostrando as recomendações do Defender para Nuvem e as descobertas do Hub de Segurança do AWS

• Incorporação dos recursos da AWS nos cálculos de pontuação segura do Defender para Nuvem

• Avaliações de conformidade regulatória de seus recursos da AWS

Na captura de tela abaixo, você pode ver as contas do AWS exibidas no dashboard de visão geral do Defender para Nuvem.

Você pode saber mais assistindo ao vídeo Novo conector AWS no Defender para Nuvem da série de vídeos Defender para Nuvem no Campo.

Pré-requisitos

• Uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma gratuita.

• Configuração do Microsoft Defender para Nuvem em sua assinatura do Azure.

• Acesso a uma conta do AWS.

• Permissão de nível de colaborador para a assinatura relevante do Azure.

Planos do conector nativo

Cada plano tem seus próprios requisitos para o conector nativo.

• Microsoft Defender para contêineres
• Microsoft Defender para SQL
• Defender para bancos de dados relacionais de código aberto
• Microsoft Defender para servidores
• Microsoft Defender CSPM

Siga as etapas abaixo para criar seu conector de nuvem do AWS

Importante

Se sua conta do AWS já estiver conectada ao Microsoft Sentinel, não será possível conectá-la ao Defender para Nuvem. Para garantir que o conector funcione corretamente, siga as instruções em Conectar uma conta do AWS conectada do Microsoft Sentinel ao Defender para Nuvem.

Para conectar sua AWS ao Defender para Nuvem usando um conector nativo:

1. Entre no portal do Azure.

2. Vá para Defender para Nuvem>Configurações do ambiente.

3. Selecione Adicionar ambiente>Amazon Web Services.

   

4. Insira os detalhes da conta da AWS, incluindo o local onde você armazena o recurso do conector.

   

   A lista suspensa de regiões da AWS permite selecionar as regiões para as quais o Defender para Nuvem faz chamadas à API. Cada região desmarcada no menu suspenso implica que o Defender para Nuvem não fará chamadas de API para essas regiões.

5. Selecione um intervalo para verificar o ambiente da AWS a cada 4, 6, 12 ou 24 horas.

   Observação

   (Opcional) Selecione a conta de Gerenciamento para criar um conector para uma conta de gerenciamento. Os conectores são então criados para cada conta de membro descoberta na conta de gerenciamento fornecida. O provisionamento automático também está habilitado para todas as contas recém-integradas.

   (Opcional) Use o menu suspenso Regiões da AWS para selecionar regiões específicas da AWS a serem escaneadas. Todas as regiões são selecionadas por padrão.

Selecione os planos Defender

Nessa seção do assistente, você seleciona os planos do Defender para Nuvem que deseja habilitar.

1. Selecione Avançar: Selecionar planos.

   A guia Selecionar planos é onde você escolhe quais recursos do Defender para Nuvem habilitar para essa conta do AWS. Cada plano tem seus próprios requisitos para permissões e pode incorrer em encargos.

   

   Importante

   Para apresentar o status atual das suas recomendações, o plano Microsoft Defender Cloud Security Posture Management consulta as APIs de recursos da AWS várias vezes ao dia. Essas chamadas de API somente leitura não incorrem em encargos, mas são registradas no CloudTrail se você habilitar uma trilha para os eventos de leitura. A documentação do AWS explica que não há encargos extras para manter uma trilha. Se você estiver exportando os dados da AWS (por exemplo, para um sistema SIEM externo), esse aumento no volume de chamadas também poderá aumentar os custos de ingestão. Nesses casos, recomendamos filtrar as chamadas somente leitura do usuário do Defender para Nuvem ou da função ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Esse é o nome da função padrão. Confirme o nome da função configurado na sua conta.)

2. Por padrão, o plano servidores é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender para servidores para o AWS EC2. Verifique se você cumpriu os requisitos de rede do Azure Arc.

   Opcionalmente, selecione Configurar para editar a configuração conforme necessário.

   Observação

   Os respectivos servidores do Azure Arc para instâncias EC2 ou máquinas virtuais GCP que não existem mais (e os respectivos servidores do Azure Arc com status de Desconectado ou Expirado) são removidos após sete dias. Esse processo remove entidades irrelevantes do Azure Arc para garantir que apenas servidores do Azure Arc relacionados a instâncias existentes sejam exibidos.

3. Por padrão, o plano contêineres é definido como Ativado. Essa configuração é necessária para que o Defender para contêineres proteja seus clusters do AWS EKS. Verifique se você cumpriu os requisitos de rede para o plano do Defender para contêineres.

   Observação

   O Kubernetes habilitado para Azure Arc, as extensões do Azure Arc para o sensor Defender e o Azure Policy para Kubernetes devem ser instalados. Use as recomendações dedicadas do Defender para Nuvem para implantar as extensões (e o Azure Arc, se necessário), conforme explicado nos clusters do Serviço de Kubernetes do Amazon Elastic.

   Opcionalmente, selecione Configurar para editar a configuração conforme necessário. Se você optar por desativar essa configuração, o recurso detecção de ameaças (plano de controle) também será desabilitado.

4. Por padrão, o plano Bancos de Dados é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender for SQL para AWS EC2 e RDS Custom para SQL Server e bancos de dados relacionais de código aberto no RDS.

   (Opcional) Selecione Configurar para editar a configuração conforme necessário. Recomendamos que você deixe a configuração padrão.

5. Selecione Configurar o acesso e selecione o seguinte:

   a. Selecione um tipo de implantação:

   • Acesso padrão: permite que o Defender para Nuvem examine seus recursos e inclua automaticamente recursos futuros.
   • Acesso de privilégio mínimo: concede ao Defender para Nuvem acesso somente às permissões atuais necessárias para os planos selecionados. Se você selecionar as permissões menos privilegiadas, receberá notificações em quaisquer novas funções e permissões necessárias para obter a funcionalidade completa para a integridade do conector.

   b. Selecione um método de implantação: AWS CloudFormation ou Terraform.

   

   Observação

   Se você selecionar a conta de gerenciamento para criar um conector para uma conta de gerenciamento, a guia para fazer a integração com o Terraform não estará visível na interface do usuário, mas você ainda poderá fazer a integração usando o Terraform, de forma semelhante ao que está descrito na integração do ambiente do AWS/GCP ao Microsoft Defender para Nuvem com o Terraform – Microsoft Community Hub.

6. Siga as instruções na tela para o método de implantação selecionado para concluir as dependências necessárias na AWS. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e como StackSet. Os conectores são criados para as contas dos membros até 24 horas após a integração.

7. Selecione Avançar: Examinar e gerar.

8. Selecione Criar.

O Defender para Nuvem começa imediatamente a escanear seus recursos da AWS. As recomendações de segurança aparecem em poucas horas.