В этом руководстве показано, как Microsoft Defender для облака приложения и Microsoft Sentinel могут защитить доступ к учетной записи и средам Amazon Web Services (AWS).
Организации AWS, использующие идентификатор Microsoft Entra для Microsoft 365 или гибридного облачного удостоверения и защиты доступа, могут быстро и легко развертывать идентификатор Microsoft Entra для учетных записей AWS, часто без дополнительных затрат.
Архитектура
На этой схеме приведены сведения о том, как установки AWS могут воспользоваться ключевыми компонентами безопасности Майкрософт:
Скачайте файл PowerPoint этой архитектуры.
Workflow
Идентификатор Microsoft Entra предоставляет централизованный единый вход (SSO) и надежную проверку подлинности через многофакторную проверку подлинности и функцию условного доступа . Идентификатор Microsoft Entra поддерживает удостоверения на основе ролей AWS и авторизацию для доступа к ресурсам AWS. Дополнительные сведения и подробные инструкции см. в статье Microsoft Entra identity and access management for AWS. Управление разрешениями Microsoft Entra — это продукт управления правами на доступ к облачной инфраструктуре (CIEM), который обеспечивает полную видимость и контроль над разрешениями для любых удостоверений ИЛИ ресурсов AWS. Вы можете использовать Управление разрешениями Microsoft Entra для:
- Получите многомерное представление о риске, оценивая удостоверения, разрешения и ресурсы.
- Автоматизируйте применение политики наименьших привилегий во всей инфраструктуре с несколькими облаками.
- Используйте обнаружение аномалий и излияния для предотвращения нарушений данных, вызванных неправильным использованием и вредоносной эксплуатацией разрешений.
Дополнительные сведения и подробные инструкции по подключению см. в разделе "Подключение учетной записи Amazon Web Services(AWS").
приложения Defender для облака:
- Интегрируется с функцией условного доступа Microsoft Entra для применения дополнительных ограничений.
- Помогает отслеживать и защищать сеансы после входа.
- Использует аналитику поведения пользователей (UBA) и другие API AWS для мониторинга сеансов и пользователей и поддержки защиты информации.
Microsoft Defender для облака отображаются рекомендации по безопасности AWS на портале Defender для облака вместе с рекомендациями Azure. Defender для облака предлагает более 160 встроенных рекомендаций для инфраструктуры как услуги (IaaS) и платформы как услуги (PaaS). Она также обеспечивает поддержку нормативных стандартов, включая стандарты Центра интернет-безопасности (CIS) и стандартов карта промышленности (PCI), а также стандарта AWS Foundational Security Best Practices. Defender для облака также обеспечивает защиту облачных рабочих нагрузок (CWP) для Кластеры Amazon EKS, экземпляры AWS EC2 и серверы SQL, которые работают в AWS EC2.
Microsoft Sentinel интегрируется с Defender для облака Apps и AWS для обнаружения и автоматического реагирования на угрозы. Microsoft Sentinel отслеживает среду AWS для неправильной настройки, потенциальных вредоносных программ и расширенных угроз для удостоверений AWS, устройств, приложений и данных.
Компоненты
- Microsoft Defender for Cloud Apps
- Microsoft Defender для облака
- Microsoft Sentinel
- Идентификатор Microsoft Entra
Defender для облака Приложения для видимости и управления
Если несколько пользователей или ролей вносят административные изменения, это может быть отклонено от предполагаемой архитектуры и стандартов безопасности. Стандарты безопасности также могут меняться с течением времени. Персонал безопасности должен постоянно и последовательно обнаруживать новые риски, оценивать варианты устранения рисков и обновлять архитектуру безопасности, чтобы предотвратить потенциальные нарушения. Управление безопасностью в нескольких средах общедоступного облака и частной инфраструктуры может стать обременительным.
Defender для облака Приложения — это платформа брокера безопасности в облаке (CASB) с возможностями управления безопасностью облака (CSPM). Defender для облака приложения могут подключаться к нескольким облачным службам и приложениям для сбора журналов безопасности, отслеживания поведения пользователей и ограничения, которые сами платформы могут не предлагать.
Defender для облака Приложения предоставляют несколько возможностей, которые могут интегрироваться с AWS для немедленных преимуществ:
- Соединитель приложений Defender для облака Apps использует несколько API AWS, включая UBA, для поиска проблем конфигурации и угроз на платформе AWS.
- Контроль доступа AWS могут применять ограничения входа, основанные на приложениях, устройствах, IP-адресе, расположении, зарегистрированном поставщике услуг и определенных атрибутах пользователя.
- Элементы управления сеансами для AWS блокируют потенциальные отправки вредоносных программ или загрузки на основе Аналитика угроз Microsoft Defender или проверки содержимого в режиме реального времени.
- Элементы управления сеансами также могут использовать проверку содержимого в режиме реального времени и обнаружение конфиденциальных данных для применения правил защиты от потери данных, которые предотвращают вырезание, копирование, вставку или печать операций.
Defender для облака Приложения доступны автономно или как часть Microsoft Enterprise Mobility + Security E5, которая включает идентификатор Microsoft Entra ID P2. Сведения о ценах и лицензировании см. в разделе "Параметры ценообразования Enterprise Mobility + Security".
Defender для облака для платформ CSPM и CWP (CWPP)
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все. Defender для облака помогает защитить рабочие нагрузки в Azure, AWS и Google Cloud Platform (GCP).
Defender для облака предоставляет бессерверное подключение к учетной записи AWS. Defender для облака также предлагает планы по защите ресурсов AWS:
- На странице обзора Defender для облака отображаются метрики, оповещения и аналитические сведения CSPM. Defender для облака оценивает ресурсы AWS в соответствии с Рекомендации по безопасности, относящиеся к AWS, и включает вашу защиту в оценку безопасности. Инвентаризация активов предоставляет одно место для просмотра всех защищенных ресурсов AWS. Панель мониторинга соответствия нормативным требованиям отражает состояние соответствия встроенным стандартам, которые относятся к AWS. Примерами являются стандарты AWS CIS, стандарты безопасности данных PCI (PCI-DSS) и стандарт "Рекомендации по обеспечению безопасности aws Foundational Security".
- Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на поддерживаемых экземплярах Windows и Linux EC2.
- Microsoft Defender для контейнеров обеспечивает обнаружение угроз и расширенные возможности защиты для поддерживаемых кластеров Amazon EKS.
- Microsoft Defender для SQL обеспечивает обнаружение угроз и расширенную защиту на серверах SQL , работающих на AWS EC2 и AWS RDS Custom for SQL Server.
Microsoft Sentinel для расширенного обнаружения угроз
Угрозы могут поступать из широкого спектра устройств, приложений, расположений и типов пользователей. Для защиты от потери данных требуется проверка содержимого во время отправки или скачивания, так как после смерти проверка может быть слишком поздно. AWS не имеет собственных возможностей для управления устройствами и приложениями, условного доступа на основе рисков, элементов управления на основе сеансов или встроенной UBA.
Важно, чтобы решения для обеспечения безопасности снижали сложность и предоставляли комплексную защиту независимо от того, находятся ли ресурсы в мультиоблачных, локальных или гибридных средах. Defender для облака предоставляет CSPM и CWP. Defender для облака определяет слабые места конфигурации в AWS, чтобы укрепить общую позицию безопасности. Она также помогает обеспечить защиту от угроз для кластеров Linux Amazon EKS, экземпляров AWS EC2 и серверов SQL в AWS EC2.
Microsoft Sentinel — это решение для управления сведениями о безопасности и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR), которое централизованно и координирует обнаружение угроз и автоматизацию реагирования для современных операций безопасности. Microsoft Sentinel может отслеживать учетные записи AWS для сравнения событий между несколькими брандмауэрами, сетевыми устройствами и серверами. Microsoft Sentinel объединяет данные мониторинга с аналитикой угроз, правилами аналитики и машинным обучением для обнаружения и реагирования на расширенные методы атаки.
Вы можете подключить AWS и приложения Defender для облака с помощью Microsoft Sentinel. Затем можно просмотреть оповещения Defender для облака Приложения и запустить дополнительные проверка угроз, которые используют несколько веб-каналов аналитики угроз Defender. Microsoft Sentinel может инициировать согласованный ответ, который находится за пределами Defender для облака приложений. Microsoft Sentinel также может интегрироваться с решениями управления ИТ-службами (ITSM) и хранить данные на долгосрочной основе в целях соответствия требованиям.
Подробности сценария
Корпорация Майкрософт предлагает несколько решений для обеспечения безопасности и защиты учетных записей и сред AWS.
Другие компоненты безопасности Майкрософт могут интегрироваться с идентификатором Microsoft Entra, чтобы обеспечить дополнительную безопасность для учетных записей AWS:
- Defender для облака приложения резервного копирования идентификатора Microsoft Entra с защитой сеансов и мониторингом поведения пользователей.
- Defender для облака обеспечивает защиту от угроз для рабочих нагрузок AWS. Она также помогает заранее укрепить безопасность сред AWS и использовать безагентный подход для подключения к этим средам.
- Microsoft Sentinel интегрируется с идентификатором Microsoft Entra и Defender для облака Apps для обнаружения и автоматического реагирования на угрозы в средах AWS.
Эти решения для обеспечения безопасности Майкрософт расширяемы и предлагают несколько уровней защиты. Вы можете реализовать одно или несколько этих решений вместе с другими типами защиты для архитектуры полной безопасности, которая помогает защитить текущие и будущие развертывания AWS.
Потенциальные варианты использования
Из этой стати архитекторы удостоверений, администраторы и аналитики безопасности в AWS узнают о рекомендациях по развертыванию нескольких решений по безопасности Майкрософт.
Рекомендации
При разработке решения для обеспечения безопасности следует учитывать следующие моменты.
Рекомендации по обеспечению безопасности
Для любого решения облачной безопасности важны следующие принципы и рекомендации.
- Убедитесь, что организация может отслеживать, обнаруживать и автоматически защищать доступ пользователей и программных программ в облачных средах.
- Постоянно просматривайте текущие учетные записи, чтобы обеспечить управление удостоверениями и разрешениями и управление ими.
- Следуйте принципам наименьшего доверия и нулю доверия . Убедитесь, что пользователи могут получить доступ только к определенным ресурсам, которым они требуются, с доверенных устройств и известных расположений. Уменьшите разрешения каждого администратора и разработчика, чтобы предоставить только те права, которые им необходимы для выполняемой роли. Регулярно проверяйте.
- Непрерывно отслеживайте изменения конфигурации платформы, особенно если они предоставляют возможности для повышения привилегий или сохраняемости атак.
- Предотвращение несанкционированного кражи данных путем активного проверки и контроля содержимого.
- Воспользуйтесь преимуществами решений, которые уже могут принадлежать, например Microsoft Entra ID P2, которые могут повысить безопасность без дополнительных расходов.
Базовая безопасность учетной записи AWS
Чтобы обеспечить базовую гигиену безопасности для учетных записей и ресурсов AWS:
- Ознакомьтесь с рекомендациями по обеспечению безопасности AWS в рекомендациях по защите учетных записей и ресурсов AWS.
- Уменьшите риск отправки и скачивания вредоносных программ и другого вредоносного содержимого, активно проверяя все передачи данных через консоль управления AWS. Содержимое, которое вы отправляете или загружаете непосредственно в ресурсы на платформе AWS, например веб-серверы или базы данных, может потребовать дополнительной защиты.
- Рассмотрите возможность защиты доступа к другим ресурсам, в том числе:
- Ресурсы, созданные в учетной записи AWS.
- Определенные платформы рабочей нагрузки, такие как Windows Server, Linux Server или контейнеры.
- Устройства, которые администраторы и разработчики используют для доступа к консоли управления AWS.
Развертывание этого сценария
Выполните действия, описанные в следующих разделах, чтобы реализовать решение для обеспечения безопасности.
Планирование и подготовка
Чтобы подготовиться к развертыванию решений по безопасности Azure, просмотрите и запишите текущие сведения об AWS и учетной записи Microsoft Entra. Если вы развернули несколько учетных записей AWS, повторите эти действия для каждой учетной записи.
В консоли управления выставлением счетов AWS запишите следующие сведения о текущей учетной записи AWS:
- Идентификатор учетной записи AWS, уникальный идентификатор
- Имя учетной записи или корневой пользователь
- Метод оплаты, назначенный кредитным карта или соглашению о выставлении счетов компании
- Альтернативные контакты , имеющие доступ к сведениям об учетной записи AWS
- Вопросы безопасности, безопасно обновленные и записанные для аварийного доступа
- Регионы AWS, которые включены или отключены для соблюдения политики безопасности данных
В портал Azure просмотрите клиент Microsoft Entra:
- Оцените сведения о клиенте, чтобы узнать, имеет ли клиент лицензию Microsoft Entra ID P1 или P2. Лицензия P2 предоставляет расширенные функции управления удостоверениями Microsoft Entra.
- Оцените корпоративные приложения, чтобы узнать, используют ли существующие приложения тип приложения AWS, как показано
http://aws.amazon.com/
в столбце URL-адреса домашней страницы.
Развертывание Defender для облачных приложений
После развертывания централизованного управления и строгой проверки подлинности, необходимой современной идентификации и управления доступом, можно реализовать Defender для облака приложениям:
- Сбор данных безопасности и обнаружение угроз для учетных записей AWS.
- Реализуйте расширенные элементы управления для снижения риска и предотвращения потери данных.
Чтобы развернуть приложения Defender для облака:
- Добавьте соединитель приложений Defender для облака apps для AWS.
- Настройте политики мониторинга приложений Defender для облака для действий AWS.
- Создайте корпоративное приложение для единого входа в AWS.
- Создайте приложение управления условным доступом в Defender для облака Apps.
- Настройте политики сеансов Microsoft Entra для действий AWS.
- Тестирование политик приложений Defender для облака для AWS.
Добавление соединителя приложений AWS
На портале приложений Defender для облака разверните узел "Исследование" и выберите Подключение приложения.
На странице соединитель приложений выберите знак "Плюс" (+) и выберите Amazon Web Services из списка.
Используйте уникальное имя соединителя. В качестве имени добавьте идентификатор для учетной записи AWS и компании, например Contoso-AWS-Account1.
Следуйте инструкциям в Подключение AWS, чтобы Microsoft Defender для облака Приложения, чтобы создать соответствующего пользователя управления удостоверениями и доступом AWS (IAM).
- Определите политику для ограниченных разрешений.
- Создайте учетную запись службы для использования этих разрешений от имени службы Defender для облака Apps.
- Укажите учетные данные соединителю приложения.
Время, необходимое для установки начального подключения, зависит от размеров журнала учетной записи AWS. После завершения подключения появится подтверждение подключения:
Настройка политик мониторинга приложений Defender для облака для действий AWS
После включения соединителя приложений Defender для облака Приложения отображают новые шаблоны и параметры в построителе конфигураций политик. Вы можете создавать политики непосредственно из шаблонов и изменять их в соответствии с вашими потребностями. Вы также можете разрабатывать политику без использования шаблонов.
Чтобы реализовать политики с помощью шаблонов, выполните следующие действия.
В окне навигации Defender для облака Приложения слева разверните элемент управления и выберите "Шаблоны".
Выполните поиск aws и просмотрите доступные шаблоны политик для AWS.
Чтобы использовать шаблон, выберите знак плюса (+) справа от элемента шаблона.
Каждый тип политики имеет разные параметры. Просмотрите параметры конфигурации и сохраните политику. Повторите этот шаг для каждого шаблона.
Чтобы использовать политики файлов, убедитесь, что параметр мониторинга файлов включен в параметрах Defender для облака Apps:
Как Defender для облака приложения обнаруживают оповещения, они отображаются на странице "Оповещения" на портале приложений Defender для облака:
Создание корпоративного приложения для единого входа в AWS
Следуйте инструкциям в руководстве по интеграции единого входа Microsoft Entra с единым входом AWS, чтобы создать корпоративное приложение для единого входа в AWS. Ниже приведены краткие сведения о процедуре.
- Добавьте единый вход AWS из коллекции.
- Настройте и проверьте единый вход Microsoft Entra для AWS SSO:
- Настройка единого входа Microsoft Entra.
- Настройка единого входа AWS.
- Создайте тестового пользователя AWS SSO.
- Проверка единого входа.
Создание приложения управления условным доступом в приложениях Defender для облака
Перейдите на портал приложений Defender для облака, выберите "Исследовать" и выберите Подключение приложения.
Выберите приложения управления условным доступом и нажмите кнопку "Добавить".
В поле поиска приложения введите Amazon Web Services и выберите приложение. Выберите мастер запуска.
Выберите " Заполнить данные" вручную. Введите значение URL-адреса службы потребителей утверждений, показанное на следующем снимке экрана, и нажмите кнопку "Далее".
На следующей странице игнорируйте действия внешней конфигурации . Выберите Далее.
Выберите " Заполнить данные" вручную, а затем выполните следующие действия, чтобы ввести данные:
- В разделе URL-адрес службы единого входа введите значение URL-адреса входа для корпоративного приложения, созданного для AWS.
- В разделе "Отправить сертификат SAML поставщика удостоверений" нажмите кнопку "Обзор".
- Найдите сертификат для созданного корпоративного приложения.
- Скачайте сертификат на локальное устройство и отправьте его в мастер.
- Выберите Далее.
На следующей странице игнорируйте действия внешней конфигурации . Выберите Далее.
На следующей странице игнорируйте действия внешней конфигурации . Выберите Готово.
На следующей странице пропустить шаги проверки параметров . Выберите Закрыть.
Настройка политик сеанса Microsoft Entra для действий AWS
Политики сеансов — это мощная комбинация политик условного доступа Microsoft Entra и возможности обратного прокси-сервера Defender для облака Apps. Эти политики обеспечивают мониторинг и управление подозрительным поведением в режиме реального времени.
В идентификаторе Microsoft Entra создайте новую политику условного доступа со следующими параметрами:
- В разделе "Имя" введите консоль AWS — элементы управления сеансами.
- В разделе "Пользователи и группы" выберите две группы ролей, созданные ранее:
- AWS-Account1-Администратор istrators
- AWS-Account1-Developers
- В разделе "Облачные приложения" или "Действия" выберите созданное ранее корпоративное приложение, например Contoso-AWS-Account 1.
- В разделе "Сеанс" выберите "Использовать управление приложениями условного доступа".
В разделе Включить политику нажмите кнопку Вкл.
Выберите Создать.
После создания политики условного доступа Microsoft Entra настройте политику сеанса Defender для облака Apps для управления поведением пользователей во время сеансов AWS.
На портале приложений Defender для облака разверните элемент управления и выберите "Политики".
На странице "Политики" выберите "Создать политику", а затем выберите политику сеанса из списка.
На странице "Создание политики сеанса" в разделе "Шаблон политики" выберите "Блокировать отправку потенциальных вредоносных программ" (на основе Microsoft Threat Intelligence).
В разделе "Действия", соответствующие всем приведенным ниже, измените фильтр действий, чтобы включить приложение, равное и Amazon Web Services. Удалите выбор устройства по умолчанию.
Просмотрите другие параметры и нажмите кнопку "Создать".
Тестирование политик приложений Defender для облака для AWS
Регулярно тестируйте все политики, чтобы убедиться, что они по-прежнему эффективны и актуальны. Ниже приведены некоторые рекомендуемые тесты:
Изменения политики IAM: эта политика активируется каждый раз, когда вы пытаетесь изменить параметры в AWS IAM. Например, когда вы выполните процедуру далее в этом разделе развертывания, чтобы создать новую политику iAM и учетную запись, вы увидите оповещение.
Сбои входа в консоль: любые неудачные попытки входа в одну из тестовых учетных записей активируют эту политику. Сведения об оповещении показывают, что попытка произошла из одного из региональных центров обработки данных Azure.
Политика действий сегментов S3. При попытке создать новую учетную запись хранения AWS S3 и установить ее общедоступной, вы активируете эту политику.
Политика обнаружения вредоносных программ. Если вы настраиваете обнаружение вредоносных программ в качестве политики сеанса, его можно протестировать, выполнив следующие действия.
- Скачайте безопасный тестовый файл из Европейского института компьютерных антивирусных исследований (EICAR).
> - Попробуйте отправить этот файл в учетную запись хранения AWS S3.
Политика немедленно блокирует попытку отправки, а на портале приложений Defender для облака появится оповещение.
- Скачайте безопасный тестовый файл из Европейского института компьютерных антивирусных исследований (EICAR).
Развертывание Defender для облака
Вы можете использовать собственный облачный соединитель для подключения учетной записи AWS к Defender для облака. Соединитель предоставляет бессерверное подключение к учетной записи AWS. Это подключение можно использовать для сбора рекомендаций CSPM. С помощью планов Defender для облака вы можете защитить ресурсы AWS с помощью CWP.
Чтобы защитить ресурсы на основе AWS, выполните следующие действия, описанные в следующих разделах:
- Подключение учетной записи AWS.
- Мониторинг AWS.
Подключение к учетной записи AWS
Чтобы подключить учетную запись AWS к Defender для облака с помощью собственного соединителя, выполните следующие действия.
Просмотрите предварительные требования для подключения учетной записи AWS. Прежде чем продолжить, убедитесь, что вы завершите их.
Если у вас есть классические соединители, удалите их, выполнив действия, описанные в разделе "Удалить классические соединители". Использование и классических, и собственных соединителей может привести к появлению повторяющихся рекомендаций.
Войдите на портал Azure.
Выберите Microsoft Defender для облака и выберите параметры среды.
Выберите Добавление среды>Amazon Web Services.
Введите сведения об учетной записи AWS, включая расположение хранилища ресурса соединителя. При необходимости выберите учетную запись управления, чтобы создать соединитель для учетной записи управления. Подключение создаются для каждой учетной записи участника, обнаруженной в указанной учетной записи управления. Автоматическая подготовка включена для всех вновь подключенных учетных записей.
Выберите элемент Next: Select plans (Далее: выбор планов).
По умолчанию план серверов включен. Этот параметр необходим для расширения охвата Defender для серверов в AWS EC2. Убедитесь, что вы выполнили требования к сети для Azure Arc. При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить".
По умолчанию план контейнеров включен. Этот параметр необходим для защиты Defender для контейнеров для кластеров AWS EKS. Убедитесь, что выполнены требования к сети для плана службы "Defender для контейнеров". При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить". Если отключить эту конфигурацию, функция обнаружения угроз для плоскости управления отключена. Чтобы просмотреть список функций, см. статью "Доступность функций Defender для контейнеров".
По умолчанию план баз данных включен. Этот параметр необходим для расширения охвата Defender для SQL на AWS EC2 и RDS Custom for SQL Server. При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить". Рекомендуется использовать конфигурацию по умолчанию.
Нажмите кнопку Next: Configure access (Далее: настройка доступа).
Скачайте шаблон CloudFormation.
Следуйте инструкциям на экране, чтобы использовать скачанный шаблон CloudFormation для создания стека в AWS. Если вы подключены к учетной записи управления, необходимо запустить шаблон CloudFormation как Stack и StackSet. Подключение создаются для учетных записей участников в течение 24 часов после подключения.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Создать.
Defender для облака немедленно начинает сканирование ресурсов AWS. В течение нескольких часов вы увидите рекомендации по безопасности. Список всех рекомендаций, которые Defender для облака могут предоставлять ресурсы AWS, см. в справочнике по рекомендациям по безопасности ресурсов AWS.
Мониторинг ресурсов AWS
На странице рекомендаций по безопасности Defender для облака отображаются ресурсы AWS. Вы можете использовать фильтр сред, чтобы воспользоваться преимуществами многооблачных возможностей Defender для облака, таких как просмотр рекомендаций для ресурсов Azure, AWS и GCP вместе.
Чтобы просмотреть все активные рекомендации для ресурсов по типу ресурса, используйте страницу инвентаризации Defender для облака активов. Задайте фильтр, чтобы отобразить нужный тип ресурса AWS.
Развертывание Microsoft Sentinel
При подключении учетной записи AWS и Defender для облака Приложений к Microsoft Sentinel можно использовать возможности мониторинга, которые сравнивают события между несколькими брандмауэрами, сетевыми устройствами и серверами.
Включение соединителя AWS Microsoft Sentinel
После включения соединителя Microsoft Sentinel для AWS можно отслеживать инциденты AWS и прием данных.
Как и в случае с конфигурацией приложений Defender для облака, это подключение требует настройки AWS IAM для предоставления учетных данных и разрешений.
В AWS IAM выполните действия, описанные в Подключение Microsoft Sentinel в AWS CloudTrail.
Чтобы завершить настройку в портал Azure, в разделе Соединители данных Microsoft Sentinel>выберите соединитель Amazon Web Services.
Выберите Открыть страницу соединителя.
В разделе "Конфигурация" введите значение ARN роли из конфигурации AWS IAM в роли, чтобы добавить поле, и нажмите кнопку "Добавить".
Выберите следующие шаги, а затем выберите действия сети AWS и действия пользователей AWS для мониторинга.
В разделе "Соответствующие аналитические шаблоны" выберите "Создать правило " рядом с шаблонами аналитики AWS, которые необходимо включить.
Настройте каждое правило и нажмите кнопку "Создать".
В следующей таблице показаны шаблоны правил, доступные для проверка поведения сущностей AWS и индикаторов угроз. Имена правил описывают их назначение, а потенциальные источники данных перечисляют источники данных, которые могут использовать каждое правило.
Имя шаблона аналитики | Источники данных |
---|---|
Известный IP-адреса IRIDIUM | DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Идентификатор Microsoft Entra, Действие Azure, AWS |
Полная Администратор политика, созданная и присоединенная к ролям, пользователям или группам | AWS |
Сбой входа в AzureAD, но успешный вход в консоль AWS | Идентификатор Microsoft Entra, AWS |
Сбой входа в консоль AWS, но успешное вход в AzureAD | Идентификатор Microsoft Entra, AWS |
Многофакторная проверка подлинности отключена для пользователя | Идентификатор Microsoft Entra, AWS |
Изменения параметров входящего трафика и исходящего трафика группы безопасности AWS | AWS |
Мониторинг злоупотреблений учетными данными AWS или перехвата | AWS |
Изменения групп безопасности AWS Elastic Load Balancer | AWS |
Изменения параметров Amazon VPC | AWS |
Новый UserAgent, наблюдаемый за последние 24 часа | Microsoft 365, Azure Monitor, AWS |
Вход в консоль управления AWS без многофакторной проверки подлинности | AWS |
Изменения в экземплярах базы данных AWS RDS в Интернете | AWS |
Изменения, внесенные в журналы AWS CloudTrail | AWS |
Аналитика угроз Defender сопоставляет IP-сущность с AWS CloudTrail | Платформы аналитики угроз Defender, AWS |
Шаблоны с поддержкой IN USE имеют индикатор IN USE на странице сведений о соединителе.
Мониторинг инцидентов AWS
Microsoft Sentinel создает инциденты на основе включенных анализов и обнаружения. Каждый инцидент может включать одно или несколько событий, что сокращает общее количество расследований, необходимых для обнаружения и реагирования на потенциальные угрозы.
Microsoft Sentinel показывает инциденты, которые Defender для облака приложения создаются, если он подключен, и инциденты, создаваемые Microsoft Sentinel. В столбце "Имена продуктов" показан источник инцидента.
Проверка приема данных
Убедитесь, что данные постоянно передаются в Microsoft Sentinel, регулярно просматривая сведения о соединителе. На следующей диаграмме показано новое подключение.
Если соединитель перестает прием данных, а значение диаграммы линии удаляется, проверка учетные данные, используемые для подключения к учетной записи AWS. Кроме того, проверка, что AWS CloudTrail по-прежнему может собирать события.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально она была написана следующими участник.
Автор субъекта:
- Лаванья Мурти | Старший архитектор облачных решений
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
- Рекомендации по безопасности из AWS см . в рекомендациях по защите учетных записей и ресурсов AWS.
- Последние сведения о безопасности Майкрософт см. в разделе "Безопасность Майкрософт".
- Полные сведения о реализации и управлении идентификатором Microsoft Entra см. в статье "Защита сред Azure с помощью идентификатора Microsoft Entra".
- Общие сведения об угрозах активов AWS и соответствующих защитных мерах см. в статье о том, как Defender для облака Приложения помогают защитить среду Amazon Web Services (AWS).
- Сведения о соединителях и способах установления подключений см. в следующих ресурсах:
Связанные ресурсы
- Подробный обзор и сравнение функций Azure и AWS см. в наборе содержимого Azure для специалистов AWS.
- Рекомендации по развертыванию решений для удостоверений и доступа Microsoft Entra для AWS см. в статье Microsoft Entra identity and access management for AWS.