Изменить

Решения по обеспечению безопасности Azure для AWS

Azure
Microsoft Sentinel
Microsoft Defender для облачных приложений
Microsoft Defender для облака

В этом руководстве показано, как Microsoft Defender для облака приложения и Microsoft Sentinel могут защитить доступ к учетной записи и средам Amazon Web Services (AWS).

Организации AWS, использующие идентификатор Microsoft Entra для Microsoft 365 или гибридного облачного удостоверения и защиты доступа, могут быстро и легко развертывать идентификатор Microsoft Entra для учетных записей AWS, часто без дополнительных затрат.

Архитектура

На этой схеме приведены сведения о том, как установки AWS могут воспользоваться ключевыми компонентами безопасности Майкрософт:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Скачайте файл PowerPoint этой архитектуры.

Workflow

  • Идентификатор Microsoft Entra предоставляет централизованный единый вход (SSO) и надежную проверку подлинности через многофакторную проверку подлинности и функцию условного доступа . Идентификатор Microsoft Entra поддерживает удостоверения на основе ролей AWS и авторизацию для доступа к ресурсам AWS. Дополнительные сведения и подробные инструкции см. в статье Microsoft Entra identity and access management for AWS. Управление разрешениями Microsoft Entra — это продукт управления правами на доступ к облачной инфраструктуре (CIEM), который обеспечивает полную видимость и контроль над разрешениями для любых удостоверений ИЛИ ресурсов AWS. Вы можете использовать Управление разрешениями Microsoft Entra для:

    • Получите многомерное представление о риске, оценивая удостоверения, разрешения и ресурсы.
    • Автоматизируйте применение политики наименьших привилегий во всей инфраструктуре с несколькими облаками.
    • Используйте обнаружение аномалий и излияния для предотвращения нарушений данных, вызванных неправильным использованием и вредоносной эксплуатацией разрешений.

    Дополнительные сведения и подробные инструкции по подключению см. в разделе "Подключение учетной записи Amazon Web Services(AWS").

  • приложения Defender для облака:

    • Интегрируется с функцией условного доступа Microsoft Entra для применения дополнительных ограничений.
    • Помогает отслеживать и защищать сеансы после входа.
    • Использует аналитику поведения пользователей (UBA) и другие API AWS для мониторинга сеансов и пользователей и поддержки защиты информации.

  • Microsoft Defender для облака отображаются рекомендации по безопасности AWS на портале Defender для облака вместе с рекомендациями Azure. Defender для облака предлагает более 160 встроенных рекомендаций для инфраструктуры как услуги (IaaS) и платформы как услуги (PaaS). Она также обеспечивает поддержку нормативных стандартов, включая стандарты Центра интернет-безопасности (CIS) и стандартов карта промышленности (PCI), а также стандарта AWS Foundational Security Best Practices. Defender для облака также обеспечивает защиту облачных рабочих нагрузок (CWP) для Кластеры Amazon EKS, экземпляры AWS EC2 и серверы SQL, которые работают в AWS EC2.

  • Microsoft Sentinel интегрируется с Defender для облака Apps и AWS для обнаружения и автоматического реагирования на угрозы. Microsoft Sentinel отслеживает среду AWS для неправильной настройки, потенциальных вредоносных программ и расширенных угроз для удостоверений AWS, устройств, приложений и данных.

Компоненты

Defender для облака Приложения для видимости и управления

Если несколько пользователей или ролей вносят административные изменения, это может быть отклонено от предполагаемой архитектуры и стандартов безопасности. Стандарты безопасности также могут меняться с течением времени. Персонал безопасности должен постоянно и последовательно обнаруживать новые риски, оценивать варианты устранения рисков и обновлять архитектуру безопасности, чтобы предотвратить потенциальные нарушения. Управление безопасностью в нескольких средах общедоступного облака и частной инфраструктуры может стать обременительным.

Defender для облака Приложения — это платформа брокера безопасности в облаке (CASB) с возможностями управления безопасностью облака (CSPM). Defender для облака приложения могут подключаться к нескольким облачным службам и приложениям для сбора журналов безопасности, отслеживания поведения пользователей и ограничения, которые сами платформы могут не предлагать.

Defender для облака Приложения предоставляют несколько возможностей, которые могут интегрироваться с AWS для немедленных преимуществ:

  • Соединитель приложений Defender для облака Apps использует несколько API AWS, включая UBA, для поиска проблем конфигурации и угроз на платформе AWS.
  • Контроль доступа AWS могут применять ограничения входа, основанные на приложениях, устройствах, IP-адресе, расположении, зарегистрированном поставщике услуг и определенных атрибутах пользователя.
  • Элементы управления сеансами для AWS блокируют потенциальные отправки вредоносных программ или загрузки на основе Аналитика угроз Microsoft Defender или проверки содержимого в режиме реального времени.
  • Элементы управления сеансами также могут использовать проверку содержимого в режиме реального времени и обнаружение конфиденциальных данных для применения правил защиты от потери данных, которые предотвращают вырезание, копирование, вставку или печать операций.

Defender для облака Приложения доступны автономно или как часть Microsoft Enterprise Mobility + Security E5, которая включает идентификатор Microsoft Entra ID P2. Сведения о ценах и лицензировании см. в разделе "Параметры ценообразования Enterprise Mobility + Security".

Defender для облака для платформ CSPM и CWP (CWPP)

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все. Defender для облака помогает защитить рабочие нагрузки в Azure, AWS и Google Cloud Platform (GCP).

Defender для облака предоставляет бессерверное подключение к учетной записи AWS. Defender для облака также предлагает планы по защите ресурсов AWS:

Microsoft Sentinel для расширенного обнаружения угроз

Угрозы могут поступать из широкого спектра устройств, приложений, расположений и типов пользователей. Для защиты от потери данных требуется проверка содержимого во время отправки или скачивания, так как после смерти проверка может быть слишком поздно. AWS не имеет собственных возможностей для управления устройствами и приложениями, условного доступа на основе рисков, элементов управления на основе сеансов или встроенной UBA.

Важно, чтобы решения для обеспечения безопасности снижали сложность и предоставляли комплексную защиту независимо от того, находятся ли ресурсы в мультиоблачных, локальных или гибридных средах. Defender для облака предоставляет CSPM и CWP. Defender для облака определяет слабые места конфигурации в AWS, чтобы укрепить общую позицию безопасности. Она также помогает обеспечить защиту от угроз для кластеров Linux Amazon EKS, экземпляров AWS EC2 и серверов SQL в AWS EC2.

Microsoft Sentinel — это решение для управления сведениями о безопасности и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR), которое централизованно и координирует обнаружение угроз и автоматизацию реагирования для современных операций безопасности. Microsoft Sentinel может отслеживать учетные записи AWS для сравнения событий между несколькими брандмауэрами, сетевыми устройствами и серверами. Microsoft Sentinel объединяет данные мониторинга с аналитикой угроз, правилами аналитики и машинным обучением для обнаружения и реагирования на расширенные методы атаки.

Вы можете подключить AWS и приложения Defender для облака с помощью Microsoft Sentinel. Затем можно просмотреть оповещения Defender для облака Приложения и запустить дополнительные проверка угроз, которые используют несколько веб-каналов аналитики угроз Defender. Microsoft Sentinel может инициировать согласованный ответ, который находится за пределами Defender для облака приложений. Microsoft Sentinel также может интегрироваться с решениями управления ИТ-службами (ITSM) и хранить данные на долгосрочной основе в целях соответствия требованиям.

Подробности сценария

Корпорация Майкрософт предлагает несколько решений для обеспечения безопасности и защиты учетных записей и сред AWS.

Другие компоненты безопасности Майкрософт могут интегрироваться с идентификатором Microsoft Entra, чтобы обеспечить дополнительную безопасность для учетных записей AWS:

  • Defender для облака приложения резервного копирования идентификатора Microsoft Entra с защитой сеансов и мониторингом поведения пользователей.
  • Defender для облака обеспечивает защиту от угроз для рабочих нагрузок AWS. Она также помогает заранее укрепить безопасность сред AWS и использовать безагентный подход для подключения к этим средам.
  • Microsoft Sentinel интегрируется с идентификатором Microsoft Entra и Defender для облака Apps для обнаружения и автоматического реагирования на угрозы в средах AWS.

Эти решения для обеспечения безопасности Майкрософт расширяемы и предлагают несколько уровней защиты. Вы можете реализовать одно или несколько этих решений вместе с другими типами защиты для архитектуры полной безопасности, которая помогает защитить текущие и будущие развертывания AWS.

Потенциальные варианты использования

Из этой стати архитекторы удостоверений, администраторы и аналитики безопасности в AWS узнают о рекомендациях по развертыванию нескольких решений по безопасности Майкрософт.

Рекомендации

При разработке решения для обеспечения безопасности следует учитывать следующие моменты.

Рекомендации по обеспечению безопасности

Для любого решения облачной безопасности важны следующие принципы и рекомендации.

  • Убедитесь, что организация может отслеживать, обнаруживать и автоматически защищать доступ пользователей и программных программ в облачных средах.
  • Постоянно просматривайте текущие учетные записи, чтобы обеспечить управление удостоверениями и разрешениями и управление ими.
  • Следуйте принципам наименьшего доверия и нулю доверия . Убедитесь, что пользователи могут получить доступ только к определенным ресурсам, которым они требуются, с доверенных устройств и известных расположений. Уменьшите разрешения каждого администратора и разработчика, чтобы предоставить только те права, которые им необходимы для выполняемой роли. Регулярно проверяйте.
  • Непрерывно отслеживайте изменения конфигурации платформы, особенно если они предоставляют возможности для повышения привилегий или сохраняемости атак.
  • Предотвращение несанкционированного кражи данных путем активного проверки и контроля содержимого.
  • Воспользуйтесь преимуществами решений, которые уже могут принадлежать, например Microsoft Entra ID P2, которые могут повысить безопасность без дополнительных расходов.

Базовая безопасность учетной записи AWS

Чтобы обеспечить базовую гигиену безопасности для учетных записей и ресурсов AWS:

  • Ознакомьтесь с рекомендациями по обеспечению безопасности AWS в рекомендациях по защите учетных записей и ресурсов AWS.
  • Уменьшите риск отправки и скачивания вредоносных программ и другого вредоносного содержимого, активно проверяя все передачи данных через консоль управления AWS. Содержимое, которое вы отправляете или загружаете непосредственно в ресурсы на платформе AWS, например веб-серверы или базы данных, может потребовать дополнительной защиты.
  • Рассмотрите возможность защиты доступа к другим ресурсам, в том числе:
    • Ресурсы, созданные в учетной записи AWS.
    • Определенные платформы рабочей нагрузки, такие как Windows Server, Linux Server или контейнеры.
    • Устройства, которые администраторы и разработчики используют для доступа к консоли управления AWS.

Развертывание этого сценария

Выполните действия, описанные в следующих разделах, чтобы реализовать решение для обеспечения безопасности.

Планирование и подготовка

Чтобы подготовиться к развертыванию решений по безопасности Azure, просмотрите и запишите текущие сведения об AWS и учетной записи Microsoft Entra. Если вы развернули несколько учетных записей AWS, повторите эти действия для каждой учетной записи.

  1. В консоли управления выставлением счетов AWS запишите следующие сведения о текущей учетной записи AWS:

    • Идентификатор учетной записи AWS, уникальный идентификатор
    • Имя учетной записи или корневой пользователь
    • Метод оплаты, назначенный кредитным карта или соглашению о выставлении счетов компании
    • Альтернативные контакты , имеющие доступ к сведениям об учетной записи AWS
    • Вопросы безопасности, безопасно обновленные и записанные для аварийного доступа
    • Регионы AWS, которые включены или отключены для соблюдения политики безопасности данных

  2. В портал Azure просмотрите клиент Microsoft Entra:

    • Оцените сведения о клиенте, чтобы узнать, имеет ли клиент лицензию Microsoft Entra ID P1 или P2. Лицензия P2 предоставляет расширенные функции управления удостоверениями Microsoft Entra.
    • Оцените корпоративные приложения, чтобы узнать, используют ли существующие приложения тип приложения AWS, как показано http://aws.amazon.com/ в столбце URL-адреса домашней страницы.

Развертывание Defender для облачных приложений

После развертывания централизованного управления и строгой проверки подлинности, необходимой современной идентификации и управления доступом, можно реализовать Defender для облака приложениям:

  • Сбор данных безопасности и обнаружение угроз для учетных записей AWS.
  • Реализуйте расширенные элементы управления для снижения риска и предотвращения потери данных.

Чтобы развернуть приложения Defender для облака:

  1. Добавьте соединитель приложений Defender для облака apps для AWS.
  2. Настройте политики мониторинга приложений Defender для облака для действий AWS.
  3. Создайте корпоративное приложение для единого входа в AWS.
  4. Создайте приложение управления условным доступом в Defender для облака Apps.
  5. Настройте политики сеансов Microsoft Entra для действий AWS.
  6. Тестирование политик приложений Defender для облака для AWS.

Добавление соединителя приложений AWS

  1. На портале приложений Defender для облака разверните узел "Исследование" и выберите Подключение приложения.

  2. На странице соединитель приложений выберите знак "Плюс" (+) и выберите Amazon Web Services из списка.

  3. Используйте уникальное имя соединителя. В качестве имени добавьте идентификатор для учетной записи AWS и компании, например Contoso-AWS-Account1.

  4. Следуйте инструкциям в Подключение AWS, чтобы Microsoft Defender для облака Приложения, чтобы создать соответствующего пользователя управления удостоверениями и доступом AWS (IAM).

    1. Определите политику для ограниченных разрешений.
    2. Создайте учетную запись службы для использования этих разрешений от имени службы Defender для облака Apps.
    3. Укажите учетные данные соединителю приложения.

Время, необходимое для установки начального подключения, зависит от размеров журнала учетной записи AWS. После завершения подключения появится подтверждение подключения:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Настройка политик мониторинга приложений Defender для облака для действий AWS

После включения соединителя приложений Defender для облака Приложения отображают новые шаблоны и параметры в построителе конфигураций политик. Вы можете создавать политики непосредственно из шаблонов и изменять их в соответствии с вашими потребностями. Вы также можете разрабатывать политику без использования шаблонов.

Чтобы реализовать политики с помощью шаблонов, выполните следующие действия.

  1. В окне навигации Defender для облака Приложения слева разверните элемент управления и выберите "Шаблоны".

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Выполните поиск aws и просмотрите доступные шаблоны политик для AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Чтобы использовать шаблон, выберите знак плюса (+) справа от элемента шаблона.

  4. Каждый тип политики имеет разные параметры. Просмотрите параметры конфигурации и сохраните политику. Повторите этот шаг для каждого шаблона.

    Screenshot of the Create file policy page, with various options visible.

    Чтобы использовать политики файлов, убедитесь, что параметр мониторинга файлов включен в параметрах Defender для облака Apps:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Как Defender для облака приложения обнаруживают оповещения, они отображаются на странице "Оповещения" на портале приложений Defender для облака:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Создание корпоративного приложения для единого входа в AWS

Следуйте инструкциям в руководстве по интеграции единого входа Microsoft Entra с единым входом AWS, чтобы создать корпоративное приложение для единого входа в AWS. Ниже приведены краткие сведения о процедуре.

  1. Добавьте единый вход AWS из коллекции.
  2. Настройте и проверьте единый вход Microsoft Entra для AWS SSO:
    1. Настройка единого входа Microsoft Entra.
    2. Настройка единого входа AWS.
    3. Создайте тестового пользователя AWS SSO.
    4. Проверка единого входа.

Создание приложения управления условным доступом в приложениях Defender для облака

  1. Перейдите на портал приложений Defender для облака, выберите "Исследовать" и выберите Подключение приложения.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Выберите приложения управления условным доступом и нажмите кнопку "Добавить".

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. В поле поиска приложения введите Amazon Web Services и выберите приложение. Выберите мастер запуска.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Выберите " Заполнить данные" вручную. Введите значение URL-адреса службы потребителей утверждений, показанное на следующем снимке экрана, и нажмите кнопку "Далее".

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. На следующей странице игнорируйте действия внешней конфигурации . Выберите Далее.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Выберите " Заполнить данные" вручную, а затем выполните следующие действия, чтобы ввести данные:

    1. В разделе URL-адрес службы единого входа введите значение URL-адреса входа для корпоративного приложения, созданного для AWS.
    2. В разделе "Отправить сертификат SAML поставщика удостоверений" нажмите кнопку "Обзор".
    3. Найдите сертификат для созданного корпоративного приложения.
    4. Скачайте сертификат на локальное устройство и отправьте его в мастер.
    5. Выберите Далее.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. На следующей странице игнорируйте действия внешней конфигурации . Выберите Далее.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. На следующей странице игнорируйте действия внешней конфигурации . Выберите Готово.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. На следующей странице пропустить шаги проверки параметров . Выберите Закрыть.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Настройка политик сеанса Microsoft Entra для действий AWS

Политики сеансов — это мощная комбинация политик условного доступа Microsoft Entra и возможности обратного прокси-сервера Defender для облака Apps. Эти политики обеспечивают мониторинг и управление подозрительным поведением в режиме реального времени.

  1. В идентификаторе Microsoft Entra создайте новую политику условного доступа со следующими параметрами:

    • В разделе "Имя" введите консоль AWS — элементы управления сеансами.
    • В разделе "Пользователи и группы" выберите две группы ролей, созданные ранее:
      • AWS-Account1-Администратор istrators
      • AWS-Account1-Developers
    • В разделе "Облачные приложения" или "Действия" выберите созданное ранее корпоративное приложение, например Contoso-AWS-Account 1.
    • В разделе "Сеанс" выберите "Использовать управление приложениями условного доступа".

  2. В разделе Включить политику нажмите кнопку Вкл.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Выберите Создать.

После создания политики условного доступа Microsoft Entra настройте политику сеанса Defender для облака Apps для управления поведением пользователей во время сеансов AWS.

  1. На портале приложений Defender для облака разверните элемент управления и выберите "Политики".

  2. На странице "Политики" выберите "Создать политику", а затем выберите политику сеанса из списка.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. На странице "Создание политики сеанса" в разделе "Шаблон политики" выберите "Блокировать отправку потенциальных вредоносных программ" (на основе Microsoft Threat Intelligence).

  4. В разделе "Действия", соответствующие всем приведенным ниже, измените фильтр действий, чтобы включить приложение, равное и Amazon Web Services. Удалите выбор устройства по умолчанию.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Просмотрите другие параметры и нажмите кнопку "Создать".

Тестирование политик приложений Defender для облака для AWS

Регулярно тестируйте все политики, чтобы убедиться, что они по-прежнему эффективны и актуальны. Ниже приведены некоторые рекомендуемые тесты:

Развертывание Defender для облака

Вы можете использовать собственный облачный соединитель для подключения учетной записи AWS к Defender для облака. Соединитель предоставляет бессерверное подключение к учетной записи AWS. Это подключение можно использовать для сбора рекомендаций CSPM. С помощью планов Defender для облака вы можете защитить ресурсы AWS с помощью CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Чтобы защитить ресурсы на основе AWS, выполните следующие действия, описанные в следующих разделах:

  1. Подключение учетной записи AWS.
  2. Мониторинг AWS.

Подключение к учетной записи AWS

Чтобы подключить учетную запись AWS к Defender для облака с помощью собственного соединителя, выполните следующие действия.

  1. Просмотрите предварительные требования для подключения учетной записи AWS. Прежде чем продолжить, убедитесь, что вы завершите их.

  2. Если у вас есть классические соединители, удалите их, выполнив действия, описанные в разделе "Удалить классические соединители". Использование и классических, и собственных соединителей может привести к появлению повторяющихся рекомендаций.

  3. Войдите на портал Azure.

  4. Выберите Microsoft Defender для облака и выберите параметры среды.

  5. Выберите Добавление среды>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Введите сведения об учетной записи AWS, включая расположение хранилища ресурса соединителя. При необходимости выберите учетную запись управления, чтобы создать соединитель для учетной записи управления. Подключение создаются для каждой учетной записи участника, обнаруженной в указанной учетной записи управления. Автоматическая подготовка включена для всех вновь подключенных учетных записей.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Выберите элемент Next: Select plans (Далее: выбор планов).

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. По умолчанию план серверов включен. Этот параметр необходим для расширения охвата Defender для серверов в AWS EC2. Убедитесь, что вы выполнили требования к сети для Azure Arc. При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить".

  9. По умолчанию план контейнеров включен. Этот параметр необходим для защиты Defender для контейнеров для кластеров AWS EKS. Убедитесь, что выполнены требования к сети для плана службы "Defender для контейнеров". При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить". Если отключить эту конфигурацию, функция обнаружения угроз для плоскости управления отключена. Чтобы просмотреть список функций, см. статью "Доступность функций Defender для контейнеров".

  10. По умолчанию план баз данных включен. Этот параметр необходим для расширения охвата Defender для SQL на AWS EC2 и RDS Custom for SQL Server. При необходимости, чтобы изменить конфигурацию, нажмите кнопку "Настроить". Рекомендуется использовать конфигурацию по умолчанию.

  11. Нажмите кнопку Next: Configure access (Далее: настройка доступа).

  12. Скачайте шаблон CloudFormation.

  13. Следуйте инструкциям на экране, чтобы использовать скачанный шаблон CloudFormation для создания стека в AWS. Если вы подключены к учетной записи управления, необходимо запустить шаблон CloudFormation как Stack и StackSet. Подключение создаются для учетных записей участников в течение 24 часов после подключения.

  14. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  15. Выберите Создать.

Defender для облака немедленно начинает сканирование ресурсов AWS. В течение нескольких часов вы увидите рекомендации по безопасности. Список всех рекомендаций, которые Defender для облака могут предоставлять ресурсы AWS, см. в справочнике по рекомендациям по безопасности ресурсов AWS.

Мониторинг ресурсов AWS

На странице рекомендаций по безопасности Defender для облака отображаются ресурсы AWS. Вы можете использовать фильтр сред, чтобы воспользоваться преимуществами многооблачных возможностей Defender для облака, таких как просмотр рекомендаций для ресурсов Azure, AWS и GCP вместе.

Чтобы просмотреть все активные рекомендации для ресурсов по типу ресурса, используйте страницу инвентаризации Defender для облака активов. Задайте фильтр, чтобы отобразить нужный тип ресурса AWS.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Развертывание Microsoft Sentinel

При подключении учетной записи AWS и Defender для облака Приложений к Microsoft Sentinel можно использовать возможности мониторинга, которые сравнивают события между несколькими брандмауэрами, сетевыми устройствами и серверами.

Включение соединителя AWS Microsoft Sentinel

После включения соединителя Microsoft Sentinel для AWS можно отслеживать инциденты AWS и прием данных.

Как и в случае с конфигурацией приложений Defender для облака, это подключение требует настройки AWS IAM для предоставления учетных данных и разрешений.

  1. В AWS IAM выполните действия, описанные в Подключение Microsoft Sentinel в AWS CloudTrail.

  2. Чтобы завершить настройку в портал Azure, в разделе Соединители данных Microsoft Sentinel>выберите соединитель Amazon Web Services.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Выберите Открыть страницу соединителя.

  4. В разделе "Конфигурация" введите значение ARN роли из конфигурации AWS IAM в роли, чтобы добавить поле, и нажмите кнопку "Добавить".

  5. Выберите следующие шаги, а затем выберите действия сети AWS и действия пользователей AWS для мониторинга.

  6. В разделе "Соответствующие аналитические шаблоны" выберите "Создать правило " рядом с шаблонами аналитики AWS, которые необходимо включить.

  7. Настройте каждое правило и нажмите кнопку "Создать".

В следующей таблице показаны шаблоны правил, доступные для проверка поведения сущностей AWS и индикаторов угроз. Имена правил описывают их назначение, а потенциальные источники данных перечисляют источники данных, которые могут использовать каждое правило.

Имя шаблона аналитики Источники данных
Известный IP-адреса IRIDIUM DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Идентификатор Microsoft Entra, Действие Azure, AWS
Полная Администратор политика, созданная и присоединенная к ролям, пользователям или группам AWS
Сбой входа в AzureAD, но успешный вход в консоль AWS Идентификатор Microsoft Entra, AWS
Сбой входа в консоль AWS, но успешное вход в AzureAD Идентификатор Microsoft Entra, AWS
Многофакторная проверка подлинности отключена для пользователя Идентификатор Microsoft Entra, AWS
Изменения параметров входящего трафика и исходящего трафика группы безопасности AWS AWS
Мониторинг злоупотреблений учетными данными AWS или перехвата AWS
Изменения групп безопасности AWS Elastic Load Balancer AWS
Изменения параметров Amazon VPC AWS
Новый UserAgent, наблюдаемый за последние 24 часа Microsoft 365, Azure Monitor, AWS
Вход в консоль управления AWS без многофакторной проверки подлинности AWS
Изменения в экземплярах базы данных AWS RDS в Интернете AWS
Изменения, внесенные в журналы AWS CloudTrail AWS
Аналитика угроз Defender сопоставляет IP-сущность с AWS CloudTrail Платформы аналитики угроз Defender, AWS

Шаблоны с поддержкой IN USE имеют индикатор IN USE на странице сведений о соединителе.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Мониторинг инцидентов AWS

Microsoft Sentinel создает инциденты на основе включенных анализов и обнаружения. Каждый инцидент может включать одно или несколько событий, что сокращает общее количество расследований, необходимых для обнаружения и реагирования на потенциальные угрозы.

Microsoft Sentinel показывает инциденты, которые Defender для облака приложения создаются, если он подключен, и инциденты, создаваемые Microsoft Sentinel. В столбце "Имена продуктов" показан источник инцидента.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Проверка приема данных

Убедитесь, что данные постоянно передаются в Microsoft Sentinel, регулярно просматривая сведения о соединителе. На следующей диаграмме показано новое подключение.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Если соединитель перестает прием данных, а значение диаграммы линии удаляется, проверка учетные данные, используемые для подключения к учетной записи AWS. Кроме того, проверка, что AWS CloudTrail по-прежнему может собирать события.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально она была написана следующими участник.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги