Защита среды Amazon Web Services (AWS) Defender для облака Apps

  • Статья

Amazon Web Services — это поставщик IaaS, который позволяет вашей организации размещать и управлять всеми рабочими нагрузками в облаке. Помимо преимуществ использования инфраструктуры в облаке, наиболее важные ресурсы вашей организации могут быть подвержены угрозам. Доступные ресурсы включают экземпляры хранилища с потенциально конфиденциальной информацией, вычислительными ресурсами, которые работают с некоторыми из наиболее важных приложений, портов и виртуальных частных сетей, которые обеспечивают доступ к вашей организации.

Подключение AWS для Defender для облака Apps помогает защитить ресурсы и обнаружить потенциальные угрозы, отслеживая действия администратора и входа, уведомляя о возможных атаках подбора, вредоносном использовании привилегированной учетной записи пользователя, необычных удалениях виртуальных машин и общедоступных контейнерах хранилища.

Основные угрозы

  • Злоупотребление облачными ресурсами
  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Неправильное настройка ресурсов и недостаточное управление доступом

Как Defender для облака Приложения помогают защитить среду

Управление AWS встроенными политиками и шаблонами политик

Для обнаружения и уведомления о потенциальных угрозах можно использовать следующие встроенные шаблоны политик:

Тип Имя.
Шаблон политики действий Администратор сбои входа в консоль
Изменения конфигурации CloudTrail
Изменения конфигурации экземпляра EC2
Изменения политики IAM
Вход с опасных IP-адресов
Изменения списка управления доступом к сети (ACL)
Изменения сетевого шлюза
Изменения конфигурации S3
Изменения конфигурации группы безопасности
Изменения виртуальной частной сети
Встроенная политика обнаружения аномалий Действия, выполняемые с анонимных IP-адресов
Действие из редко упоминаемой страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений)
Множество неудачных попыток входа
Необычные административные действия
Необычные действия по удалению хранилища (предварительная версия)
Удаление нескольких виртуальных машин
Необычные действия по созданию виртуальных машин (предварительная версия)
Необычный регион для облачного ресурса (предварительная версия)
Шаблон политики файлов Сегмент S3 является общедоступным

Дополнительные сведения о создании политик см. в разделе "Создание политики".

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия управления AWS для устранения обнаруженных угроз:

Тип Действие
Управление пользователями — уведомлять пользователя об оповещении (с помощью идентификатора Microsoft Entra)
— требовать повторного входа пользователя (с помощью идентификатора Microsoft Entra)
— Приостановка пользователя (с помощью идентификатора Microsoft Entra)
Управление данными — Создание частного контейнера S3
— удаление участника совместной работы для контейнера S3

Дополнительные сведения об устранении угроз из приложений см. в разделе "Управление подключенными приложениями".

Защита AWS в режиме реального времени

Ознакомьтесь с нашими рекомендациями по блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Amazon Web Services для приложений Microsoft Defender для облака

В этом разделе приведены инструкции по подключению существующей учетной записи Amazon Web Services (AWS) к Microsoft Defender для облака Apps с помощью API соединителя. Сведения о том, как приложения Defender для облака защищают AWS, см. в статье "Защита AWS".

Вы можете подключить аудит AWS Security к Defender для облака подключениям приложений, чтобы получить представление об использовании приложений AWS и контролировать их использование.

Шаг 1. Настройка аудита Amazon Web Services

  1. В консоли Amazon Web Services в разделе "Безопасность, удостоверение и соответствие" выберите IAM.

    AWS identity and access.

  2. Выберите "Пользователи" и нажмите кнопку "Добавить пользователя".

    AWS users.

  3. На шаге "Сведения" укажите новое имя пользователя для Defender для облака Apps. Убедитесь, что в разделе "Доступ" выберите программный доступ и выберите "Далее разрешения".

    Create user in AWS.

  4. Выберите " Подключить существующие политики" напрямую и создайте политику.

    Attach existing policies.

  5. Выберите вкладку JSON :

    AWS JSON tab.

  6. Вставьте следующий сценарий в указанную область.

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Нажмите кнопку "Далее": теги

    AWS code.

  8. Выберите Next: Review (Далее. Проверка).

    Add tags (optional).

  9. Укажите имя и нажмите кнопку "Создать политику".

    Provide AWS policy name.

  10. Вернитесь на экран "Добавить пользователя" , обновите список при необходимости и выберите созданного пользователя и нажмите кнопку "Далее: Теги".

    Attach existing policy in AWS.

  11. Выберите Next: Review (Далее. Проверка).

  12. Если все сведения верны, выберите "Создать пользователя".

    User permissions in AWS.

  13. Когда появится сообщение об успешном выполнении, нажмите кнопку "Скачать .csv ", чтобы сохранить копию учетных данных нового пользователя. Вам потребуется позже.

    Download csv in AWS.

    Примечание.

    После подключения AWS вы получите данные о событиях за 7 дней, предшествовавших подключению. Если вы только что включили CloudTrail, вы получите события с момента включения CloudTrail.

Шаг 2. Аудит Подключение Amazon Web Services в приложениях Defender для облака

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений".

  2. На странице соединитель приложений, чтобы указать учетные данные соединителя AWS, выполните одно из следующих действий:

    Для нового соединителя

    1. Выберите +Подключение приложение, а затем Amazon Web Services.

      connect AWS auditing.

    2. В следующем окне укажите имя соединителя и нажмите кнопку "Далее".

      AWS auditing connector name.

    3. На странице Подключение Amazon Web Services выберите "Аудит безопасности" и нажмите кнопку "Далее".

    4. На странице аудита безопасности вставьте ключ доступа и секретный ключ из файла .csv в соответствующие поля и нажмите кнопку "Далее".

      Connect AWS app security auditing for new connector.

    Для существующего соединителя

    1. В списке соединителей в строке, в которой появится соединитель AWS, выберите "Изменить параметры".

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. На страницах "Имя экземпляра" и Подключение "Amazon Web Services" нажмите кнопку "Далее". На странице аудита безопасности вставьте ключ доступа и секретный ключ из файла .csv в соответствующие поля и нажмите кнопку "Далее".

      Connect AWS app security auditing for existing connector.

  3. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений". Убедитесь, что состояние подключенного приложения Подключение or Подключение.

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.