Прочитать на английском

Поделиться через


Как Defender for Cloud Apps помогает защитить среду Amazon Web Services (AWS)

Amazon Web Services — это поставщик IaaS, который позволяет вашей организации размещать и управлять всеми рабочими нагрузками в облаке. Наряду с преимуществами использования инфраструктуры в облаке, наиболее важные ресурсы вашей организации могут подвергаться угрозам. Доступные ресурсы включают экземпляры хранилища с потенциально конфиденциальной информацией, вычислительные ресурсы, которые управляют некоторыми из наиболее важных приложений, портов и виртуальных частных сетей, которые обеспечивают доступ к вашей организации.

Подключение AWS к Defender for Cloud Apps помогает защитить ресурсы и обнаружить потенциальные угрозы, отслеживая действия администратора и входа, уведомляя о возможных атаках методом подбора, вредоносном использовании привилегированной учетной записи пользователя, необычном удалении виртуальных машин и общедоступных контейнерах хранилища.

Основные угрозы

  • Злоупотребление облачными ресурсами
  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Неправильная настройка ресурсов и недостаточное управление доступом

Как Defender for Cloud Apps помогает защитить среду

Управление AWS с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Тип Имя
Шаблон политики действий сбои при входе в консоль Администратор
Изменения конфигурации CloudTrail
Изменения конфигурации экземпляра EC2
Изменения политики IAM
Вход с опасного IP-адреса
Изменения списка управления доступом к сети (ACL)
Изменения сетевого шлюза
Действие контейнера S3
Изменения конфигурации группы безопасности
Изменения виртуальной частной сети
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Действия из редкой страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений)
Многократные неудачные попытки входа.
Необычные административные действия
Необычные действия удаления нескольких хранилищ (предварительная версия)
Многократные действия по удалению виртуальных машин.
Необычные действия по созданию нескольких виртуальных машин (предварительная версия)
Необычный регион для облачного ресурса (предварительная версия)
Шаблон политики файлов Контейнер S3 является общедоступным

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению AWS для устранения обнаруженных угроз:

Тип Действие
Управление пользователями — уведомление пользователя об оповещении (через Microsoft Entra ID)
— требовать от пользователя повторного входа (через Microsoft Entra ID).
— Приостановить пользователя (через Microsoft Entra ID)
Управление данными — Сделать контейнер S3 частным
— Удаление участника совместной работы для контейнера S3

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита AWS в режиме реального времени

Ознакомьтесь с нашими рекомендациями по блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Amazon Web Services к Microsoft Defender for Cloud Apps

В этом разделе содержатся инструкции по подключению существующей учетной записи Amazon Web Services (AWS) к Microsoft Defender for Cloud Apps с помощью API соединителя. Сведения о том, как Defender for Cloud Apps защищает AWS, см. в статье Защита AWS.

Вы можете подключить аудит AWS Security к Defender for Cloud Apps подключениям, чтобы получить представление об использовании приложений AWS и контролировать их.

Шаг 1. Настройка аудита Amazon Web Services

  1. В консоли Amazon Web Services в разделе Безопасность, Удостоверение & соответствие выберите IAM.

    Удостоверение и доступ AWS.

  2. Выберите Пользователи , а затем — Добавить пользователя.

    Пользователи AWS.

  3. На шаге Сведения укажите новое имя пользователя для Defender for Cloud Apps. Убедитесь, что в разделе Тип доступа выберите Программный доступ и выберите Следующие разрешения.

    Создание пользователя в AWS.

  4. Выберите Подключить существующие политики напрямую, а затем — Создать политику.

    Присоединение существующих политик.

  5. Перейдите на вкладку JSON :

    Вкладка AWS JSON.

  6. Вставьте следующий скрипт в указанную область:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Выберите Далее: теги

    Код AWS.

  8. Выберите Далее: проверка.

    Добавление тегов (необязательно).

  9. Введите имя и выберите Создать политику.

    Укажите имя политики AWS.

  10. Вернитесь на экран Добавление пользователя , при необходимости обновите список, выберите созданного пользователя и нажмите кнопку Далее: Теги.

    Подключите существующую политику в AWS.

  11. Выберите Далее: проверка.

  12. Если все сведения указаны правильно, выберите Создать пользователя.

    Разрешения пользователей в AWS.

  13. Когда вы получите сообщение об успешном выполнении, выберите Скачать .csv , чтобы сохранить копию учетных данных нового пользователя. Они понадобятся вам позже.

    Скачайте csv в AWS.

    Примечание

    После подключения AWS вы будете получать события за семь дней до подключения. Если вы только что включили CloudTrail, вы будете получать события с момента включения CloudTrail.

Шаг 2. Подключение аудита Amazon Web Services к Defender for Cloud Apps

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений , чтобы предоставить учетные данные соединителя AWS, выполните одно из следующих действий.

    Для нового соединителя

    1. Выберите +Подключить приложение, а затем Amazon Web Services.

      подключение к аудиту AWS.

    2. В следующем окне укажите имя соединителя и нажмите кнопку Далее.

      Имя соединителя аудита AWS.

    3. На странице Connect Amazon Web Services выберите Аудит безопасности, а затем нажмите кнопку Далее.

    4. На странице Аудит безопасности вставьте ключ доступа и секретный ключ из файла .csv в соответствующие поля и нажмите кнопку Далее.

      Подключение аудита безопасности приложений AWS для нового соединителя.

    Для существующего соединителя

    1. В списке соединителей в строке, в которой отображается соединитель AWS, выберите Изменить параметры.

      Снимок экрана: страница

    2. На страницах Имя экземпляра и Подключение Amazon Web Services нажмите кнопку Далее. На странице Аудит безопасности вставьте ключ доступа и секретный ключ из файла .csv в соответствующие поля и нажмите кнопку Далее.

      Подключение аудита безопасности приложений AWS для существующего соединителя.

  3. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.