Snabbstart: Ansluta dina AWS-konton till Microsoft Defender för molnet

Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma. Microsoft Defender för molnet skyddar arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).

För att skydda dina AWS-baserade resurser kan du ansluta ett AWS-konto med något av följande:

  • Intern molnanslutning (rekommenderas) – Tillhandahåller en agentlös anslutning till ditt AWS-konto som du kan utöka med Defender för molnets Defender-planer för att skydda dina AWS-resurser:

  • Klassisk molnanslutning – Kräver konfiguration i ditt AWS-konto för att skapa en användare som Defender för molnet kan använda för att ansluta till din AWS-miljö. Om du har klassiska molnanslutningar rekommenderar vi att du tar bort dessa anslutningsappar och använder den inbyggda anslutningsappen för att återansluta till kontot. Om du använder både klassiska och inbyggda anslutningsappar kan du få dubbletter av rekommendationer.

En referenslista över alla rekommendationer som Defender för molnet kan ge för AWS-resurser finns i Säkerhetsrekommendationer för AWS-resurser – en referensguide.

Den här skärmbilden visar AWS-konton som visas i översiktsinstrumentpanelen för Defender för molnet.

Fyra AWS-projekt listade på översiktsinstrumentpanelen för Defender för molnet

Du kan lära dig mer genom att titta på den här videon från videoserien Defender för molnet i fältet:

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: CSPM-planen är kostnadsfri.
Defender för SQL-planen faktureras till samma pris som Azure-resurser.
Defender for Containers-planen är kostnadsfri i förhandsversionen. Därefter debiteras den för AWS till samma pris som för Azure-resurser.
För varje AWS-dator som är ansluten till Azure debiteras Defender for Servers-planen till samma pris som Microsoft Defender for Servers-planen för Azure-datorer.
Läs mer om prissättning och fakturering för Defender-plan
Nödvändiga roller och behörigheter: Deltagarbehörighet för relevant Azure-prenumeration.
Administratör för AWS-kontot.
Moln: Kommersiella moln
National (Azure Government, Azure China 21Vianet)

Förutsättningar

Den interna molnanslutningen kräver:

  • Åtkomst till ett AWS-konto.

  • Om du vill aktivera Defender for Containers-planen behöver du:

    • Minst ett Amazon EKS-kluster med behörighet att komma åt EKS K8s API-servern. Om du behöver skapa ett nytt EKS-kluster följer du anvisningarna i Komma igång med Amazon EKS – eksctl.
    • Resurskapaciteten för att skapa en ny SQS-kö, Leveransström för Kinesis-brandslang och S3-bucket i klustrets region.
  • Om du vill aktivera Defender för SQL-planen behöver du:

    • Microsoft Defender för SQL aktiverat för din prenumeration. Lär dig hur du aktiverar skydd på alla dina databaser.

    • Ett aktivt AWS-konto med EC2-instanser som kör SQL Server eller RDS Custom för SQL Server.

    • Azure Arc för servrar som är installerade på dina EC2-instanser/RDS Anpassade för SQL Server.

      • (Rekommenderas) Använd den automatiska etableringsprocessen för att installera Azure Arc på alla dina befintliga och framtida EC2-instanser.

        Automatisk etablering hanteras av AWS Systems Manager (SSM) med hjälp av SSM-agenten. Vissa Amazon Machine Images (AMIs) har redan SSM-agenten förinstallerad. Om du redan har SSM-agenten förinstallerad visas AMI:erna i AMIs med SSM-agenten förinstallerad. Om dina EC2-instanser inte har SSM-agenten måste du installera den med någon av följande relevanta instruktioner från Amazon:

      Anteckning

      Om du vill aktivera automatisk azure arc-etablering behöver du ägarbehörighet för relevant Azure-prenumeration.

    • Ytterligare tillägg ska aktiveras på arc-anslutna datorer.

    • Log Analytics-agenten (LA) på Arc-datorer och se till att den valda arbetsytan har en säkerhetslösning installerad. LA-agenten är för närvarande konfigurerad på prenumerationsnivå. Alla dina AWS-konton och GCP-projekt i flera moln under samma prenumeration ärver prenumerationsinställningarna.

      Lär dig hur du konfigurerar automatisk etablering för din prenumeration.

  • Om du vill aktivera defender for servers-planen behöver du:

    • Microsoft Defender för servrar aktiverat i din prenumeration. Lär dig hur du aktiverar planer i Aktivera förbättrade säkerhetsfunktioner.

    • Ett aktivt AWS-konto med EC2-instanser.

    • Azure Arc för servrar som är installerade på dina EC2-instanser.

      Anteckning

      Om du vill aktivera automatisk azure arc-etablering behöver du en ägarbehörighet för relevant Azure-prenumeration.

    • Ytterligare tillägg ska aktiveras på arc-anslutna datorer.

      • Microsoft Defender för slutpunkter

      • VA-lösning (TVM/Qualys)

      • Log Analytics-agent (LA) på Arc-datorer. Kontrollera att säkerhetslösningen är installerad på den valda arbetsytan.

        LA-agenten är för närvarande konfigurerad på prenumerationsnivå, så att alla konton och projekt med flera moln (från både AWS och GCP) under samma prenumeration ärver prenumerationsinställningarna när det gäller LA-agenten.

      Lär dig hur du konfigurerar automatisk etablering för din prenumeration.

      Anteckning

      Defender for Servers tilldelar taggar till dina AWS-resurser för att hantera den automatiska etableringsprocessen. Du måste ha dessa taggar korrekt tilldelade till dina resurser så att Defender för molnet kan hantera dina resurser: AccountId, Cloud, InstanceId, MDFCSecurityConnector

Anslut ditt AWS-konto

Så här ansluter du ditt AWS-konto till Defender för molnet med en intern anslutningsapp:

  1. Om du har några klassiska anslutningsappar tar du bort dem.

    Om du använder både klassiska och inbyggda anslutningsappar kan du få dubbletter av rekommendationer.

  2. Logga in på Azure-portalen.

  3. Gå tillInställningarför Defender för molnmiljö>.

  4. Välj Lägg till miljö>Amazon Web Services.

    Ansluta ett AWS-konto till en Azure-prenumeration.

  5. Ange information om AWS-kontot, inklusive den plats där du ska lagra anslutningsresursen.

    Steg 1 i guiden Lägg till AWS-konto: Ange kontoinformationen.

    (Valfritt) Välj Hanteringskonto för att skapa en anslutningsapp till ett hanteringskonto. Anslutningsappar skapas för varje medlemskonto som identifieras under det angivna hanteringskontot. Automatisk etablering aktiveras för alla nyligen registrerade konton.

  6. Välj Nästa: Välj planer.

    Anteckning

    Varje plan har sina egna behörighetskrav och kan medföra avgifter.

    På fliken Välj planer väljer du vilka Defender för moln-funktioner som ska aktiveras för det här AWS-kontot.

    Viktigt

    För att presentera den aktuella statusen för dina rekommendationer frågar CSPM-planen AWS-resurs-API:erna flera gånger om dagen. Dessa skrivskyddade API-anrop medför inga avgifter, men de registreras i CloudTrail om du har aktiverat ett spår för läshändelser. Som förklaras i AWS-dokumentationen finns det inga ytterligare avgifter för att hålla ett spår. Om du exporterar data från AWS (till exempel till en extern SIEM) kan den här ökade volymen anrop också öka kostnaderna för inmatning. I sådana fall rekommenderar vi att du filtrerar bort de skrivskyddade anropen från Defender för molnet-användaren eller rollen ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (det här är standardrollnamnet, bekräfta rollnamnet som konfigurerats för ditt konto).

  7. Som standard är serverplanen inställd på På. Detta är nödvändigt för att utöka Defender för serverns täckning till din AWS EC2. Kontrollera att du har uppfyllt nätverkskraven för Azure Arc.

    • (Valfritt) Välj Konfigurera för att redigera konfigurationen efter behov.
  8. Som standard är containerplanen inställd på På. Detta är nödvändigt för att Skydda Dina AWS EKS-kluster i Defender för containrar. Kontrollera att du har uppfyllt nätverkskraven för Defender for Containers-planen.

    Anteckning

    Azure Arc-aktiverat Kubernetes, Defender Arc-tillägget och Azure Policy Arc-tillägget bör installeras. Använd de dedikerade Rekommendationerna för Defender för molnet för att distribuera tilläggen (och Arc, om det behövs) enligt beskrivningen i Skydda Amazon Elastic Kubernetes Service-kluster.

    • (Valfritt) Välj Konfigurera för att redigera konfigurationen efter behov. Om du väljer att inaktivera den här konfigurationen Threat detection (control plane) inaktiveras funktionen. Läs mer om funktionens tillgänglighet.
  9. Som standard är databasplanen inställd på På. Detta är nödvändigt för att utöka Täckningen för Defender för SQL till din AWS EC2 och RDS Custom för SQL Server.

    • (Valfritt) Välj Konfigurera för att redigera konfigurationen efter behov. Vi rekommenderar att du låter standardkonfigurationen vara kvar.
  10. Välj Nästa: Konfigurera åtkomst.

  11. Ladda ned CloudFormation-mallen.

  12. Med hjälp av den nedladdade CloudFormation-mallen skapar du stacken i AWS enligt instruktionerna på skärmen. Om du registrerar ett hanteringskonto måste du köra CloudFormation-mallen både som Stack och som StackSet. Anslutningsappar skapas för medlemskontona upp till 24 timmar efter registreringen.

  13. Välj Nästa: Granska och generera.

  14. Välj Skapa.

Defender för molnet börjar omedelbart genomsöka dina AWS-resurser och du får säkerhetsrekommendationer inom några timmar. En referenslista över alla rekommendationer som Defender för molnet kan ge för AWS-resurser finns i Säkerhetsrekommendationer för AWS-resurser – en referensguide.

Ta bort "klassiska" anslutningsappar

Om du har några befintliga anslutningsappar som skapats med den klassiska molnanslutningsupplevelsen tar du bort dem först:

  1. Logga in på Azure-portalen.

  2. Gå tillInställningarför Defender för molnmiljö>.

  3. Välj alternativet för att växla tillbaka till den klassiska anslutningsfunktionen.

    Växla tillbaka till den klassiska molnanslutningsupplevelsen i Defender för molnet.

  4. För varje koppling väljer du knappen med tre punkter ... i slutet av raden och väljer Ta bort.

  5. På AWS tar du bort rollen ARN eller de autentiseringsuppgifter som skapats för integreringen.

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kräver Microsoft Defender för servrar, abonnemang 2
Nödvändiga roller och behörigheter: Ägare till relevant Azure-prenumeration
Deltagare kan också ansluta ett AWS-konto om en ägare tillhandahåller information om tjänstens huvudnamn
Moln: Kommersiella moln
National (Azure Government, Azure China 21Vianet)

Anslut ditt AWS-konto

Följ stegen nedan för att skapa din AWS-molnanslutning.

Steg 1. Konfigurera AWS Security Hub:

  1. Om du vill visa säkerhetsrekommendationer för flera regioner upprepar du följande steg för varje relevant region.

    Viktigt

    Om du använder ett AWS-hanteringskonto upprepar du följande tre steg för att konfigurera hanteringskontot och alla anslutna medlemskonton i alla relevanta regioner

    1. Aktivera AWS-konfiguration.
    2. Aktivera AWS Security Hub.
    3. Kontrollera att data flödar till säkerhetshubben. När du först aktiverar Security Hub kan det ta flera timmar innan data är tillgängliga.

Steg 2. Konfigurera autentisering för Defender för molnet i AWS

Det finns två sätt att tillåta att Defender för molnet autentiserar till AWS:

  • Skapa en IAM-roll för Defender för molnet (rekommenderas) – den säkraste metoden
  • AWS-användare för Defender för molnet – Ett mindre säkert alternativ om du inte har IAM aktiverat

Skapa en IAM-roll för Defender för molnet

  1. Från Amazon Web Services-konsolen går du till Säkerhet, Identitetsefterlevnad &och väljer IAM. AWS-tjänster.

  2. Välj Roller och Skapa roll.

  3. Välj ett annat AWS-konto.

  4. Ange följande information:

    • Konto-ID – Ange Microsoft-konto-ID (158177204117) enligt AWS-anslutningssidan i Defender för molnet.
    • Kräv externt ID – ska väljas
    • Externt ID – ange prenumerations-ID enligt AWS-anslutningssidan i Defender för molnet
  5. Välj Nästa.

  6. I avsnittet Koppla behörighetsprinciper väljer du följande AWS-hanterade principer:

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. Du kan också lägga till taggar. Att lägga till taggar till användaren påverkar inte anslutningen.

  8. Välj Nästa.

  9. I listan Roller väljer du den roll som du skapade

  10. Spara Amazon Resource Name (ARN) till senare.

Skapa en AWS-användare för Defender för molnet

  1. Öppna fliken Användare och välj Lägg till användare.

  2. I steget Information anger du ett användarnamn för Defender för molnet och ser till att du väljer Programmatisk åtkomst för AWS-åtkomsttypen.

  3. Välj Nästa behörigheter.

  4. Välj Koppla befintliga principer direkt och tillämpa följande principer:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. Välj Nästa: Taggar. Du kan också lägga till taggar. Att lägga till taggar till användaren påverkar inte anslutningen.

  6. Välj Granska.

  7. Spara csv-filen för den automatiskt genererade åtkomstnyckeln och csv-filen med den hemliga åtkomstnyckeln till senare.

  8. Granska sammanfattningen och välj Skapa användare.

Steg 3. Konfigurera SSM-agenten

AWS Systems Manager krävs för att automatisera uppgifter för dina AWS-resurser. Om dina EC2-instanser inte har SSM-agenten följer du de relevanta anvisningarna från Amazon:

Steg 4. Slutför kraven för Azure Arc

  1. Kontrollera att lämpliga Azure-resursproviders är registrerade:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Skapa ett huvudnamn för tjänsten för registrering i stor skala. Som ägare för den prenumeration som du vill använda för registrering skapar du ett huvudnamn för tjänsten för Azure Arc-registrering enligt beskrivningen i Skapa ett tjänsthuvudnamn för registrering i stor skala.

Steg 5. Ansluta AWS till Defender för molnet

  1. Öppna Miljöinställningar i Defender för molnets meny och välj alternativet för att växla tillbaka till den klassiska anslutningsupplevelsen.

    Växla tillbaka till den klassiska molnanslutningsupplevelsen i Defender för molnet.

  2. Välj Lägg till AWS-konto. Knappen Lägg till AWS-konto på sidan för anslutningsprogram för flera moln i Defender för molnet

  3. Konfigurera alternativen på fliken AWS-autentisering :

    1. Ange ett visningsnamn för anslutningsappen.
    2. Bekräfta att prenumerationen är korrekt. Det är prenumerationen som innehåller rekommendationer för anslutningsappen och AWS Security Hub.
    3. Beroende på autentiseringsalternativet valde du i steg 2. Konfigurera autentisering för Defender för molnet i AWS:
  4. Välj Nästa.

  5. Konfigurera alternativen på fliken Azure Arc-konfiguration :

    Defender för molnet identifierar EC2-instanserna i det anslutna AWS-kontot och använder SSM för att registrera dem i Azure Arc.

    Tips

    En lista över operativsystem som stöds finns i Vilka operativsystem för mina EC2-instanser stöds? i Vanliga frågor och svar.

    1. Välj den resursgrupp och Azure-region som identifierade AWS EC2s ska registreras i i den valda prenumerationen.

    2. Ange klienthemligheten för tjänstens huvudnamn och tjänstens huvudnamn för Azure Arc enligt beskrivningen här Skapa ett tjänsthuvudnamn för registrering i stor skala

    3. Om datorn ansluter till Internet via en proxyserver anger du proxyserverns IP-adress eller det namn och portnummer som datorn använder för att kommunicera med proxyservern. Ange värdet i formatet http://<proxyURL>:<proxyport>

    4. Välj Granska + skapa.

      Granska sammanfattningsinformationen

      I avsnitten Taggar listas alla Azure-taggar som skapas automatiskt för varje registrerad EC2 med egen relevant information för att enkelt identifiera den i Azure.

      Läs mer om Azure-taggar i Använda taggar för att organisera dina Azure-resurser och din hanteringshierarki.

Steg 6. Bekräftelse

När anslutningsappen har skapats och AWS Security Hub har konfigurerats korrekt:

  • Defender för molnet söker igenom miljön efter AWS EC2-instanser, registrerar dem i Azure Arc, gör det möjligt att installera Log Analytics-agenten och tillhandahålla rekommendationer om skydd mot hot och säkerhet.
  • Defender for Cloud-tjänsten söker efter nya AWS EC2-instanser var 6:e timme och registrerar dem enligt konfigurationen.
  • AWS CIS-standarden visas på instrumentpanelen för regelefterlevnad i Defender för molnet.
  • Om Security Hub-principen är aktiverad visas rekommendationer i Defender för molnet-portalen och instrumentpanelen för regelefterlevnad 5–10 minuter efter att registreringen har slutförts.

AWS-resurser och rekommendationer på sidan med rekommendationer för Defender för molnet

Övervaka dina AWS-resurser

Som du ser i föregående skärmbild visas dina AWS-resurser på sidan säkerhetsrekommendationer i Defender för molnet. Du kan använda miljöfiltret för att dra nytta av Defender för molnets funktioner för flera moln: visa rekommendationerna för Azure-, AWS- och GCP-resurser tillsammans.

Om du vill visa alla aktiva rekommendationer för dina resurser efter resurstyp använder du defender för molnets tillgångsinventeringssida och filtrerar efter den AWS-resurstyp som du är intresserad av:

Resursinventeringssidans resurstypfilter som visar AWS-alternativen

Vanliga frågor och svar – AWS i Defender för molnet

Vilka operativsystem för mina EC2-instanser stöds?

En lista över AMIs med SSM-agenten förinstallerad finns på den här sidan i AWS-dokumenten.

För andra operativsystem bör SSM-agenten installeras manuellt med hjälp av följande instruktioner:

Vilka IAM-behörigheter krävs för CSPM-planen för att identifiera AWS-resurser?

Följande IAM-behörigheter krävs för att identifiera AWS-resurser:

DataCollector AWS-behörigheter
API-gateway apigateway:GET
Automatisk skalning av program application-autoscaling:Describe*
Automatisk skalning autoscaling-plans:Describe*
autoscaling:Describe*
Certifikathanterare acm-pca:Describe*
acm-pca:List*
acm:Describe* <br>acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch-loggar logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Konfigurationstjänst config:Describe*
config:List*
DMS – databasmigreringstjänst dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
Ecr ecr:Describe*
ecr:List*
Ecs ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – elastisk belastningsutjämning (v1/2) elasticloadbalancing:Describe*
Elastisk sökning es:Describe*
es:List*
EMR – elastisk kartreducering elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDute guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
LAMBDA lambda:GetPolicy
lambda:List*
Nätverksbrandvägg network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
Fjärrskrivbordstjänster rds:Describe*
rds:List*
Redshift redshift:Describe*
S3 och S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Hemlig chef secretsmanager:Describe*
secretsmanager:List*
Enkel meddelandetjänst – SNS sns:Check*
sns:List*
Ssm ssm:Describe*
ssm:List*
Sqs sqs:List*
sqs:Receive*
Sts sts:GetCallerIdentity
Brandvägg för webbaserade program waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Läs mer

Du kan ta en titt på följande bloggar:

Nästa steg

Att ansluta ditt AWS-konto är en del av flermolnsupplevelsen som är tillgänglig i Microsoft Defender för molnet. Relaterad information finns på följande sidor: