Redigera

Azure-säkerhetslösningar för AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Den här guiden visar hur Microsoft Defender för molnet Apps och Microsoft Sentinel kan skydda åtkomst och miljöer för Amazon Web Services-konton (AWS).

AWS-organisationer som använder Microsoft Entra-ID för Microsoft 365 eller hybridmolnidentitet och åtkomstskydd kan snabbt och enkelt distribuera Microsoft Entra-ID för AWS-konton, ofta utan extra kostnad.

Arkitektur

Det här diagrammet sammanfattar hur AWS-installationer kan dra nytta av viktiga Microsoft-säkerhetskomponenter:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Workflow

  • Microsoft Entra ID tillhandahåller centraliserad enkel inloggning (SSO) och stark autentisering via multifaktorautentisering och funktionen för villkorlig åtkomst . Microsoft Entra ID stöder rollbaserade AWS-identiteter och auktorisering för åtkomst till AWS-resurser. Mer information och detaljerade instruktioner finns i Microsoft Entra-identitets- och åtkomsthantering för AWS. Microsoft Entra – behörighetshantering är en ciem-produkt (rights management) för molninfrastruktur som ger omfattande synlighet och kontroll över behörigheter för alla AWS-identiteter eller resurser. Du kan använda Microsoft Entra – behörighetshantering för att:

    • Få en flerdimensionell vy över din risk genom att utvärdera identiteter, behörigheter och resurser.
    • Automatisera tillämpningen av principen med minst behörighet i hela infrastrukturen för flera moln.
    • Använd avvikelse- och avvikande identifiering för att förhindra dataintrång som orsakas av missbruk och skadligt utnyttjande av behörigheter.

    Mer information och detaljerade anvisningar för registrering finns i Registrera ett AWS-konto (Amazon Web Services).

  • Defender för molnet-appar:

    • Integrerar med funktionen villkorsstyrd åtkomst i Microsoft Entra för att framtvinga ytterligare begränsningar.
    • Hjälper till att övervaka och skydda sessioner efter inloggning.
    • Använder användarbeteendeanalys (UBA) och andra AWS-API:er för att övervaka sessioner och användare och för att stödja informationsskydd.

  • Microsoft Defender för molnet visar AWS-säkerhetsrekommendationer i Defender för molnet portalen tillsammans med Azure-rekommendationer. Defender för molnet erbjuder mer än 160 färdiga rekommendationer för infrastruktur som en tjänst (IaaS) och PaaS-tjänster (plattform som en tjänst). Det ger också stöd för regelstandarder, inklusive STANDARDER för Center for Internet Security (CIS) och PCI(Payment Card Industry) och för standarden AWS Foundational Security Best Practices.It also provides support for regulatory standards, including Center for Internet Security (CIS) and payment card industry (PCI) standards, and for the AWS Foundational Security Best Practices standard. Defender för molnet tillhandahåller även molnskydd för arbetsbelastningar (CWP) för Amazon EKS-kluster, AWS EC2-instanser och SQL-servrar som körs på AWS EC2.

  • Microsoft Sentinel integreras med Defender för molnet Apps och AWS för att identifiera och automatiskt svara på hot. Microsoft Sentinel övervakar AWS-miljön för felkonfiguration, potentiell skadlig kod och avancerade hot mot AWS-identiteter, enheter, program och data.

Komponenter

Defender för molnet Appar för synlighet och kontroll

När flera användare eller roller gör administrativa ändringar kan en konsekvens vara att konfigurationen avviker från den avsedda säkerhetsarkitekturen och standarderna. Säkerhetsstandarder kan också ändras över tid. Säkerhetspersonal måste ständigt och konsekvent identifiera nya risker, utvärdera åtgärdsalternativ och uppdatera säkerhetsarkitekturen för att förhindra potentiella överträdelser. Säkerhetshantering i flera offentliga moln och privata infrastrukturmiljöer kan bli betungande.

Defender för molnet Apps är en CASB-plattform (Cloud Access Security Broker) med cspm-funktioner (cloud security posture management). Defender för molnet Appar kan ansluta till flera molntjänster och program för att samla in säkerhetsloggar, övervaka användarbeteende och införa begränsningar som plattformarna själva kanske inte erbjuder.

Defender för molnet Apps innehåller flera funktioner som kan integreras med AWS för omedelbara fördelar:

  • Appanslutningsappen Defender för molnet Apps använder flera AWS-API:er, inklusive UBA, för att söka efter konfigurationsproblem och hot på AWS-plattformen.
  • AWS-åtkomstkontroller kan tillämpa inloggningsbegränsningar som baseras på program, enhet, IP-adress, plats, registrerad INTERNETleverantör och specifika användarattribut.
  • Sessionskontroller för AWS blockerar potentiella uppladdningar eller nedladdningar av skadlig kod baserat på Microsoft Defender Hotinformation eller innehållsgranskning i realtid.
  • Sessionskontroller kan också använda innehållsgranskning i realtid och känslig dataidentifiering för att införa regler för dataförlustskydd (DLP) som förhindrar åtgärder för att klippa ut, kopiera, klistra in eller skriva ut.

Defender för molnet Apps är tillgängligt fristående, eller som en del av Microsoft Enterprise Mobility + Security E5, som innehåller Microsoft Entra ID P2. Information om priser och licensiering finns i Prisalternativ för Enterprise Mobility + Security.

Defender för molnet för CSPM- och CWP-plattformar (CWPP)

Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma. Defender för molnet hjälper till att skydda arbetsbelastningar i Azure, AWS och Google Cloud Platform (GCP).

Defender för molnet tillhandahåller en agentlös anslutning till ditt AWS-konto. Defender för molnet erbjuder även planer för att skydda dina AWS-resurser:

Microsoft Sentinel för avancerad hotidentifiering

Hot kan komma från en mängd olika enheter, program, platser och användartyper. DLP kräver att innehåll inspekteras under uppladdning eller nedladdning, eftersom granskning efter döden kan vara för sent. AWS har inte inbyggda funktioner för enhets- och programhantering, riskbaserad villkorlig åtkomst, sessionsbaserade kontroller eller infogad UBA.

Det är viktigt att säkerhetslösningar minskar komplexiteten och ger ett omfattande skydd oavsett om resurserna finns i miljöer med flera moln, lokalt eller i hybridmiljöer. Defender för molnet tillhandahåller CSPM och CWP. Defender för molnet identifierar konfigurationens svaga punkter i AWS för att stärka din övergripande säkerhetsstatus. Det hjälper också till att ge skydd mot hot för Amazon EKS Linux-kluster, AWS EC2-instanser och SQL-servrar i AWS EC2.

Microsoft Sentinel är en lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR) som centraliserar och samordnar automatisering av hotidentifiering och svar för moderna säkerhetsåtgärder. Microsoft Sentinel kan övervaka AWS-konton för att jämföra händelser mellan flera brandväggar, nätverksenheter och servrar. Microsoft Sentinel kombinerar övervakningsdata med hotinformation, analysregler och maskininlärning för att identifiera och svara på avancerade attacktekniker.

Du kan ansluta AWS- och Defender för molnet-appar med Microsoft Sentinel. Sedan kan du se Defender för molnet Apps-aviseringar och köra ytterligare hotkontroller som använder flera Defender Threat Intelligence-flöden. Microsoft Sentinel kan initiera ett samordnat svar som finns utanför Defender för molnet Apps. Microsoft Sentinel kan också integreras med ITSM-lösningar (IT-tjänsthantering) och lagra data på lång sikt i efterlevnadssyfte.

Information om scenario

Microsoft erbjuder flera säkerhetslösningar som kan hjälpa till att skydda AWS-konton och miljöer.

Andra Microsoft-säkerhetskomponenter kan integreras med Microsoft Entra-ID för att ge ytterligare säkerhet för AWS-konton:

  • Defender för molnet Apps säkerhetskopierar Microsoft Entra-ID med sessionsskydd och övervakning av användarbeteende.
  • Defender för molnet ger skydd mot hot mot AWS-arbetsbelastningar. Det hjälper också till att proaktivt stärka säkerheten för AWS-miljöer och använder en agentlös metod för att ansluta till dessa miljöer.
  • Microsoft Sentinel integreras med Microsoft Entra ID och Defender för molnet Apps för att identifiera och automatiskt svara på hot mot AWS-miljöer.

Dessa Microsoft-säkerhetslösningar är utökningsbara och erbjuder flera skyddsnivåer. Du kan implementera en eller flera av dessa lösningar tillsammans med andra typer av skydd för en fullständig säkerhetsarkitektur som hjälper till att skydda aktuella och framtida AWS-distributioner.

Potentiella användningsfall

Den här artikeln ger AWS-identitetsarkitekter, administratörer och säkerhetsanalytiker omedelbara insikter och detaljerad vägledning för att distribuera flera Microsoft-säkerhetslösningar.

Rekommendationer

Tänk på följande när du utvecklar en säkerhetslösning.

Säkerhetsrekommendationer

Följande principer och riktlinjer är viktiga för alla molnsäkerhetslösningar:

  • Se till att organisationen kan övervaka, identifiera och automatiskt skydda användare och programmatisk åtkomst till molnmiljöer.
  • Granska löpande konton kontinuerligt för att säkerställa identitets- och behörighetsstyrning och kontroll.
  • Följ principerna för minsta behörighet och noll förtroende . Se till att användarna bara kan komma åt de specifika resurser som de behöver, från betrodda enheter och kända platser. Minska behörigheterna för varje administratör och utvecklare för att endast ge de rättigheter som de behöver för den roll som de utför. Granska regelbundet.
  • Övervaka ändringar i plattformskonfigurationen kontinuerligt, särskilt om de ger möjligheter till eskalering av privilegier eller attackpersistence.
  • Förhindra obehörig dataexfiltrering genom att aktivt inspektera och kontrollera innehåll.
  • Dra nytta av lösningar som du kanske redan äger, till exempel Microsoft Entra ID P2, som kan öka säkerheten utan extra kostnad.

Grundläggande säkerhet för AWS-konto

Så här säkerställer du grundläggande säkerhetshygien för AWS-konton och -resurser:

  • Läs AWS-säkerhetsvägledningen i Metodtips för att skydda AWS-konton och -resurser.
  • Minska risken för att ladda upp och ladda ned skadlig kod och annat skadligt innehåll genom att aktivt inspektera alla dataöverföringar via AWS-hanteringskonsolen. Innehåll som du laddar upp eller laddar ned direkt till resurser på AWS-plattformen, till exempel webbservrar eller databaser, kan behöva ytterligare skydd.
  • Överväg att skydda åtkomsten till andra resurser, inklusive:
    • Resurser som skapats i AWS-kontot.
    • Specifika arbetsbelastningsplattformar, till exempel Windows Server, Linux Server eller containrar.
    • Enheter som administratörer och utvecklare använder för att få åtkomst till AWS-hanteringskonsolen.

Distribuera det här scenariot

Utför stegen i följande avsnitt för att implementera en säkerhetslösning.

Planera och förbereda

Om du vill förbereda för distribution av Azure-säkerhetslösningar kan du granska och registrera aktuell AWS- och Microsoft Entra-kontoinformation. Om du har distribuerat fler än ett AWS-konto upprepar du de här stegen för varje konto.

  1. I AWS-faktureringshanteringskonsolen registrerar du följande aktuella AWS-kontoinformation:

    • AWS-konto-ID, en unik identifierare
    • Kontonamn eller rotanvändare
    • Betalningsmetod, oavsett om den är tilldelad till ett kreditkort eller ett företagsfaktureringsavtal
    • Alternativa kontakter som har åtkomst till AWS-kontoinformation
    • Säkerhetsfrågor, säkert uppdaterade och registrerade för åtkomst till nödsituationer
    • AWS-regioner som är aktiverade eller inaktiverade för att följa datasäkerhetsprincipen

  2. Granska Microsoft Entra-klientorganisationen i Azure-portalen:

    • Utvärdera klientinformation för att se om klientorganisationen har en Microsoft Entra ID P1- eller P2-licens. En P2-licens tillhandahåller avancerade funktioner för identitetshantering i Microsoft Entra.
    • Utvärdera Företagsprogram för att se om några befintliga program använder AWS-programtypen, vilket visas http://aws.amazon.com/ i kolumnen Url för startsida.

Distribuera Defender för molnet-appar

När du har distribuerat den centrala hanteringen och den starka autentisering som krävs för modern identitets- och åtkomsthantering kan du implementera Defender för molnet Apps för att:

  • Samla in säkerhetsdata och utföra hotidentifieringar för AWS-konton.
  • Implementera avancerade kontroller för att minska risken och förhindra dataförlust.

Så här distribuerar du Defender för molnet-appar:

  1. Lägg till en appanslutning för Defender för molnet Apps för AWS.
  2. Konfigurera övervakningsprinciper för Defender för molnet appar för AWS-aktiviteter.
  3. Skapa ett företagsprogram för enkel inloggning till AWS.
  4. Skapa ett program för kontroll av villkorlig åtkomstapp i Defender för molnet-appar.
  5. Konfigurera Microsoft Entra-sessionsprinciper för AWS-aktiviteter.
  6. Testa Defender för molnet Apps-principer för AWS.

Lägga till en AWS-appanslutning

  1. I portalen Defender för molnet Apps expanderar du Undersök och väljer sedan Anslut appar.

  2. På sidan Anslutningsverktyg väljer du plustecknet (+) och väljer sedan Amazon Web Services i listan.

  3. Använd ett unikt namn för anslutningsappen. I namnet inkluderar du en identifierare för företaget och ett specifikt AWS-konto, till exempel Contoso-AWS-Account1.

  4. Följ anvisningarna på Anslut AWS till Microsoft Defender för molnet Apps för att skapa en lämplig IAM-användare (Identitets- och åtkomsthantering för AWS).

    1. Definiera en princip för begränsade behörigheter.
    2. Skapa ett tjänstkonto för att använda dessa behörigheter för tjänsten Defender för molnet Apps.
    3. Ange autentiseringsuppgifterna för appanslutningsappen.

Den tid det tar att upprätta den första anslutningen beror på AWS-kontologgstorlekarna. När anslutningen är klar visas en anslutningsbekräftelse:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Konfigurera övervakningsprinciper för Defender för molnet appar för AWS-aktiviteter

När du har aktiverat appanslutningsappen visar Defender för molnet Appar nya mallar och alternativ i principkonfigurationsverktyget. Du kan skapa principer direkt från mallarna och ändra dem efter dina behov. Du kan också utveckla en princip utan att använda mallarna.

Så här implementerar du principer med hjälp av mallarna:

  1. I det vänstra navigeringsfönstret Defender för molnet Appar expanderar du Kontroll och väljer sedan Mallar.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Sök efter aws och granska de tillgängliga principmallarna för AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Om du vill använda en mall väljer du plustecknet (+) till höger om mallobjektet.

  4. Varje principtyp har olika alternativ. Granska konfigurationsinställningarna och spara principen. Upprepa det här steget för varje mall.

    Screenshot of the Create file policy page, with various options visible.

    Om du vill använda filprinciper kontrollerar du att inställningen för filövervakning är aktiverad i inställningarna för Defender för molnet Appar:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

När Defender för molnet Apps identifierar aviseringar visas de på sidan Aviseringar i Defender för molnet Apps-portalen:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Skapa ett företagsprogram för enkel inloggning till AWS

Följ anvisningarna i Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med enkel inloggning med AWS för att skapa ett företagsprogram för enkel inloggning till AWS. Här är en sammanfattning av proceduren:

  1. Lägg till enkel inloggning med AWS från galleriet.
  2. Konfigurera och testa Microsoft Entra SSO för enkel inloggning med AWS:
    1. Konfigurera enkel inloggning med Microsoft Entra.
    2. Konfigurera enkel inloggning med AWS.
    3. Skapa en AWS SSO-testanvändare.
    4. Testa enkel inloggning.

Skapa ett program för kontroll av villkorlig åtkomstapp i Defender för molnet-appar

  1. Gå till Defender för molnet Apps-portalen, välj Undersök och välj sedan Anslut appar.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Välj Appar för appkontroll för villkorsstyrd åtkomst och välj sedan Lägg till.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. I rutan Sök efter en app anger du Amazon Web Services och väljer sedan programmet. Välj Starta guiden.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Välj Fyll i data manuellt. Ange värdet för url:en för konsumenttjänsten för försäkran som visas i följande skärmbild och välj sedan Nästa.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Ignorera de externa konfigurationsstegen på nästa sida. Välj Nästa.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Välj Fyll i data manuellt och utför sedan följande steg för att ange data:

    1. Under Url för enkel inloggningstjänst anger du värdet för inloggnings-URL för det företagsprogram som du skapade för AWS.
    2. Under Ladda upp identitetsproviderns SAML-certifikat väljer du Bläddra.
    3. Leta upp certifikatet för det företagsprogram som du skapade.
    4. Ladda ned certifikatet till den lokala enheten och ladda sedan upp det till guiden.
    5. Välj Nästa.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Ignorera de externa konfigurationsstegen på nästa sida. Välj Nästa.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Ignorera de externa konfigurationsstegen på nästa sida. Välj Slutför.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. På nästa sida ignorerar du stegen Verifiera dina inställningar . Välj Stäng.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Konfigurera Microsoft Entra-sessionsprinciper för AWS-aktiviteter

Sessionsprinciper är en kraftfull kombination av principer för villkorsstyrd åtkomst i Microsoft Entra och funktionen omvänd proxy för Defender för molnet-appar. Dessa principer ger övervakning och kontroll av misstänkt beteende i realtid.

  1. I Microsoft Entra-ID skapar du en ny princip för villkorlig åtkomst med följande inställningar:

    • Under Namn anger du AWS Console – Sessionskontroller.
    • Under Användare och grupper väljer du de två rollgrupper som du skapade tidigare:
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • Under Molnappar eller åtgärder väljer du det företagsprogram som du skapade tidigare, till exempel Contoso-AWS-Account 1.
    • Under Session väljer du Använd appkontroll för villkorsstyrd åtkomst.

  2. Välj under Aktivera princip.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Välj Skapa.

När du har skapat microsoft Entra-principen för villkorsstyrd åtkomst konfigurerar du en Defender för molnet Apps-sessionsprincip för att styra användarbeteendet under AWS-sessioner.

  1. I portalen Defender för molnet Appar expanderar du Kontroll och väljer sedan Principer.

  2. På sidan Principer väljer du Skapa princip och sedan Sessionsprincip i listan.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. På sidan Skapa sessionsprincip går du till Principmall och väljer Blockera uppladdning av potentiell skadlig kod (baserat på Microsoft Threat Intelligence).

  4. Under Aktiviteter som matchar allt följande ändrar du aktivitetsfiltret så att det inkluderar App, equals och Amazon Web Services. Ta bort standardalternativet för enheten.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Granska de andra inställningarna och välj sedan Skapa.

Testa Defender för molnet Apps-principer för AWS

Testa alla principer regelbundet för att säkerställa att de fortfarande är effektiva och relevanta. Här följer några rekommenderade tester:

  • IAM-principändringar: Den här principen utlöses varje gång du försöker ändra inställningarna i AWS IAM. När du till exempel följer proceduren senare i det här distributionsavsnittet för att skapa en ny IAM-princip och ett nytt konto visas en avisering.

  • Fel vid konsolinloggning: Alla misslyckade försök att logga in på ett av testkontona utlöser den här principen. Aviseringsinformationen visar att försöket kom från ett av azures regionala datacenter.

  • S3-bucketaktivitetsprincip: När du försöker skapa ett nytt AWS S3-lagringskonto och ange att det ska vara offentligt tillgängligt utlöser du den här principen.

  • Princip för identifiering av skadlig kod: Om du konfigurerar identifiering av skadlig kod som en sessionsprincip kan du testa den genom att följa dessa steg:

    1. Ladda ned en säker testfil från European Institute for Computer Anti-Virus Research (EICAR).
    2. Försök att ladda upp filen till ett AWS S3-lagringskonto.

    Principen blockerar omedelbart uppladdningsförsöket och en avisering visas i Defender för molnet Apps-portalen.

Distribuera Defender för molnet

Du kan använda en intern molnanslutning för att ansluta ett AWS-konto till Defender för molnet. Anslutningsappen tillhandahåller en agentlös anslutning till ditt AWS-konto. Du kan använda den här anslutningen för att samla in CSPM-rekommendationer. Genom att använda Defender för molnet planer kan du skydda dina AWS-resurser med CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Du kan skydda dina AWS-baserade resurser genom att vidta följande steg, som beskrivs i detalj i följande avsnitt:

  1. Anslut ett AWS-konto.
  2. Övervaka AWS.

Anslut ditt AWS-konto

Följ dessa steg för att ansluta ditt AWS-konto till Defender för molnet med hjälp av en intern anslutningsapp:

  1. Granska förutsättningarna för att ansluta ett AWS-konto. Se till att du slutför dem innan du fortsätter.

  2. Om du har några klassiska anslutningsappar tar du bort dem genom att följa stegen i Ta bort klassiska anslutningsappar. Om du använder både klassiska och interna anslutningsappar kan du skapa duplicerade rekommendationer.

  3. Logga in på Azure-portalen.

  4. Välj Microsoft Defender för molnet och välj sedan Miljöinställningar.

  5. Välj Lägg till miljö>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Ange information om AWS-kontot, inklusive lagringsplatsen för anslutningsresursen. Du kan också välja Hanteringskonto för att skapa en anslutningsapp till ett hanteringskonto. Anslut orer skapas för varje medlemskonto som identifieras under det angivna hanteringskontot. Automatisk etablering är aktiverat för alla nyligen registrerade konton.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Välj Nästa: Välj planer.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Som standard är serverplanen aktiverad. Den här inställningen är nödvändig för att utöka Defender for Servers-täckningen till din AWS EC2. Se till att du har uppfyllt nätverkskraven för Azure Arc. Om du vill redigera konfigurationen väljer du Konfigurera.

  9. Som standard är containerplanen aktiverad. Den här inställningen är nödvändig för att skydda Defender for Containers för dina AWS EKS-kluster. Se till att du har uppfyllt nätverkskraven för Defender for Containers-planen. Om du vill redigera konfigurationen väljer du Konfigurera. Om du inaktiverar den här konfigurationen inaktiveras funktionen för hotidentifiering för kontrollplanet. Information om hur du visar en lista över funktioner finns i Funktionstillgänglighet för Defender för containrar.

  10. Som standard är databasplanen aktiverad. Den här inställningen är nödvändig för att utöka Defender för SQL-täckning till din AWS EC2 och RDS Custom för SQL Server. Om du vill redigera konfigurationen väljer du Konfigurera. Vi rekommenderar att du använder standardkonfigurationen.

  11. Välj Nästa: Konfigurera åtkomst.

  12. Ladda ned Mallen CloudFormation.

  13. Följ anvisningarna på skärmen för att använda den nedladdade CloudFormation-mallen för att skapa stacken i AWS. Om du registrerar ett hanteringskonto måste du köra CloudFormation-mallen som Stack och stackSet. Anslut orer skapas för medlemskontona inom 24 timmar efter registreringen.

  14. Välj Nästa: Granska och generera.

  15. Välj Skapa.

Defender för molnet börjar omedelbart genomsöka dina AWS-resurser. Inom några timmar visas säkerhetsrekommendationer. En lista över alla rekommendationer Defender för molnet kan tillhandahålla för AWS-resurser finns i Säkerhetsrekommendationer för AWS-resurser – en referensguide.

Övervaka dina AWS-resurser

Sidan Defender för molnet säkerhetsrekommendationer visar dina AWS-resurser. Du kan använda miljöfiltret för att dra nytta av funktionerna i flera moln i Defender för molnet, till exempel att visa rekommendationerna för Azure-, AWS- och GCP-resurser tillsammans.

Om du vill visa alla aktiva rekommendationer för dina resurser efter resurstyp använder du sidan Defender för molnet tillgångsinventering. Ange filtret så att det visar den AWS-resurstyp som du är intresserad av.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Distribuera Microsoft Sentinel

Om du ansluter ett AWS-konto och Defender för molnet-appar till Microsoft Sentinel kan du använda övervakningsfunktioner som jämför händelser mellan flera brandväggar, nätverksenheter och servrar.

Aktivera Microsoft Sentinel AWS-anslutningsappen

När du har aktiverat Microsoft Sentinel-anslutningstjänsten för AWS kan du övervaka AWS-incidenter och datainmatning.

Precis som med konfigurationen Defender för molnet Apps kräver den här anslutningen att AWS IAM konfigureras för att ange autentiseringsuppgifter och behörigheter.

  1. I AWS IAM följer du stegen i Anslut Microsoft Sentinel till AWS CloudTrail.

  2. Om du vill slutföra konfigurationen i Azure-portalen går du till Microsoft Sentinel>Data Connectors och väljer Amazon Web Services-anslutningsappen.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Välj Sidan Öppna anslutningsapp.

  4. Under Konfiguration anger du värdet Roll-ARN från AWS IAM-konfigurationen i fältet Roll för att lägga till och väljer Lägg till.

  5. Välj Nästa steg och välj sedan aktiviteterna AWS-nätverksaktiviteter och AWS-användaraktiviteter som ska övervakas.

  6. Under Relevanta analysmallar väljer du Skapa regel bredvid de AWS-analysmallar som du vill aktivera.

  7. Konfigurera varje regel och välj Skapa.

I följande tabell visas de regelmallar som är tillgängliga för att kontrollera AWS-entitetsbeteenden och hotindikatorer. Regelnamnen beskriver syftet och de potentiella datakällorna listar de datakällor som varje regel kan använda.

Analysmallens namn Datakällor
Känd IRIDIUM IP DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
Fullständig administratörsprincip som skapats och sedan kopplats till roller, användare eller grupper AWS
Misslyckade AzureAD-inloggningar men lyckad inloggning i AWS-konsolen Microsoft Entra ID, AWS
Misslyckade AWS-konsolinloggningar men lyckad inloggning till AzureAD Microsoft Entra ID, AWS
Multifaktorautentisering inaktiverad för en användare Microsoft Entra ID, AWS
Ändringar i ingress- och utgående inställningar för AWS-säkerhetsgrupper AWS
Övervaka missbruk eller kapning av AWS-autentiseringsuppgifter AWS
Ändringar i säkerhetsgrupper för elastisk lastbalanserare för AWS AWS
Ändringar i Amazon VPC-inställningar AWS
Ny UserAgent har observerats under de senaste 24 timmarna Microsoft 365, Azure Monitor, AWS
Logga in på AWS-hanteringskonsolen utan multifaktorautentisering AWS
Ändringar i internetuppkopplade AWS RDS Database-instanser AWS
Ändringar i AWS CloudTrail-loggar AWS
Defender Threat Intelligence mappar IP-entitet till AWS CloudTrail Defender Threat Intelligence Platforms, AWS

Aktiverade mallar har en IN USE-indikator på sidan med anslutningsinformation.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Övervaka AWS-incidenter

Microsoft Sentinel skapar incidenter baserat på de analyser och identifieringar som du aktiverar. Varje incident kan innehålla en eller flera händelser, vilket minskar det totala antalet undersökningar som krävs för att identifiera och svara på potentiella hot.

Microsoft Sentinel visar incidenter som Defender för molnet Apps genererar, om de är anslutna, och incidenter som Microsoft Sentinel skapar. Kolumnen Produktnamn visar incidentkällan.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Kontrollera datainmatning

Kontrollera att data kontinuerligt matas in i Microsoft Sentinel genom att regelbundet visa anslutningsinformationen. I följande diagram visas en ny anslutning.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Om anslutningsappen slutar mata in data och linjediagrammets värde sjunker kontrollerar du de autentiseringsuppgifter som du använder för att ansluta till AWS-kontot. Kontrollera också att AWS CloudTrail fortfarande kan samla in händelserna.

Deltagare

Den här artikeln underhålls av Microsoft. Den skrevs ursprungligen av följande deltagare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg