Düzenle

Aracılığıyla paylaş

AWS için Azure güvenlik çözümleri

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Bu kılavuzda, Bulut için Microsoft Defender Uygulamalarının ve Microsoft Sentinel'in Amazon Web Services (AWS) hesabı erişimini ve ortamlarını güvenli bir şekilde korumaya nasıl yardımcı olabileceği gösterilmektedir.

Microsoft 365 veya hibrit bulut kimliği ve erişim koruması için Microsoft Entra Id kullanan AWS kuruluşları, AWS hesapları için Microsoft Entra Id'yi genellikle ek ücret ödemeden hızlı ve kolay bir şekilde dağıtabilir.

Mimari

Bu diyagramda AWS yüklemelerinin önemli Microsoft güvenlik bileşenlerinden nasıl yararlanabileceği özetlenmiştir:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Bu mimarinin PowerPoint dosyasını indirin.

Workflow

  • Microsoft Entra ID, çok faktörlü kimlik doğrulaması ve koşullu erişim özelliği aracılığıyla merkezi çoklu oturum açma (SSO) ve güçlü kimlik doğrulaması sağlar. Microsoft Entra ID, AWS rol tabanlı kimlikleri ve AWS kaynaklarına erişim yetkilendirmesini destekler. Daha fazla bilgi ve ayrıntılı yönergeler için bkz . AWS için Microsoft Entra kimlik ve erişim yönetimi. Microsoft Entra İzin Yönetimi, herhangi bir AWS kimliği veya kaynağı için kapsamlı görünürlük ve izinler üzerinde denetim sağlayan bir bulut altyapısı yetkilendirme yönetimi (CIEM) ürünüdür. Microsoft Entra İzin Yönetimi kullanarak:

    • Kimlikleri, izinleri ve kaynakları değerlendirerek risklerinizin çok boyutlu bir görünümünü elde edin.
    • Çoklu bulut altyapınızın tamamında en az ayrıcalık ilkesinin uygulanmasını otomatikleştirin.
    • İzinlerin kötüye kullanılmasından ve kötü amaçlı olarak kötüye kullanılmasından kaynaklanan veri ihlallerini önlemek için anomali ve aykırı değer algılamayı kullanın.

    Daha fazla bilgi ve ayrıntılı ekleme yönergeleri için bkz . Amazon Web Services (AWS) hesabını ekleme.

  • Bulut için Defender Uygulamaları:

    • Ek kısıtlamaları zorunlu kılmak için Microsoft Entra Koşullu Erişim özelliğiyle tümleşir.
    • Oturum açma sonrasında oturumları izlemeye ve korumaya yardımcı olur.
    • Oturumları ve kullanıcıları izlemek ve bilgi korumasını desteklemek için kullanıcı davranışı analizini (UBA) ve diğer AWS API'lerini kullanır.

  • Bulut için Microsoft Defender Bulut için Defender portalında AWS güvenlik önerilerini Azure önerileriyle birlikte görüntüler. Bulut için Defender, hizmet olarak altyapı (IaaS) ve hizmet olarak platform (PaaS) hizmetleri için kullanıma hazır 160'tan fazla öneri sunar. Ayrıca İnternet Güvenliği Merkezi (CIS) ve ödeme kartı sektörü (PCI) standartları dahil olmak üzere mevzuat standartları ve AWS Temel Güvenlik En İyi Yöntemleri standardı için destek sağlar. Bulut için Defender ayrıca için bulut iş yükü koruması (CWP) sağlarAWS EC2 üzerinde çalışan Amazon EKS kümeleri, AWS EC2 örnekleri ve SQL sunucuları.

  • Microsoft Sentinel, tehditleri algılamak ve otomatik olarak yanıtlamak için Bulut için Defender Uygulamaları ve AWS ile tümleşir. Microsoft Sentinel yanlış yapılandırma, olası kötü amaçlı yazılım ve AWS kimlikleri, cihazları, uygulamaları ve verilerine yönelik gelişmiş tehditler için AWS ortamını izler.

Components

Görünürlük ve denetim için Bulut için Defender Uygulamaları

Birkaç kullanıcı veya rol yönetim değişiklikleri yaparken, bir sonuç yapılandırmanın hedeflenen güvenlik mimarisinden ve standartlarından uzaklaşması olabilir. Güvenlik standartları da zaman içinde değişebilir. Güvenlik personeli yeni riskleri sürekli ve tutarlı bir şekilde algılamalı, risk azaltma seçeneklerini değerlendirmeli ve olası ihlalleri önlemek için güvenlik mimarisini güncelleştirmelidir. Birden çok genel bulut ve özel altyapı ortamı arasında güvenlik yönetimi zahmetli hale gelebilir.

Bulut için Defender Apps, bulut güvenlik duruş yönetimi (CSPM) özelliklerine sahip bir bulut erişim güvenlik aracısı (CASB) platformudur. Bulut için Defender Uygulamalar, güvenlik günlüklerini toplamak, kullanıcı davranışını izlemek ve platformların kendilerinin sunamayabileceği kısıtlamalar uygulamak için birden çok bulut hizmetine ve uygulamasına bağlanabilir.

Bulut için Defender Uygulamaları, anında avantajlar için AWS ile tümleştirilebilen çeşitli özellikler sağlar:

  • Bulut için Defender Apps uygulama bağlayıcısı, AWS platformunda yapılandırma sorunlarını ve tehditlerini aramak için UBA dahil olmak üzere çeşitli AWS API'lerini kullanır.
  • AWS Erişim Denetimleri uygulama, cihaz, IP adresi, konum, kayıtlı ISS ve belirli kullanıcı özniteliklerini temel alan oturum açma kısıtlamalarını zorunlu kılabilir.
  • AWS için Oturum Denetimleri, Microsoft Defender Tehdit Analizi veya gerçek zamanlı içerik denetimine göre olası kötü amaçlı yazılım yüklemelerini veya indirmelerini engeller.
  • Oturum denetimleri, kesme, kopyalama, yapıştırma veya yazdırma işlemlerini engelleyen veri kaybı önleme (DLP) kuralları uygulamak için gerçek zamanlı içerik denetimi ve hassas veri algılama da kullanabilir.

Bulut için Defender Uygulamaları tek başına veya Microsoft Entra Id P2'yi içeren Microsoft Enterprise Mobility + Security E5'in bir parçası olarak kullanılabilir. Fiyatlandırma ve lisanslama bilgileri için bkz . Enterprise Mobility + Security fiyatlandırma seçenekleri.

CSPM ve CWP platformları (CWPP) için Bulut için Defender

Bulut iş yükleri genellikle birden çok bulut platformuna yayılmışken bulut güvenlik hizmetlerinin de aynı işlemi yapması gerekir. Bulut için Defender Azure, AWS ve Google Cloud Platform'daki (GCP) iş yüklerinin korunmasına yardımcı olur.

Bulut için Defender, AWS hesabınıza aracısız bir bağlantı sağlar. Bulut için Defender ayrıca AWS kaynaklarınızın güvenliğini sağlama planları da sunar:

Gelişmiş tehdit algılama için Microsoft Sentinel

Tehditler çok çeşitli cihazlardan, uygulamalardan, konumlardan ve kullanıcı türlerinden gelebilir. DLP, karşıya yükleme veya indirme sırasında içeriğin incelenmesini gerektirir, çünkü inceleme sonrası gözden geçirme çok geç olabilir. AWS'nin cihaz ve uygulama yönetimi, risk tabanlı koşullu erişim, oturum tabanlı denetimler veya satır içi UBA için yerel özellikleri yoktur.

Güvenlik çözümlerinin karmaşıklığı azaltması ve kaynakların çoklu bulut, şirket içi veya karma ortamlarda olmasına bakılmaksızın kapsamlı koruma sağlaması kritik önem taşır. Bulut için Defender CSPM ve CWP sağlar. Bulut için Defender, genel güvenlik duruşunuzu güçlendirmeye yardımcı olmak için AWS genelinde yapılandırma zayıf noktalarını tanımlar. Ayrıca, AWS EC2'deki Amazon EKS Linux kümeleri, AWS EC2 örnekleri ve SQL sunucuları için tehdit koruması sağlamaya da yardımcı olur.

Microsoft Sentinel, modern güvenlik operasyonları için tehdit algılama ve yanıt otomasyonunu merkezileştiren ve koordine eden bir güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel birden çok güvenlik duvarı, ağ cihazı ve sunucu genelindeki olayları karşılaştırmak için AWS hesaplarını izleyebilir. Microsoft Sentinel, gelişmiş saldırı tekniklerini keşfetmek ve yanıtlamak için izleme verilerini tehdit bilgileri, analiz kuralları ve makine öğrenmesi ile birleştirir.

AWS ve Bulut için Defender Uygulamalarını Microsoft Sentinel ile bağlayabilirsiniz. Ardından Bulut için Defender Uygulamaları uyarılarını görebilir ve birden çok Defender Tehdit Bilgileri akışı kullanan ek tehdit denetimleri çalıştırabilirsiniz. Microsoft Sentinel, Bulut için Defender Uygulamaları dışında bir eşgüdümlü yanıt başlatabilir. Microsoft Sentinel ayrıca BT hizmet yönetimi (ITSM) çözümleriyle tümleştirilebilir ve uyumluluk amacıyla verileri uzun vadeli olarak saklayabilir.

Senaryo ayrıntıları

Microsoft, AWS hesaplarının ve ortamlarının güvenliğini sağlamaya ve korumaya yardımcı olabilecek çeşitli güvenlik çözümleri sunar.

Diğer Microsoft güvenlik bileşenleri, AWS hesapları için ek güvenlik sağlamak üzere Microsoft Entra ID ile tümleştirebilir:

  • Bulut için Defender Uygulamaları, oturum koruması ve kullanıcı davranışı izleme ile Microsoft Entra ID'yi yedekler.
  • Bulut için Defender, AWS iş yüklerine yönelik tehdit koruması sağlar. Ayrıca AWS ortamları için güvenliği proaktif olarak güçlendirmeye yardımcı olur ve bu ortamlara bağlanmak için aracısız bir yaklaşım kullanır.
  • Microsoft Sentinel, AWS ortamlarına yönelik tehditleri algılamak ve otomatik olarak yanıtlamak için Microsoft Entra ID ve Bulut için Defender Uygulamaları ile tümleşir.

Bu Microsoft güvenlik çözümleri genişletilebilir ve birden çok koruma düzeyi sunar. Geçerli ve gelecekteki AWS dağıtımlarının korunmasına yardımcı olan tam güvenlikli bir mimari için bu çözümlerden bir veya daha fazlasını ve diğer koruma türlerini uygulayabilirsiniz.

Olası kullanım örnekleri

Bu makale AWS kimlik mimarlarına, yöneticilerine ve güvenlik analistlerine anında içgörüler ve çeşitli Microsoft güvenlik çözümleri dağıtmaya yönelik ayrıntılı yönergeler sağlar.

Öneriler

Bir güvenlik çözümü geliştirirken aşağıdaki noktaları göz önünde bulundurun.

Güvenlik önerileri

Aşağıdaki ilkeler ve yönergeler tüm bulut güvenliği çözümleri için önemlidir:

  • Kuruluşun bulut ortamlarına kullanıcı ve program aracılığıyla erişimi izleyebildiğinden, algılayıp otomatik olarak koruyabildiğinden emin olun.
  • Kimlik ve izin idaresi ve denetimi sağlamak için geçerli hesapları sürekli gözden geçirin.
  • En az ayrıcalık ve sıfır güven ilkelerini izleyin. Kullanıcıların güvenilen cihazlardan ve bilinen konumlardan yalnızca ihtiyaç duydukları kaynaklara erişebildiğinden emin olun. Yalnızca gerçekleştirdikleri rol için ihtiyaç duydukları hakları sağlamak için her yöneticinin ve geliştiricinin izinlerini azaltın. Düzenli olarak gözden geçirin.
  • Özellikle ayrıcalık yükseltme veya saldırı kalıcılığı fırsatları sağlıyorsa platform yapılandırma değişikliklerini sürekli izleyin.
  • İçeriği etkin bir şekilde denetleyerek ve denetleyerek yetkisiz veri sızdırmayı önleyin.
  • Ek masraf olmadan güvenliği artırabilecek Microsoft Entra ID P2 gibi sahip olabileceğiniz çözümlerden yararlanın.

Temel AWS hesabı güvenliği

AWS hesapları ve kaynakları için temel güvenlik hijyeni sağlamak için:

  • AWS hesaplarını ve kaynaklarını güvenli hale getirmek için en iyi yöntemler bölümünde AWS güvenlik kılavuzunu gözden geçirin.
  • AWS Yönetim Konsolu aracılığıyla tüm veri aktarımlarını etkin bir şekilde inceleyerek kötü amaçlı yazılımları ve diğer kötü amaçlı içerikleri karşıya yükleme ve indirme riskini azaltın. Doğrudan AWS platformundaki web sunucuları veya veritabanları gibi kaynaklara yüklediğiniz veya indirdiğiniz içerik ek koruma gerektirebilir.
  • Aşağıdakiler dahil olmak üzere diğer kaynaklara erişimi korumayı göz önünde bulundurun:
    • AWS hesabı içinde oluşturulan kaynaklar.
    • Windows Server, Linux Server veya kapsayıcılar gibi belirli iş yükü platformları.
    • Yöneticilerin ve geliştiricilerin AWS Yönetim Konsolu'na erişmek için kullandığı cihazlar.

Bu senaryoyu dağıtın

Bir güvenlik çözümü uygulamak için aşağıdaki bölümlerde yer alan adımları uygulayın.

Planlama ve hazırlama

Azure güvenlik çözümlerinin dağıtımına hazırlanmak için geçerli AWS ve Microsoft Entra hesap bilgilerini gözden geçirin ve kaydedin. Birden fazla AWS hesabı dağıttıysanız her hesap için bu adımları yineleyin.

  1. AWS Faturalama Yönetimi Konsolu'nda aşağıdaki geçerli AWS hesap bilgilerini kaydedin:

    • AWS Hesap Kimliği, benzersiz bir tanımlayıcı
    • Hesap adı veya kök kullanıcı
    • Kredi kartına veya şirket faturalama sözleşmesine atanmış ödeme yöntemi
    • AWS hesap bilgilerine erişimi olan alternatif kişiler
    • Güvenlik soruları, güvenli bir şekilde güncelleştirildi ve acil durum erişimi için kaydedildi
    • Veri güvenliği ilkesine uymak için etkinleştirilen veya devre dışı bırakılan AWS bölgeleri

  2. Azure portalında Microsoft Entra kiracısını gözden geçirin:

    • Kiracının Microsoft Entra ID P1 veya P2 lisansı olup olmadığını görmek için Kiracı bilgilerini değerlendirin. P2 lisansı gelişmiş Microsoft Entra kimlik yönetimi özellikleri sağlar.
    • Giriş Sayfası URL sütununda gösterildiği http://aws.amazon.com/ gibi mevcut uygulamaların AWS uygulama türünü kullanıp kullanmadığını görmek için Enterprise uygulamalarını değerlendirin.

Bulut için Defender Uygulamaları Dağıtma

Modern kimlik ve erişim yönetiminin gerektirdiği merkezi yönetimi ve güçlü kimlik doğrulamasını dağıttığınızda, Bulut için Defender Uygulamaları uygulayabilirsiniz:

  • AWS hesapları için güvenlik verilerini toplayın ve tehdit algılamaları gerçekleştirin.
  • Riski azaltmak ve veri kaybını önlemek için gelişmiş denetimler uygulayın.

Bulut için Defender Uygulamaları dağıtmak için:

  1. AWS için bir Bulut için Defender Apps uygulama bağlayıcısı ekleyin.
  2. AWS etkinlikleri için Bulut için Defender Uygulamaları izleme ilkelerini yapılandırın.
  3. AWS'ye SSO için kurumsal bir uygulama oluşturun.
  4. Bulut için Defender Uygulamalarında koşullu erişim uygulaması denetim uygulaması oluşturun.
  5. AWS etkinlikleri için Microsoft Entra oturum ilkelerini yapılandırın.
  6. AWS için Bulut için Defender Uygulamaları ilkelerini test edin.

AWS uygulama bağlayıcısı ekleme

  1. Bulut için Defender Uygulamalar portalında Araştır'ı genişletin ve ardından Bağlan uygulamalar'ı seçin.

  2. Uygulama bağlayıcısı sayfasında Artı İşareti 'ni (+) ve ardından listeden Amazon Web Services'i seçin.

  3. Bağlayıcı için benzersiz bir ad kullanın. Ad alanına şirket için bir tanımlayıcı ve contoso-AWS-Account1 gibi belirli bir AWS hesabı ekleyin.

  4. Uygun bir AWS kimlik ve erişim yönetimi (IAM) kullanıcısı oluşturmak için AWS'yi Bulut için Microsoft Defender Uygulamalarına Bağlan yönergeleri izleyin.

    1. Kısıtlanmış izinler için bir ilke tanımlayın.
    2. bu izinleri Bulut için Defender Apps hizmeti adına kullanmak için bir hizmet hesabı oluşturun.
    3. Uygulama bağlayıcısına kimlik bilgilerini sağlayın.

İlk bağlantıyı kurmak için gereken süre AWS hesabı günlük boyutlarına bağlıdır. Bağlantı tamamlandığında bir bağlantı onayı görürsünüz:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

AWS etkinlikleri için Bulut için Defender Uygulamaları izleme ilkelerini yapılandırma

Uygulama bağlayıcısını etkinleştirdikten sonra, Bulut için Defender Uygulamalar ilke yapılandırma oluşturucusunda yeni şablonlar ve seçenekler gösterir. İlkeleri doğrudan şablonlardan oluşturabilir ve gereksinimlerinize göre değiştirebilirsiniz. Şablonları kullanmadan da bir ilke geliştirebilirsiniz.

Şablonları kullanarak ilkeleri uygulamak için:

  1. Bulut için Defender Uygulamalar sol gezinti penceresinde Denetim'i genişletin ve şablonlar'ı seçin.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. AWS için arama yapın ve AWS için kullanılabilir ilke şablonlarını gözden geçirin.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Şablon kullanmak için şablon öğesinin sağındaki Artı İşareti'ni (+) seçin.

  4. Her ilke türünün farklı seçenekleri vardır. Yapılandırma ayarlarını gözden geçirin ve ilkeyi kaydedin. Bu adımı her şablon için yineleyin.

    Screenshot of the Create file policy page, with various options visible.

    Dosya ilkelerini kullanmak için, Bulut için Defender Uygulamalar ayarlarında dosya izleme ayarının açık olduğundan emin olun:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Bulut için Defender Uygulamaları uyarıları algıladıkça, bunları Bulut için Defender Uygulamalar portalındaki Uyarılar sayfasında görüntüler:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

AWS'ye SSO için kurumsal uygulama oluşturma

SSO'dan AWS'ye kurumsal bir uygulama oluşturmak için Öğretici: AWS çoklu oturum açma ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi sayfasındaki yönergeleri izleyin. Yordamın özeti aşağıdadır:

  1. Galeriden AWS SSO ekleyin.
  2. AWS SSO için Microsoft Entra SSO yapılandırma ve test:
    1. Microsoft Entra SSO'sını yapılandırın.
    2. AWS SSO'sını yapılandırın.
    3. AWS SSO test kullanıcısı oluşturma.
    4. SSO'ları test edin.

Bulut için Defender Uygulamalarında koşullu erişim uygulaması denetim uygulaması oluşturma

  1. Bulut için Defender Uygulamalar portalına gidin, Araştır'ı ve ardından Bağlan uygulamalar'ı seçin.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Koşullu Erişim Uygulama Denetimi uygulamaları'nı ve ardından Ekle'yi seçin.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. Uygulama ara kutusuna Amazon Web Services yazın ve uygulamayı seçin. Sihirbazı başlat'ı seçin.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Verileri el ile doldur'u seçin. Aşağıdaki ekran görüntüsünde gösterilen Onay tüketici hizmeti URL değerini girin ve İleri'yi seçin.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Sonraki sayfada Dış yapılandırma adımlarını yoksayın. İleri’yi seçin.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Verileri el ile doldur'u seçin ve verileri girmek için aşağıdaki adımları izleyin:

    1. Çoklu oturum açma hizmeti URL'si altında AWS için oluşturduğunuz kurumsal uygulamanın Oturum Açma URL'si değerini girin.
    2. Kimlik sağlayıcısının SAML sertifikasını karşıya yükle altında Gözat'ı seçin.
    3. Oluşturduğunuz kurumsal uygulamanın sertifikasını bulun.
    4. Sertifikayı yerel cihazınıza indirin ve ardından sihirbaza yükleyin.
    5. İleri’yi seçin.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Sonraki sayfada Dış yapılandırma adımlarını yoksayın. İleri’yi seçin.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Sonraki sayfada Dış yapılandırma adımlarını yoksayın. Son'u seçin.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. Sonraki sayfada Ayarlarınızı doğrulayın adımlarını yoksayın. Kapat'ı seçin.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

AWS etkinlikleri için Microsoft Entra oturum ilkelerini yapılandırma

Oturum ilkeleri, Microsoft Entra Koşullu Erişim ilkelerinin ve Bulut için Defender Uygulamalarının ters ara sunucu özelliğinin güçlü bir bileşimidir. Bu ilkeler gerçek zamanlı şüpheli davranış izleme ve denetim sağlar.

  1. Microsoft Entra Id'de aşağıdaki ayarlarla yeni bir koşullu erişim ilkesi oluşturun:

    • Ad bölümüne AWS Konsolu – Oturum Denetimleri yazın.
    • Kullanıcılar ve Gruplar altında, daha önce oluşturduğunuz iki rol grubunu seçin:
      • AWS-Account1-Yönetici istrators
      • AWS-Account1-Developers
    • Bulut uygulamaları veya eylemleri altında, daha önce oluşturduğunuz Contoso-AWS-Account 1 gibi kurumsal uygulamayı seçin.
    • Oturum'un altında Koşullu Erişim Uygulama Denetimini Kullan'ı seçin.

  2. İlkeyi etkinleştir bölümünde Açık seçeneğini belirleyin.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Create'u seçin.

Microsoft Entra Koşullu Erişim ilkesini oluşturduktan sonra AWS oturumları sırasında kullanıcı davranışını denetlemek için bir Bulut için Defender Apps oturum ilkesi ayarlayın.

  1. Bulut için Defender Uygulamalar portalında Denetim'i genişletin ve İlkeler'i seçin.

  2. İlkeler sayfasında İlke oluştur'u ve ardından listeden Oturum ilkesi'ni seçin.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. Oturum ilkesi oluştur sayfasında, İlke şablonu'nun altında Olası kötü amaçlı yazılımların karşıya yüklenmesini engelle (Microsoft Threat Intelligence tabanlı) öğesini seçin.

  4. Aşağıdakilerin tümüyle eşleşen etkinlikler'in altında, etkinlik filtresini App, equals ve Amazon Web Services'ı içerecek şekilde değiştirin. Varsayılan cihaz seçimini kaldırın.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Diğer ayarları gözden geçirin ve oluştur'u seçin.

AWS için Bulut için Defender Uygulamaları ilkelerini test edin

Etkili ve ilgili olduklarından emin olmak için tüm ilkeleri düzenli olarak test edin. Önerilen birkaç test şunlardır:

  • IAM ilkesi değişiklikleri: Bu ilke, AWS IAM içindeki ayarları her değiştirmeye çalıştığınızda tetikleniyor. Örneğin, bu dağıtım bölümünün devamında yeni bir IAM ilkesi ve hesabı oluşturmak için yordamı uyguladığınızda bir uyarı görürsünüz.

  • Konsol oturum açma hataları: Test hesaplarından birinde oturum açma girişimleri başarısız olursa bu ilke tetikler. Uyarı ayrıntıları, girişimin Azure bölgesel veri merkezlerinden birinden geldiğini gösterir.

  • S3 demeti etkinlik ilkesi: Yeni bir AWS S3 depolama hesabı oluşturmaya çalıştığınızda ve bunu genel kullanıma açık olarak ayarladığınızda, bu ilkeyi tetiklersiniz.

  • Kötü amaçlı yazılım algılama ilkesi: Kötü amaçlı yazılım algılamayı bir oturum ilkesi olarak yapılandırıyorsanız, aşağıdaki adımları izleyerek bunu test edebilirsiniz:

    1. Avrupa Bilgisayar Virüsten Koruma Araştırması Enstitüsü'nden (EICAR) bir güvenli test dosyası indirin.
    2. Bu dosyayı bir AWS S3 depolama hesabına yüklemeyi deneyin.

    İlke karşıya yükleme girişimini hemen engeller ve Bulut için Defender Apps portalında bir uyarı görüntülenir.

Bulut için Defender dağıtma

AWS hesabını Bulut için Defender bağlamak için yerel bulut bağlayıcısı kullanabilirsiniz. Bağlayıcı, AWS hesabınıza aracısız bir bağlantı sağlar. CSPM önerilerini toplamak için bu bağlantıyı kullanabilirsiniz. Bulut için Defender planlarını kullanarak CWP ile AWS kaynaklarınızın güvenliğini sağlayabilirsiniz.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

AWS tabanlı kaynaklarınızı korumak için aşağıdaki bölümlerde ayrıntılı olarak açıklanan bu adımları uygulayın:

  1. AWS hesabı Bağlan.
  2. AWS'i izleyin.

AWS hesabınıza bağlanma

AWS hesabınızı yerel bağlayıcı kullanarak Bulut için Defender bağlamak için şu adımları izleyin:

  1. AWS hesabını bağlamak için önkoşulları gözden geçirin. Devam etmeden önce bunları tamamladığınızdan emin olun.

  2. Klasik bağlayıcılarınız varsa, Klasik bağlayıcıları kaldırma başlığındaki adımları izleyerek bunları kaldırın. Hem klasik hem de yerel bağlayıcıları kullanmak yinelenen öneriler üretebilir.

  3. Azure Portal oturum açın.

  4. Bulut için Microsoft Defender'ı ve ardından Ortam ayarları'nı seçin.

  5. Ortam>ekle Amazon Web Services'i seçin.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Bağlayıcı kaynağının depolama konumu da dahil olmak üzere AWS hesabının ayrıntılarını girin. İsteğe bağlı olarak, yönetim hesabına bağlayıcı oluşturmak için Yönetim hesabı'nı seçin. Bağlan orlar, sağlanan yönetim hesabı altında bulunan her üye hesabı için oluşturulur. Yeni eklenen tüm hesaplar için otomatik sağlama açık.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. İleri: Planları seçin'i seçin.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Varsayılan olarak, sunucu planı açıktır. Bu ayar, Sunucular için Defender kapsamını AWS EC2'nize genişletmek için gereklidir. Azure Arc için ağ gereksinimlerini karşıladığınızdan emin olun. İsteğe bağlı olarak, yapılandırmayı düzenlemek için Yapılandır'ı seçin.

  9. Varsayılan olarak kapsayıcı planı açıktır. Bu ayar, AWS EKS kümeleriniz için Kapsayıcılar için Defender korumasına sahip olmak için gereklidir. Kapsayıcılar için Defender planı için ağ gereksinimlerini karşıladığınızdan emin olun. İsteğe bağlı olarak, yapılandırmayı düzenlemek için Yapılandır'ı seçin. Bu yapılandırmayı devre dışı bırakırsanız, kontrol düzlemi için tehdit algılama özelliği devre dışı bırakılır. Özelliklerin listesini görüntülemek için bkz . Kapsayıcılar için Defender özellik kullanılabilirliği.

  10. Varsayılan olarak veritabanları planı açıktır. Bu ayar SQL için Defender kapsamını AWS EC2 ve SQL Server için RDS Özel'inize genişletmek için gereklidir. İsteğe bağlı olarak, yapılandırmayı düzenlemek için Yapılandır'ı seçin. Varsayılan yapılandırmayı kullanmanızı öneririz.

  11. İleri: Erişimi yapılandır'ı seçin.

  12. CloudFormation şablonunu indirin.

  13. AWS'de yığın oluşturmak için indirilen CloudFormation şablonunu kullanmak için ekrandaki yönergeleri izleyin. Bir yönetim hesabı eklerseniz CloudFormation şablonunu Stack ve StackSet olarak çalıştırmanız gerekir. Bağlan orlar, üye hesapları için eklemeden sonraki 24 saat içinde oluşturulur.

  14. İleri: Gözden geçir ve oluştur'u seçin.

  15. Create'u seçin.

Bulut için Defender AWS kaynaklarınızı hemen taramaya başlar. Birkaç saat içinde güvenlik önerilerini görürsünüz. AWS kaynakları için Bulut için Defender sağlayabilecek tüm önerilerin listesi için bkz. AWS kaynakları için güvenlik önerileri - başvuru kılavuzu.

AWS kaynaklarınızı izleme

Bulut için Defender güvenlik önerileri sayfasında AWS kaynaklarınızı görüntüler. Azure, AWS ve GCP kaynaklarına yönelik önerileri birlikte görüntüleme gibi Bulut için Defender çoklu bulut özelliklerinden yararlanmak için ortamlar filtresini kullanabilirsiniz.

Kaynak türüne göre kaynaklarınız için tüm etkin önerileri görüntülemek için Bulut için Defender varlık envanteri sayfasını kullanın. İlgilendiğiniz AWS kaynak türünü görüntülemek için filtreyi ayarlayın.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Microsoft Sentinel'i dağıtma

Bir AWS hesabını ve Bulut için Defender Uygulamalarını Microsoft Sentinel'e bağlarsanız, birden çok güvenlik duvarı, ağ cihazı ve sunucu arasındaki olayları karşılaştıran izleme özelliklerini kullanabilirsiniz.

Microsoft Sentinel AWS bağlayıcısını etkinleştirme

AWS için Microsoft Sentinel bağlayıcısını etkinleştirdikten sonra AWS olaylarını ve veri alımını izleyebilirsiniz.

Bulut için Defender Uygulamaları yapılandırmasında olduğu gibi, bu bağlantı için aws IAM'nin kimlik bilgileri ve izinler sağlayacak şekilde yapılandırılması gerekir.

  1. AWS IAM'de Microsoft Sentinel'i AWS CloudTrail'e Bağlan adımlarını izleyin.

  2. Azure portalında yapılandırmayı tamamlamak için Microsoft Sentinel>Veri bağlayıcıları'nın altında Amazon Web Services bağlayıcısını seçin.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Bağlayıcı sayfasını aç'ı seçin.

  4. Yapılandırma'nın altında, Eklenecek rol alanına AWS IAM yapılandırmasından Rol ARN değerini girin ve Ekle'yi seçin.

  5. Sonraki adımlar'ı ve ardından izlenecek AWS Ağ Etkinlikleri ve AWS Kullanıcı Etkinlikleri etkinliklerini seçin.

  6. İlgili analiz şablonları'nın altında, açmak istediğiniz AWS analiz şablonlarının yanındaki Kural oluştur'u seçin.

  7. Her kuralı ayarlayın ve Oluştur'u seçin.

Aşağıdaki tabloda AWS varlık davranışlarını ve tehdit göstergelerini denetlemek için kullanılabilen kural şablonları gösterilmektedir. Kural adları amacını açıklar ve olası veri kaynakları her kuralın kullanabileceği veri kaynaklarını listeler.

Analitik şablon adı Veri kaynakları
Bilinen IRIDIUM IP DNS, Azure İzleyici, Cisco ASA, Palo Alto Networks, Microsoft Entra Id, Azure Activity, AWS
Tam Yönetici ilkesi oluşturuldu ve rollere, kullanıcılara veya gruplara eklendi AWS
AzureAD oturum açma işlemleri başarısız oldu ancak AWS Console oturum açma işlemleri başarılı oldu Microsoft Entra ID, AWS
Başarısız AWS Konsolu oturum açma işlemleri ancak AzureAD'de başarılı oturum açma Microsoft Entra ID, AWS
Bir kullanıcı için çok faktörlü kimlik doğrulaması devre dışı bırakıldı Microsoft Entra ID, AWS
AWS Güvenlik Grubu giriş ve çıkış ayarlarında yapılan değişiklikler AWS
AWS Kimlik Bilgilerinin kötüye kullanımını veya ele geçirmesini izleme AWS
AWS Elastic Load Balancer güvenlik gruplarında yapılan değişiklikler AWS
Amazon VPC ayarlarında yapılan değişiklikler AWS
Son 24 saatte gözlemlenen yeni UserAgent Microsoft 365, Azure İzleyici, AWS
Aws Yönetim Konsolu'na çok faktörlü kimlik doğrulaması olmadan oturum açma AWS
İnternet'e yönelik AWS RDS Veritabanı örneklerinde yapılan değişiklikler AWS
AWS CloudTrail günlüklerine yapılan değişiklikler AWS
Defender Threat Intelligence IP varlığını AWS CloudTrail ile eşler Defender Threat Intelligence Platformları, AWS

Etkin şablonların bağlayıcı ayrıntıları sayfasında KULLANILDI göstergesi vardır.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

AWS olaylarını izleme

Microsoft Sentinel, etkinleştirdiğiniz analizlere ve algılamalara göre olaylar oluşturur. Her olay, olası tehditleri algılamak ve yanıtlamak için gereken genel araştırma sayısını azaltan bir veya daha fazla olay içerebilir.

Microsoft Sentinel, Bulut için Defender Apps'in oluşturduğu olayları (bağlıysa) ve Microsoft Sentinel'in oluşturduğu olayları gösterir. Ürün adları sütunu, olay kaynağını gösterir.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Veri alımını denetleme

Bağlayıcı ayrıntılarını düzenli olarak görüntüleyerek verilerin Microsoft Sentinel'e sürekli olarak alınıp alındığını denetleyin. Aşağıdaki grafikte yeni bir bağlantı gösterilmektedir.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Bağlayıcı veri alımını durdurursa ve çizgi grafik değeri düşerse AWS hesabına bağlanmak için kullandığınız kimlik bilgilerini denetleyin. Ayrıca AWS CloudTrail'in yine de olayları toplayabileceğini denetleyin.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunan tarafından yazılmıştır.

Asıl yazar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

  • Azure ve AWS özelliklerinin ayrıntılı kapsamı ve karşılaştırması için bkz . AWS uzmanları için Azure içerik kümesi.
  • AWS için Microsoft Entra kimlik ve erişim çözümleri dağıtma yönergeleri için bkz . AWS için Microsoft Entra kimlik ve erişim yönetimi.