AWS hesaplarını Bulut için Microsoft Defender bağlama

2025-06-20

İş yükleri genellikle birden çok bulut platformuna yayılıyor, bu nedenle bulut güvenlik hizmetlerinin de aynı işlemi yapması gerekir. Bulut için Microsoft Defender, Amazon Web Services'te (AWS) iş yüklerinin korunmasına yardımcı olur, ancak bunlarla Bulut için Defender arasında bağlantı kurmanız gerekir.

Aşağıdaki ekran görüntüsünde, Bulut için Defender genel bakış panosunda görüntülenen AWS hesapları gösterilmektedir.

Alan video serisindeki Bulut için Defender Bulut için Defender videoda Yeni AWS bağlayıcısını izleyerek daha fazla bilgi edinebilirsiniz.

Not

Microsoft Sentinel'e bağlı bir AWS hesabınız varsa bunu Bulut için Defender'a bağlayamazsınız. Bağlayıcının düzgün çalıştığından emin olmak için Sentinel bağlantılı AWS hesabını Bulut için Defender'a bağlama yönergelerini izleyin.

AWS kimlik doğrulama işlemi

Bulut için Defender ve AWS, federasyon kimlik doğrulamasını kullanır. Kimlik doğrulamasıyla ilgili tüm kaynaklar CloudFormation şablonu dağıtımının bir parçası olarak oluşturulur, örneğin:

Kimlik sağlayıcısı (OpenID Connect)
Federasyon sorumlusuyla (kimlik sağlayıcılarına bağlı) Kimlik ve Erişim Yönetimi (IAM) rolleri

Bulutlar arasında kimlik doğrulama işleminin mimarisi şunları içerir:

Bulutlar arasında kimlik doğrulama işleminin mimarisini gösteren diyagram.

Bulut için Defender CSPM hizmeti, RS256 algoritması kullanılarak Entra Kimliği ile imzalanan geçerlilik süresi 1 saat olan bir Entra belirteci alır.

Entra token AWS kısa süreli kimlik bilgileriyle değiştirilir ve Defender for Cloud’un CSPM hizmeti, web kimliği ile CSPM IAM rolünü üstlenir.

Rolün ilkesi, güven ilişkisi politikası kapsamında tanımlanan federasyon kimliği olduğundan, AWS kimlik sağlayıcısı Entra belirtecini Entra kimliğine karşı doğrulamak için aşağıdaki işlemleri içeren bir süreç uygular:

hedef kitle doğrulaması
belirteç dijital imza doğrulaması
sertifika parmak izi

Bulut için Defender CSPM rolü, yalnızca güven ilişkisinde tanımlanan doğrulama koşulları karşılandıktan sonra varsayılır. Rol düzeyi için tanımlanan koşullar AWS'de doğrulama için kullanılır ve yalnızca Bulut için Microsoft Defender CSPM uygulamasının (doğrulanmış hedef kitle) belirli bir role (başka bir Microsoft belirteci değil) erişmesine izin verir.

Entra belirteci AWS kimlik sağlayıcısı tarafından doğrulandıktan sonra AWS STS, belirteci CSPM hizmetinin AWS hesabını taramak için kullandığı AWS kısa süreli kimlik bilgileriyle değiştirir.

Önkoşullar

Bu makaledeki yordamları tamamlamak için şunlar gerekir:

Microsoft Azure aboneliği. Azure aboneliğiniz yoksa ücretsiz bir abonelik için kaydolabilirsiniz.
Bulut için Microsoft Defender Azure aboneliğinizde ayarlayın.
AWS hesabına erişim.
İlgili Azure aboneliği için katkıda bulunan düzeyi izni.
CIEM CSPM için Defender'ın bir parçası olarak etkinleştirildiyse bağlayıcıyı etkinleştiren kullanıcının kiracınız için Güvenlik Yöneticisi rolüne ve Application.ReadWrite.All iznine de sahip olması gerekir.

Not

AWS bağlayıcısı ulusal kamu bulutlarında (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure) kullanılamaz.

Yerel bağlayıcı planı gereksinimleri

Her planın yerel bağlayıcı için kendi gereksinimleri vardır.

Kapsayıcılar için Microsoft Defender planını seçerseniz şunları yapmanız gerekir:

EKS Kubernetes API sunucusuna erişim izni olan en az bir Amazon EKS kümesi. Yeni bir EKS kümesi oluşturmanız gerekiyorsa Amazon EKS ile çalışmaya başlama – eksctl başlığındaki yönergeleri izleyin.
Kümenin bölgesinde yeni bir Amazon SQS kuyruğu, Kinesis Data Firehose teslim akışı ve Amazon S3 demeti oluşturmak için kaynak kapasitesi.

Sunucular için Microsoft Defender planını seçerseniz şunları yapmanız gerekir:

Aboneliğinizde sunucular için Microsoft Defender etkinleştirildi. Gelişmiş güvenlik özelliklerini etkinleştirme bölümünde planları etkinleştirmeyi öğrenin.
EC2 örnekleriyle etkin bir AWS hesabı.
EC2 örneklerinizde yüklü sunucular için Azure Arc.

Azure Arc'ı mevcut ve gelecekteki tüm EC2 örneklerinize yüklemek için otomatik sağlama işlemini kullanmanızı öneririz. Azure Arc otomatik sağlamayı etkinleştirmek için ilgili Azure aboneliğinde Sahip iznine sahip olmanız gerekir.

AWS Systems Manager, SSM Aracısı'nı kullanarak otomatik olarak sağlar. Bazı Amazon Machine Images'da SSM Aracısı önceden yüklenmiştir. EC2 örneklerinizde SSM Aracısı yoksa Amazon'un aşağıdaki yönergelerinden birini kullanarak yükleyin:

SSM Temsilcinizin AWS Systems Manager hizmeti için temel işlevselliği sağlayan AmazonSSMManagedInstanceCore yönetilen ilkesine sahip olduğundan emin olun.

EC2 makinelerinde Arc aracısını otomatik olarak sağlamak için SSM Aracısı'na sahip olmanız gerekir. SSM yoksa veya EC2'den kaldırılırsa Arc sağlama işlemi devam edemeyecektir.

Not

Ekleme işlemi sırasında çalıştırılan CloudFormation şablonunun bir parçası olarak, CloudFormation'ın ilk çalıştırması sırasında var olan tüm EC2'ler boyunca her 30 günde bir bir otomasyon işlemi oluşturulur ve tetikler. Bu zamanlanmış taramanın amacı, tüm ilgili EC2'lerin Bulut için Defender ilgili güvenlik özelliklerine (Arc aracısı sağlama dahil) erişmesine, bunları yönetmesine ve sağlamasına olanak tanıyan gerekli IAM ilkesine sahip bir IAM profiline sahip olduğundan emin olmaktır. Tarama, CloudFormation çalıştırıldıktan sonra oluşturulan EC2'ler için geçerli değildir.

Azure Arc'ı mevcut ve gelecekteki EC2 örneklerinize el ile yüklemek istiyorsanız, Azure Arc yüklü olmayan örnekleri belirlemek için EC2 örneklerinin Azure Arc önerisine bağlı olması gerektiğini kullanın.

Azure Arc'a bağlı makinelerde bu diğer uzantıları etkinleştirin:

Uç nokta için Microsoft Defender
Güvenlik açığı değerlendirme çözümü (TVM veya Qualys)
Azure Arc'a bağlı makinelerde Log Analytics aracısı veya Azure İzleyici aracısı

Seçili Log Analytics çalışma alanında yüklü bir güvenlik çözümü olduğundan emin olun. Log Analytics aracısı ve Azure İzleyici aracısı şu anda abonelik düzeyinde yapılandırılmıştır. Aynı abonelik altındaki tüm AWS hesaplarınız ve GCP projeleriniz Log Analytics aracısı ve Azure İzleyici aracısı için abonelik ayarlarını devralır.

Bulut için Defender için izleme bileşenleri hakkında daha fazla bilgi edinin.

Not

Log Analytics aracısı (MMA olarak da bilinir) Ağustos 2024'te kullanımdan kaldırıldığı için, bu sayfada açıklananlar da dahil olmak üzere şu anda buna bağlı olan tüm Sunucular için Defender özellikleri ve güvenlik özellikleri, kullanımdan kaldırma tarihinden önce Uç Nokta için Microsoft Defender tümleştirmesi veya aracısız tarama aracılığıyla kullanılabilir. Şu anda Log Analytics Aracısı'na bağlı olan özelliklerin her biri için yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.

Sunucular için Defender, otomatik sağlama işlemini yönetmek için EC2 örneklerinizin üzerinde Azure ARC kaynaklarınıza etiketler atar. Bulut için Defender bunları yönetebilmesi için bu etiketleri kaynaklarınıza düzgün bir şekilde atamış olmanız gerekir: AccountId, Cloud, InstanceIdve MDFCSecurityConnector.

AWS hesabınıza bağlanma

Önemli

AWS hesabınız zaten Microsoft Sentinel'e bağlıysa bulut için Defender'a bağlanamazsınız. Bağlayıcının düzgün çalıştığından emin olmak için Sentinel bağlantılı AWS hesabını Bulut için Defender'a bağlama yönergelerini izleyin.

Yerel bağlayıcı kullanarak AWS'nizi Bulut için Defender bağlamak için:

Azure Portal’ında oturum açın.
Bulut için Defendergidin.
Ortam
Bağlayıcı kaynağını depoladığınız konum da dahil olmak üzere AWS hesabının ayrıntılarını girin.

AWS bölgeleri açılan listesi, Bulut için Defender API çağrıları yaptığı bölgeleri seçmenize olanak tanır. Açılan listeden seçilen her bölge, Bulut için Defender bu bölgelere API çağrısı yapmayacağı anlamına gelir.

AWS ortamını her 4, 6, 12 veya 24 saatte bir taramak için bir aralık seçin.

Bazı veri toplayıcılar sabit tarama aralıklarıyla çalışır ve özel aralık yapılandırmalarından etkilenmez. Aşağıdaki tabloda, dışlanan her veri toplayıcı için sabit tarama aralıkları gösterilmektedir:

Veri toplayıcı adı	Tarama aralığı
EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3Bucket Etiketleri S3Bölge EKSCluster EKSClusterName EKSNodegroup EKSNodegroupName AutoScaling AutoScalingGroup	1 saat
EcsClusterArn EcsService EcsServiceArn ECS Görev Tanımı EcsTaskDefinitionArn ECS Görev Tanımı Etiketleri AwsPolicyVersion YerelPolitikaSürümü Politika için AWS Varlıkları Politika için Yerel Varlıklar BucketEncryption BucketPolicy S3GenelErişimEngellemeYapılandırması BucketVersioning S3 Lifecycle Yapılandırması BucketPolicyStatus (Kova Politikası Durumu) S3 Replikasyon Yapılandırması S3 Erişim Kontrol Listesi S3BucketLoggingConfig Genel Erişim Engelleme Yapılandırması	12 saat

Veri toplayıcı adı

Tarama aralığı

EC2Instance
ECRImage
ECRRepository
RDSDBInstance
S3Bucket
S3Bucket Etiketleri
S3Bölge
EKSCluster
EKSClusterName
EKSNodegroup
EKSNodegroupName
AutoScaling AutoScalingGroup

1 saat

EcsClusterArn
EcsService
EcsServiceArn
ECS Görev Tanımı
EcsTaskDefinitionArn
ECS Görev Tanımı Etiketleri
AwsPolicyVersion
YerelPolitikaSürümü
Politika için AWS Varlıkları
Politika için Yerel Varlıklar
BucketEncryption
BucketPolicy
S3GenelErişimEngellemeYapılandırması
BucketVersioning
S3 Lifecycle Yapılandırması
BucketPolicyStatus (Kova Politikası Durumu)
S3 Replikasyon Yapılandırması
S3 Erişim Kontrol Listesi
S3BucketLoggingConfig
Genel Erişim Engelleme Yapılandırması

12 saat

Not

(İsteğe bağlı) Yönetim hesabına bağlayıcı oluşturmak için Yönetim hesabı'nı seçin. Daha sonra sağlanan yönetim hesabı altında bulunan her üye hesabı için bağlayıcılar oluşturulur. Otomatik sağlama, yeni eklenen tüm hesaplar için de etkinleştirilir.

(İsteğe bağlı) Taranacak belirli AWS bölgelerini seçmek için AWS bölgeleri açılan menüsünü kullanın. Tüm bölgeler varsayılan olarak seçilir.

Ardından, bu AWS hesabı için etkinleştirilecek Defender for Cloud hizmeti planlarını gözden geçirip seçin.

Defender planlarını seçin

Sihirbazın bu bölümünde, etkinleştirmek istediğiniz Bulut için Defender planlarını seçersiniz.

İleri: Planları seçin'i seçin.

Planları seçin sekmesi, bu AWS hesabı için hangi Bulut için Defender özelliklerini etkinleştirebileceğinizi seçtiğiniz yerdir. Her planın izinler için kendi gereksinimleri vardır ve ücret uygulanabilir.

Önemli

Önerilerinizin geçerli durumunu sunmak için Microsoft Defender Bulut Güvenlik Duruşu Yönetimi planı AWS kaynak API'lerini günde birkaç kez sorgular. Bu salt okunur API çağrıları ücret oluşturmaz, ancak okuma olayları için bir iz etkinleştirirseniz CloudTrail'de kaydedilir.

AWS'nin belgelerinde tek bir iz tutmak için ek ücret alınmadığını açıklanmaktadır. Verileri AWS'nin dışına (örneğin, bir dış SIEM sistemine) dışarı aktarıyorsanız, bu artan çağrı hacmi de veri alımı maliyetlerini artırabilir. Bu gibi durumlarda, Bulut için Defender kullanıcı veya ARN rolünden salt okunur çağrıları filtrelemenizi öneririz: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Bu varsayılan rol adıdır. Hesabınızda yapılandırılan rol adını onaylayın.)
Sunucular planı varsayılan olarak Açık olarak ayarlanır. Sunucular için Defender kapsamını AWS EC2'ye genişletmek için bu ayar gereklidir. Azure Arc için ağ gereksinimlerini karşıladığınızdan emin olun.

İsteğe bağlı olarak yapılandırmayı gerektiği gibi düzenlemek için Yapılandır'ı seçin.

Not

Artık mevcut olmayan EC2 örnekleri veya GCP sanal makineleri için ilgili Azure Arc sunucuları (ve Bağlantısı Kesildi veya Süresi Doldu durumuna sahip ilgili Azure Arc sunucuları) yedi gün sonra kaldırılır. Bu işlem, yalnızca mevcut örneklerle ilgili Azure Arc sunucularının görüntülendiğinden emin olmak için ilgisiz Azure Arc varlıklarını kaldırır.
Kapsayıcılar planı varsayılan olarak Açık olarak ayarlanır. Kapsayıcılar için Defender'ın AWS EKS kümelerinizi koruması için bu ayar gereklidir. Kapsayıcılar için Defender planı için ağ gereksinimlerini karşıladığınızdan emin olun.

Not

Azure Arc özellikli Kubernetes, Defender algılayıcısı için Azure Arc uzantıları ve Kubernetes için Azure İlkesi yüklenmelidir. Amazon Elastic Kubernetes Service kümelerini koruma bölümünde açıklandığı gibi uzantıları (ve gerekirse Azure Arc'ı) dağıtmak için ayrılmış Bulut için Defender önerilerini kullanın.

İsteğe bağlı olarak yapılandırmayı gerektiği gibi düzenlemek için Yapılandır'ı seçin. Bu yapılandırmayı kapatmayı seçerseniz Tehdit algılama (kontrol düzlemi) özelliği de devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.
Veritabanları planı varsayılan olarak Açık olarak ayarlanır. Bu ayar, SQL için Defender kapsamını AWS EC2'ye ve SQL Server için RDS Özel'e ve RDS'de açık kaynak ilişkisel veritabanlarına genişletmek için gereklidir.

(İsteğe bağlı) Yapılandırmayı gerektiği gibi düzenlemek için Yapılandır'ı seçin. Varsayılan yapılandırmaya ayarlanmış olarak bırakmanızı öneririz.
Erişimi yapılandır'ı seçin ve aşağıdakileri seçin:

a. Bir dağıtım türü seçin:
- Varsayılan erişim: Bulut için Defender kaynaklarınızı taramasına ve gelecekteki özellikleri otomatik olarak eklemesine izin verir.
- En az ayrıcalık erişimi: yalnızca seçili planlar için gereken geçerli izinlere Bulut için Defender erişim verir. En az ayrıcalıklı izinleri seçerseniz, bağlayıcı durumu için tam işlevsellik elde etmek için gereken tüm yeni roller ve izinler hakkında bildirimler alırsınız.
b. Bir dağıtım yöntemi seçin: AWS CloudFormation veya Terraform.

Not

Yönetim hesabına bağlayıcı oluşturmak için Yönetim hesabı'nı seçerseniz Terraform ile ekleme sekmesi kullanıcı arabiriminde görünmez, ancak AWS/GCP ortamınızı Terraform ile Bulut için Microsoft Defender'a ekleme - Microsoft Community Hub'daki gibi Terraform'u kullanarak eklemeye devam edebilirsiniz.
AWS'de gerekli bağımlılıkları tamamlamak için seçili dağıtım yönteminin ekrandaki yönergeleri izleyin. Bir yönetim hesabı ekliiyorsanız CloudFormation şablonunu hem Stack hem de StackSet olarak çalıştırmanız gerekir. Bağlayıcılar, eklemeden 24 saat sonrasına kadar üye hesapları için oluşturulur.
İleri: Gözden geçir ve oluştur'u seçin.
Oluştur'u belirleyin.

Bulut için Defender AWS kaynaklarınızı hemen taramaya başlar. Güvenlik önerileri birkaç saat içinde görünür.

AWS hesabınıza CloudFormation şablonu dağıtma

AWS hesabını Bulut için Microsoft Defender bağlamanın bir parçası olarak, AWS hesabına bir CloudFormation şablonu dağıtırsınız. Bu şablon, bağlantı için gerekli tüm kaynakları oluşturur.

CloudFormation şablonunu Stack (veya yönetim hesabınız varsa StackSet) kullanarak dağıtın. Şablonu dağıtırken Yığın oluşturma sihirbazı aşağıdaki seçenekleri sunar.

Amazon S3 URL'si: İndirilen CloudFormation şablonunu kendi güvenlik yapılandırmalarınızla kendi S3 demetinize yükleyin. AWS dağıtım sihirbazında S3 demetinin URL'sini girin.
Şablon dosyasını karşıya yükleme: AWS, CloudFormation şablonunun kaydedildiği bir S3 demetini otomatik olarak oluşturur. S3 demetinin otomasyonu, önerinin görünmesine neden olan bir güvenlik yanlış yapılandırmasına S3 buckets should require requests to use Secure Socket Layer sahiptir. Aşağıdaki ilkeyi uygulayarak bu öneriyi düzeltebilirsiniz:
```
{ 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 
```
Not

AWS yönetim hesabı ekleme sırasında CloudFormation StackSets'i çalıştırırken aşağıdaki hata iletisiyle karşılaşabilirsiniz: You must enable organizations access to operate a service managed stack set

Bu hata , AWS Kuruluşları için güvenilir erişimi etkinleştirmediğinize işaret eder.

Bu hata iletisini düzeltmek için CloudFormation StackSets sayfanızda güvenilir erişimi etkinleştirmek için seçebileceğiniz bir düğme içeren bir istem bulunur. Güvenilir erişim etkinleştirildikten sonra CloudFormation Yığını yeniden çalıştırılmalıdır.

AWS kaynaklarınızı izleme

Bulut için Defender'daki güvenlik önerileri sayfası AWS kaynaklarınızı görüntüler. Bulut için Defender çoklu bulut özelliklerinin keyfini çıkarmak için ortamlar filtresini kullanabilirsiniz.

Kaynaklarınız için tüm etkin önerileri kaynak türüne göre görüntülemek için Bulut için Defender'deki varlık envanteri sayfasını kullanın ve ilgilendiğiniz AWS kaynak türüne göre filtreleyin.

Microsoft Defender XDR ile tümleştirme

Bulut için Defender etkinleştirdiğinizde, güvenlik uyarıları otomatik olarak Microsoft Defender Portalı ile tümleştirilir.

Bulut için Microsoft Defender ile Microsoft Defender XDR arasındaki tümleştirme, bulut ortamlarınızı Microsoft Defender XDR'ye getirir. Bulut için Defender uyarıları ve Microsoft Defender XDR ile tümleştirilmiş bulut bağıntıları sayesinde SOC ekipleri artık tüm güvenlik bilgilerine tek bir arabirimden erişebilir.

Microsoft Defender XDR'de Bulut için Defender uyarıları hakkında daha fazla bilgi edinin.

Daha fazla bilgi edinin

Aşağıdaki bloglara göz atın:

Kaynakları temizleme

Bu makale için kaynakları temizlemeye gerek yoktur.

Sonraki adımlar

AWS hesabınızı bağlamak, Bulut için Microsoft Defender'de kullanılabilen çoklu bulut deneyiminin bir parçasıdır:

İş yükü sahiplerine erişim atama.
Bulut için Defender ile tüm kaynaklarınızı koruyun.
Şirket içi makinelerinizi ve GCP projelerinizi ayarlayın.
AWS hesabınızı ekleme hakkında sık sorulan soruların yanıtlarını alın.
Çoklu bulut bağlayıcılarınızın sorunlarını giderin.