在 AWS 上啟用適用於開放原始碼關聯式資料庫的 Defender (預覽)
適用於雲端的 Microsoft Defender 在 AWS 環境中偵測到的異常活動,表示針對下列 RDS 執行個體類型有不尋常及可能有害的活動試圖存取或惡意探索資料庫:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
若要從 Microsoft Defender 方案取得警示,您必須遵循此頁面上的指示,以在 AWS 上啟用適用於開放原始碼關聯式資料庫的 Defender。
AWS 方案上適用於開放原始碼關聯式資料庫的 Defender 也包含探索您帳戶內的敏感性資料,以及利用結果增強適用於雲端的 Defender 體驗。 此功能也隨附於 Defender CSPM。
若要深入了解此 Microsoft Defender 方案,請參閱適用於開放原始碼關聯式資料庫的 Microsoft Defender 概觀。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
至少有一個具有必要存取權和權限的已連線 AWS 帳戶。
區域可用性:所有公用 AWS 區域 (不包括特拉維夫、米蘭、雅加達、西班牙和巴林)。
啟用適用於開放原始碼關聯式資料庫的 Defender
登入 Azure 入口網站
搜尋並選取 [適用於雲端的 Microsoft Defender]。
選取 [環境設定]。
選取相關的 AWS 帳戶。
找出 [資料庫] 方案,然後選取 [設定]。
![顯示 [設定] 按鈕所在位置的 AWS 環境設定頁面螢幕擷取畫面。](media/enable-defender-for-databases-aws/databases-settings.png)
將開放原始碼關聯式資料庫切換為 [開啟]。
注意
將開放原始碼關聯式資料庫切換為開啟也會讓敏感性資料探索開啟,這是針對關聯式資料庫服務 (RDS) 與 Defender CSPM 的敏感性資料探索共用功能。
深入了解 AWS RDS 執行個體中的敏感性資料探索。
選取 [設定存取權]。
在 [部署方法] 區段中,選取 [下載]。
遵循 AWS 指示中的更新堆疊。 此程序會建立或更新具有必要權限的 CloudFormation 範本。
勾選確認 CloudFormation 範本已在 AWS 環境 (堆疊) 上更新的方塊。
選取 [檢閱並產生]。
檢閱呈現的資訊,然後選取 [更新]。
![顯示 [設定] 按鈕所在位置的 AWS 環境設定頁面螢幕擷取畫面。](media/enable-defender-for-databases-aws/databases-settings.png#lightbox)
適用於雲端的 Defender 會自動變更您的參數和選項群組設定。
DefenderForCloud-DataThreatProtectionDB 角色的必要權限
下表顯示當您下載 CloudFormation 範本並更新 AWS 堆疊時,提供給已建立或更新角色的必要權限清單。
| 已新增權限 | 描述 |
|---|---|
| rds:AddTagsToResource | 在已建立的選項群組和參數群組上新增標籤 |
| rds:DescribeDBClusterParameters | 描述叢集群組內的參數 |
| rds:CreateDBParameterGroup | 建立資料庫參數群組 |
| rds:ModifyOptionGroup | 修改選項群組內的選項 |
| rds:DescribeDBLogFiles | 描述記錄檔 |
| rds:DescribeDBParameterGroups | 描述資料庫參數群組 |
| rds:CreateOptionGroup | 建立選項群組 |
| rds:ModifyDBParameterGroup | 修改資料庫參數群組內的參數 |
| rds:DownloadDBLogFilePortion | 下載記錄檔 |
| rds:DescribeDBInstances | 描述資料庫 |
| rds:ModifyDBClusterParameterGroup | 修改叢集參數群組內的叢集參數 |
| rds:ModifyDBInstance | 視需要修改資料庫以指派參數群組或選項群組 |
| rds:ModifyDBCluster | 視需要修改叢集以指派叢集參數群組 |
| rds:DescribeDBParameters | 描述資料庫群組內的參數 |
| rds:CreateDBClusterParameterGroup | 建立叢集參數群組 |
| rds:DescribeDBClusters | 描述叢集 |
| rds:DescribeDBClusterParameterGroups | 描述叢集參數群組 |
| rds:DescribeOptionGroups | 描述選項群組 |
受影響的參數和選項群組設定
當您在 RDS 執行個體上啟用適用於開放原始碼關聯式資料庫的 Defender 時,適用於雲端的 Defender 會使用稽核記錄自動啟用稽核,以便能夠取用和分析資料庫的存取模式。
每個關聯式資料庫管理系統或服務類型都有自己的組態。 下表描述受適用於雲端的 Defender 影響的設定 (您不需要手動設定這些設定,這是作為參考而提供)。
| 類型 | 參數 | 值 |
|---|---|---|
| PostgreSQL 和 Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL 和 Aurora PostgreSQL | log_disconnections | 1 |
| Aurora MySQL 叢集參數群組 | server_audit_logging | 1 |
| Aurora MySQL 叢集參數群組 | server_audit_events | - 如果存在,請展開值以包含 CONNECT、QUERY、 - 如果不存在,請使用 CONNECT、QUERY 值加以新增。 |
| Aurora MySQL 叢集參數群組 | server_audit_excl_users | 如果存在,請展開它以包含 rdsadmin。 |
| Aurora MySQL 叢集參數群組 | server_audit_incl_users | - 如果它存在並具有值且 rdsadmin 為 include 的一部分,則它不會出現在 SERVER_AUDIT_EXCL_USER 中,而 include 的值是空的。 |
MySQL 和 MariaDB 需要選項群組,並具有下列 MARIADB_AUDIT_PLUGIN 選項 (如果選項不存在,請新增選項。如果選項存在,請展開選項中的值):
| 選項名稱 | 值 |
|---|---|
| SERVER_AUDIT_EVENTS | 如果存在,請展開值以包含 CONNECT 如果不存在,請使用 CONNECT 值加以新增。 |
| SERVER_AUDIT_EXCL_USER | 如果存在,請展開它以包含 rdsadmin。 |
| SERVER_AUDIT_INCL_USERS | 如果它存在並具有值且 rdsadmin 為 include 的一部分,則它不會出現在 SERVER_AUDIT_EXCL_USER 中,而 include 的值是空的。 |
重要
您可能需要重新啟動執行個體以套用變更。
如果您使用預設參數群組,將會建立新的參數群組,其中包含具有前置詞 defenderfordatabases* 的必要參數變更。
如果已建立新的參數群組,或已更新靜態參數,則它們將不會生效,直到重新啟動執行個體。
注意
如果參數群組已經存在,則會據以更新。
MariaDB 10.2 和更新版本中支援 MARIADB_AUDIT_PLUGIN、MySQL 8.0.25 和更新版本 8.0 和所有 MySQL 5.7 版本。