本指南說明適用於雲端的 Microsoft Defender Apps 和 Microsoft Sentinel 如何協助保護 Amazon Web Services (AWS) 帳戶存取和環境。
使用 Microsoft 365 的 Microsoft Entra ID 或混合式雲端身分識別和存取保護的 AWS 組織,可以快速且輕鬆地 部署 AWS 帳戶 的 Microsoft Entra ID,通常不需要額外費用。
架構
下圖摘要說明 AWS 安裝如何受益于重要的 Microsoft 安全性元件:
工作流程
Microsoft Entra ID 透過多重要素驗證和條件式存取功能,提供集中式 單一登入 (SSO) 和 強式驗證 。 Microsoft Entra ID 支援 AWS 角色型身分識別和授權,以存取 AWS 資源。 如需詳細資訊和詳細指示,請參閱 AWS 的 Microsoft Entra 身分識別和存取管理。 Microsoft Entra 權限管理是雲端 基礎結構權利管理 (CIEM) 產品, 可提供任何 AWS 身分識別或資源許可權的完整可見度和控制。 您可以使用Microsoft Entra 權限管理來:
- 藉由評估身分識別、許可權和資源,取得風險的多維度檢視。
- 在您的整個多重雲端基礎結構中自動強制執行 最低許可權 原則。
- 使用異常和極端值偵測來防止濫用和惡意惡意探索許可權所造成的資料外泄。
如需詳細資訊和詳細的上線指示,請參閱 將 Amazon Web Services (AWS) 帳戶 上線。
適用於雲端的 Defender應用程式:
- 與 Microsoft Entra 條件式存取功能整合,以強制執行其他限制。
- 協助監視及保護登入後的會話。
- 使用 使用者行為分析 (UBA) 和其他 AWS API 來監視會話和使用者,並支援資訊保護。
適用於雲端的 Microsoft Defender會在 適用於雲端的 Defender 入口網站中顯示 AWS 安全性建議,以及 Azure 建議。 適用於雲端的 Defender針對基礎結構即服務 (IaaS) 和平臺即服務 (PaaS) 服務提供超過 160 項現成的建議。 它也支援法規標準,包括網際網路安全性中心(CIS)和支付卡產業(PCI)標準,以及 AWS 基礎安全性最佳做法標準。 適用於雲端的 Defender也提供雲端工作負載保護 (CWP) Amazon EKS 叢集 、 AWS EC2 實例 和 在 AWS EC2 上執行的 SQL 伺服器。
Microsoft Sentinel 與 適用於雲端的 Defender Apps 和 AWS 整合,以偵測並自動回應威脅。 Microsoft Sentinel 會監視 AWS 環境是否有設定錯誤、潛在的惡意程式碼,以及 AWS 身分識別、裝置、應用程式和資料的進階威脅。
元件
適用於雲端的 Defender應用程式以取得可見度和控制
當數個使用者或角色進行系統管理變更時,可能會 造成設定偏離 預期的安全性架構和標準。 安全性標準也可以隨著時間而變更。 安全性人員必須持續且一致地偵測新的風險、評估風險降低選項,以及更新安全性架構,以防止潛在的缺口。 跨多個公用雲端和私人基礎結構環境的安全性管理可能會變得繁重。
適用於雲端的 Defender Apps 是雲端 存取安全性代理程式 (CASB) 平臺, 具有 雲端安全性狀態管理 (CSPM) 功能。 適用於雲端的 Defender Apps 可以連線到多個雲端服務和應用程式,以收集安全性記錄、監視使用者行為,以及限制平臺本身可能無法提供的限制。
適用於雲端的 Defender Apps 提供數個功能,可與 AWS 整合,以取得立即的優點:
- 適用於雲端的 Defender Apps 應用程式連接器會使用數個 AWS API,包括 UBA,在 AWS 平臺上搜尋設定問題和威脅。
- AWS 存取控制可以強制執行以應用程式、裝置、IP 位址、位置、已註冊 ISP 和特定使用者屬性為基礎的登入限制。
- AWS 的會話控制項會根據Microsoft Defender 威脅情報或即時內容檢查來封鎖潛在的惡意程式碼上傳或下載。
- 會話控制項也可以使用即時內容檢查和敏感性資料偵測來強制執行 防止剪下、複製、貼上或列印工作的資料外泄防護 (DLP) 規則。
適用於雲端的 Defender應用程式可供獨立使用,或作為 Microsoft Enterprise Mobility + Security E5 的一部分,其中包括 Microsoft Entra ID P2。 如需定價和授權資訊,請參閱 Enterprise Mobility + Security 定價選項 。
CSPM 和 CWP 平臺的適用於雲端的 Defender (CWPP)
雲端工作負載通常會跨越多個雲端平臺,雲端安全性服務必須執行相同的動作。 適用於雲端的 Defender有助於保護 Azure、AWS 和 Google Cloud Platform (GCP) 中的工作負載。
適用於雲端的 Defender提供 AWS 帳戶的無代理程式連線。 適用於雲端的 Defender也提供保護 AWS 資源的計畫:
- [ 適用於雲端的 Defender概觀] 頁面 會顯示 CSPM 計量、警示和深入解析。 適用於雲端的 Defender根據 評估 AWS 資源AWS 特定的安全性建議 ,並將安全性狀態納入您的安全分數。 資產 清查 提供單一位置來檢視您所有受保護的 AWS 資源。 法規合規性儀表板 會反映您符合 AWS 專屬內建標準的合規性狀態。 範例包括 AWS CIS 標準、PCI 資料安全性標準 (PCI-DSS),以及 AWS 基礎安全性最佳做法標準。
- 適用于伺服器的 Microsoft Defender 為支援的 Windows 和 Linux EC2 實例 帶來威脅偵測和進階防禦 。
- 適用于容器 的 Microsoft Defender 為支援的 Amazon EKS 叢集 帶來威脅偵測和進階防禦 。
- 適用于 SQL 的 Microsoft Defender 會將威脅偵測和進階防禦帶到在 AWS EC2 和 AWS RDS 自訂 SQL Server 上執行的 SQL Server。
適用于進階威脅偵測的 Microsoft Sentinel
威脅可能來自各種裝置、應用程式、位置和使用者類型。 DLP 需要在上傳或下載期間檢查內容,因為驗屍檢閱可能太晚。 AWS 沒有裝置和應用程式管理、風險型條件式存取、會話型控制項或內嵌 UBA 的原生功能。
無論資源位於多雲端、內部部署或混合式環境,安全性解決方案都能夠降低複雜度,並提供全面的保護。 適用於雲端的 Defender提供 CSPM 和 CWP。 適用於雲端的 Defender可識別 AWS 中的設定弱點,以協助加強整體安全性狀態。 它也有助於為 AMAZON EKS Linux 叢集、AWS EC2 實例和 AWS EC2 中的 SQL 伺服器提供威脅防護。
Microsoft Sentinel 是 安全性資訊與事件管理 (SIEM) 和安全性 協調流程、自動化和回應 (SOAR) 解決方案,可集中和協調新式安全性作業的威脅偵測和回應自動化。 Microsoft Sentinel 可以監視 AWS 帳戶,以比較跨多個防火牆、網路裝置和伺服器的事件。 Microsoft Sentinel 結合監視資料與威脅情報、分析規則和機器學習,以探索及回應進階攻擊技術。
您可以使用 Microsoft Sentinel 連線 AWS 和 適用於雲端的 Defender Apps。 然後,您可以看到 適用於雲端的 Defender Apps 警示,並執行使用多個 Defender 威脅情報摘要的其他威脅檢查。 Microsoft Sentinel 可以起始適用於雲端的 Defender Apps 外部的協調回應。 Microsoft Sentinel 也可以與 IT 服務管理 (ITSM) 解決方案整合,並長期保留資料以供合規性之用。
案例詳細資料
Microsoft 提供數個安全性解決方案,可協助保護及保護 AWS 帳戶和環境。
其他 Microsoft 安全性元件可以與 Microsoft Entra ID 整合,為 AWS 帳戶提供額外的安全性:
- 適用於雲端的 Defender Apps 會使用會話保護和使用者行為監視來備份 Microsoft Entra 識別碼。
- 適用於雲端的 Defender為 AWS 工作負載提供威脅防護。 它也有助於主動加強 AWS 環境的安全性,並使用無代理程式方法來連線到這些環境。
- Microsoft Sentinel 與 Microsoft Entra ID 和 適用於雲端的 Defender Apps 整合,以偵測並自動回應 AWS 環境的威脅。
這些 Microsoft 安全性解決方案是可延伸的,並提供多個層級的保護。 您可以實作其中一或多個解決方案,以及其他類型的保護,以取得完整的安全性架構,以協助保護目前和未來的 AWS 部署。
潛在的使用案例
本文提供 AWS 身分識別架構設計人員、系統管理員和安全性分析師,並提供部署數個 Microsoft 安全性解決方案的立即見解和詳細指引。
建議
當您開發安全性解決方案時,請記住下列幾點。
安全性建議
下列原則和指導方針對於任何雲端安全性解決方案都很重要:
- 確定組織可以監視、偵測及自動保護使用者和以程式設計方式存取雲端環境。
- 持續檢閱目前的帳戶,以確保身分識別和許可權控管和控制。
- 遵循最低許可權和 零信任 原則。 請確定使用者只能從受信任的裝置和已知位置存取所需的特定資源。 減少每個系統管理員和開發人員的許可權,只提供他們執行之角色所需的許可權。 定期檢閱。
- 持續監視平臺組態變更,特別是當他們提供提升許可權或攻擊持續性的機會時。
- 主動檢查和控制內容,以防止未經授權的資料外流。
- 利用您可能已經擁有的解決方案,例如 Microsoft Entra ID P2,可以增加安全性,而不需要額外費用。
基本 AWS 帳戶安全性
為了確保 AWS 帳戶和資源的基本安全性衛生:
- 請檢閱 AWS 安全性指引,以 取得保護 AWS 帳戶和資源 的最佳作法。
- 透過 AWS 管理主控台主動檢查所有資料傳輸,以降低上傳和下載惡意程式碼和其他惡意內容的風險。 您直接上傳或下載至 AWS 平臺內資源的內容,例如網頁伺服器或資料庫,可能需要額外的保護。
- 請考慮保護其他資源的存取,包括:
- 在 AWS 帳戶內建立的資源。
- 特定的工作負載平臺,例如 Windows Server、Linux Server 或容器。
- 系統管理員和開發人員用來存取 AWS 管理主控台的裝置。
部署此案例
請採取下列各節中的步驟來實作安全性解決方案。
規劃和準備
若要準備部署 Azure 安全性解決方案,請檢閱並記錄目前的 AWS 和 Microsoft Entra 帳戶資訊。 如果您已部署多個 AWS 帳戶,請針對每個帳戶重複這些步驟。
在 AWS 計費管理主控台 中,記錄下列目前的 AWS 帳戶資訊:
- AWS 帳戶識別碼 ,唯一識別碼
- 帳戶名稱 或根使用者
- 付款條件 ,無論是指派給信用卡還是公司帳單合約
- 可存取 AWS 帳戶資訊的替代連絡人
- 安全性問題 ,安全地更新並記錄緊急存取
- 已啟用或停用以符合資料安全性原則的 AWS 區域
在 Azure 入口網站 中,檢閱 Microsoft Entra 租使用者:
- 評估 租使用者資訊 ,以查看租使用者是否有 Microsoft Entra ID P1 或 P2 授權。 P2 授權提供 進階的 Microsoft Entra 身分識別管理功能 。
- 評估 企業應用程式,以查看任何現有的應用程式 是否使用 AWS 應用程式類型,如首頁 URL 資料行所示
http://aws.amazon.com/。
部署 Defender for Cloud Apps
部署新式身分識別和存取管理所需的集中管理和強式驗證之後,您可以實作 適用於雲端的 Defender Apps 來:
- 收集安全性資料,並針對 AWS 帳戶執行威脅偵測。
- 實作進階控制項以降低風險並防止資料遺失。
若要部署適用於雲端的 Defender應用程式:
- 新增適用于 AWS 的 適用於雲端的 Defender Apps 應用程式連接器。
- 為 AWS 活動設定適用於雲端的 Defender應用程式監視原則。
- 建立適用于 SSO 至 AWS 的企業應用程式。
- 在 適用於雲端的 Defender Apps 中建立條件式存取應用程式控制應用程式。
- 設定 AWS 活動的 Microsoft Entra 會話原則。
- 測試 AWS 適用於雲端的 Defender Apps 原則。
新增 AWS 應用程式連接器
在 適用於雲端的 Defender Apps 入口網站 中,展開 [ 調查 ],然後選取 連線應用程式 。
在 [應用程式連線程式] 頁面上,選取 [加號] (+), 然後從清單中選取 [Amazon Web Services ]。
使用連接器的唯一名稱。 在名稱中,包含公司和特定 AWS 帳戶的識別碼,例如 Contoso-AWS-Account1 。
請遵循連線 AWS 中的 指示來適用於雲端的 Microsoft Defender應用程式 ,以建立適當的 AWS 身分識別和存取管理 (IAM) 使用者。
- 定義限制許可權的原則。
- 建立服務帳戶,代表 適用於雲端的 Defender Apps 服務使用這些許可權。
- 提供應用程式連接器的認證。
建立初始連線所需的時間取決於 AWS 客戶紀錄大小。 連線完成時,您會看到連線確認:
設定 AWS 活動的適用於雲端的 Defender應用程式監視原則
開啟應用程式連接器之後,適用於雲端的 Defender應用程式會在原則設定產生器中顯示新的範本和選項。 您可以直接從範本建立原則,並根據您的需求加以修改。 您也可以不使用範本來開發原則。
若要使用範本來實作原則:
在 [適用於雲端的 Defender應用程式] 左側導覽視窗中,展開 [控制項 ],然後選取 [ 範本 ]。
搜尋 aws 並檢閱 AWS 的可用原則範本。
若要使用範本,請選取 範本專案右邊的加號 (+)。
每個原則類型都有不同的選項。 檢閱組態設定並儲存原則。 針對每個範本重複此步驟。
若要使用檔案原則,請確定已在 適用於雲端的 Defender Apps 設定中開啟檔案監視設定:
當 適用於雲端的 Defender Apps 偵測到警示時,它會在 適用於雲端的 Defender Apps 入口網站的 [警示 ] 頁面上顯示警示:
建立適用于 SSO 至 AWS 的企業應用程式
遵循教學課程:Microsoft Entra 單一登入 (SSO) 與 AWS 單一登入 整合的指示 ,建立企業應用程式以 SSO to AWS。 以下是程式的摘要:
- 從資源庫新增 AWS SSO。
- 設定及測試適用于 AWS SSO 的 Microsoft Entra SSO:
- 設定 Microsoft Entra SSO。
- 設定 AWS SSO。
- 建立 AWS SSO 測試使用者。
- 測試 SSO。
在 適用於雲端的 Defender Apps 中建立條件式存取應用程式控制應用程式
移至 [適用於雲端的 Defender應用程式入口網站 ],選取 [調查 ],然後選取 [連線應用程式 ]。
選取 [ 條件式存取應用程式控制應用程式 ],然後選取 [ 新增 ]。
在 [ 搜尋應用程式 ] 方塊中,輸入 Amazon Web Services ,然後選取應用程式。 選取 [ 開始精靈 ]。
選取 [手動 填入資料]。 輸入下列螢幕擷取畫面中顯示的判斷 提示取用者服務 URL 值,然後選取 [ 下一步 ]。
在下一個頁面上,忽略 [外部設定 ] 步驟。 選取 [下一步] 。
選取 [ 手動填入資料],然後採取下列步驟來輸入資料:
- 在 [單一登入服務 URL ] 下 ,輸入 您為 AWS 建立的企業應用程式 [登入 URL ] 值。
- 在 [上傳識別提供者的 SAML 憑證 ] 下 ,選取 [ 流覽 ]。
- 找出您所建立企業應用程式的憑證。
- 將憑證下載至本機裝置,然後將它上傳至精靈。
- 選取 [下一步] 。
在下一個頁面上,忽略 [外部設定 ] 步驟。 選取 [下一步] 。
在下一個頁面上,忽略 [外部設定 ] 步驟。 選取完成。
在下一個頁面上,忽略 驗證您的設定 步驟。 選取 [關閉]。
設定 AWS 活動的 Microsoft Entra 會話原則
會話原則是 Microsoft Entra 條件式存取原則和 適用於雲端的 Defender Apps 的反向 Proxy 功能的強大組合。 這些原則提供即時可疑行為監視和控制。
在 Microsoft Entra ID 中,使用下列設定建立新的條件式存取原則:
- 在 [名稱] 底下 ,輸入 AWS 主控台 – 會話控制項 。
- 在 [使用者和群組 ] 底 下,選取您稍早建立的兩個角色群組:
- AWS-Account1-管理員istrators
- AWS-Account1-Developers
- 在 [雲端應用程式或動作] 下 ,選取您稍早建立的企業應用程式,例如 Contoso-AWS-Account 1 。
- 在 [會話] 底下 ,選取 [ 使用條件式存取應用程式控制 ]。
在 [啟用原則] 下,選取 [開啟]。
選取建立。
建立 Microsoft Entra 條件式存取原則之後,請設定 適用於雲端的 Defender Apps 會話原則,以控制 AWS 會話期間的使用者行為。
在 適用於雲端的 Defender Apps 入口網站中,展開 [控制 ],然後選取 [ 原則 ]。
在 [原則] 頁面上,選取 [ 建立原則 ],然後從清單中選取 [會話原則 ]。
在 [ 建立會話原則原則] 頁面的 [原則範本 ] 底下 ,選取 [ 封鎖上傳潛在惡意程式碼](根據 Microsoft 威脅情報)。
在 [符合下列所有專案的活動] 下 ,修改活動篩選準則以包含 應用程式 、 等於 和 Amazon Web Services 。 移除預設裝置選取專案。
檢閱其他設定,然後選取 [ 建立 ]。
測試 AWS 適用於雲端的 Defender Apps 原則
定期測試所有原則,以確保它們仍然有效且相關。 以下是一些建議的測試:
IAM 原則變更:每次您嘗試修改 AWS IAM 內的設定時,都會觸發此原則。 例如,當您遵循本部署一節稍後的程式來建立新的 IAM 原則和帳戶時,您會看到警示。
主控台登入失敗:任何登入其中一個測試帳戶失敗的嘗試都觸發此原則。 警示詳細資料顯示嘗試來自其中一個 Azure 區域資料中心。
S3 貯體活動原則:當您嘗試建立新的 AWS S3 儲存體帳戶並將其設定為可公開使用時,您會觸發此原則。
惡意程式碼偵測原則:如果您將惡意程式碼偵測設定為會話原則,您可以依照下列步驟進行測試:
- 從 歐洲電腦防毒軟體研究所(EICAR) 下載安全測試檔案。
- 嘗試將該檔案上傳至 AWS S3 儲存體帳戶。
原則會立即封鎖上傳嘗試,且警示會出現在 適用於雲端的 Defender Apps 入口網站中。
部署適用於雲端的 Defender
您可以使用原生雲端連接器將 AWS 帳戶連線到適用於雲端的 Defender。 連接器會提供 AWS 帳戶的無代理程式連線。 您可以使用此連線來收集 CSPM 建議。 藉由使用適用於雲端的 Defender方案,您可以使用 CWP 保護您的 AWS 資源。
若要保護您的 AWS 型資源,請採取下列步驟,以下各節將詳細說明:
- 連線 AWS 帳戶。
- 監視 AWS。
連線 AWS 帳戶
若要使用原生連接器將 AWS 帳戶連線到適用於雲端的 Defender,請遵循下列步驟:
檢閱 連線 AWS 帳戶的必要條件 。 在繼續之前,請確定您已完成它們。
如果您有任何傳統連接器,請遵循移除傳統連接器 中的 步驟加以移除。 使用傳統和原生連接器可能會產生重複的建議。
登入 Azure 入口網站。
選取 [適用於雲端的 Microsoft Defender ],然後選取 [ 環境設定 ]。
選取 [ 新增環境 > Amazon Web Services]。
輸入 AWS 帳戶的詳細資料,包括連接器資源的儲存位置。 或者,選取 [管理帳戶 ] 以建立管理帳戶的連接器。 系統會針對在提供的管理帳戶下探索到的每個成員帳戶建立連線ors。 所有新上線帳戶都會開啟自動布建。
選取 [ 下一步:選取方案 ]。
根據預設,伺服器方案會開啟。 需要此設定,才能將適用于伺服器的 Defender 涵蓋範圍延伸至 AWS EC2。 請確定您已滿足 Azure Arc 的網路需求。或者,若要編輯組態,請選取 [ 設定 ]。
根據預設,容器計畫會開啟。 需要此設定,才能為 AWS EKS 叢集提供適用于容器的 Defender 保護。 請確定您已完成 適用于容器的 Defender 方案的網路需求 。 或者,若要編輯組態,請選取 [ 設定 ]。 如果您停用此設定,則會停用控制平面的威脅偵測功能。 若要檢視功能清單,請參閱 適用于容器的 Defender 功能可用性 。
根據預設,資料庫計畫會開啟。 需要此設定,才能將適用于 SQL 的 Defender 涵蓋範圍延伸至您的 AWS EC2 和 RDS 自訂 SQL Server。 或者,若要編輯組態,請選取 [ 設定 ]。 建議您使用預設組態。
選取 [ 下一步:設定存取 ]。
下載 CloudFormation 範本。
請依照畫面上的指示,使用下載的 CloudFormation 範本在 AWS 中建立堆疊。 如果您將管理帳戶上線,您必須以 Stack 和 StackSet 身分執行 CloudFormation 範本。 連線者會在上線 24 小時內為成員帳戶建立。
選取 [下一步:檢閱並產生]。
選取建立。
適用於雲端的 Defender立即開始掃描 AWS 資源。 在幾個小時內,您會看到安全性建議。 如需適用於雲端的 DEFENDER可為 AWS 資源提供的所有建議清單,請參閱 AWS 資源的安全性建議 - 參考指南 。
監視 AWS 資源
[適用於雲端的 Defender安全性建議] 頁面會顯示您的 AWS 資源。 您可以使用環境篩選來利用適用於雲端的 Defender的多雲端功能,例如一起檢視 Azure、AWS 和 GCP 資源的建議。
若要依資源類型檢視資源的所有使用中建議,請使用 適用於雲端的 Defender 資產清查頁面。 設定篩選準則以顯示您感興趣的 AWS 資源類型。
部署 Microsoft Sentinel
如果您將 AWS 帳戶和適用於雲端的 Defender應用程式連線到 Microsoft Sentinel,您可以使用監視功能來比較跨多個防火牆、網路裝置和伺服器的事件。
啟用 Microsoft Sentinel AWS 連接器
啟用適用于 AWS 的 Microsoft Sentinel 連接器之後,您可以監視 AWS 事件和資料擷取。
如同適用於雲端的 Defender應用程式設定,此連線需要設定 AWS IAM 以提供認證和許可權。
在 AWS IAM 中,遵循 連線 Microsoft Sentinel 至 AWS CloudTrail 的步驟 。
若要完成Azure 入口網站中的設定,請在 [Microsoft Sentinel Data 連接器 ] 底下 選取 Amazon Web Services 連接器。 >
選取 [開啟連接器頁面]。
在 [組態] 底 下 ,從 [要新增 的角色] 欄位中,從 [AWS IAM 組態] 輸入 [角色 ARN ] 值,然後選取 [ 新增 ]。
選取 [後續步驟 ],然後選取要監視的 AWS 網路活動和 AWS 使用者活動 。
在 [相關分析範本] 底 下,選取 您想要開啟的 AWS 分析範本旁的 [建立規則 ]。
設定每個規則,然後選取 [ 建立 ]。
下表顯示可用來檢查 AWS 實體行為和威脅指標的規則範本。 規則名稱會描述其用途,而潛在的資料來源會列出每個規則可以使用的資料來源。
| 分析範本名稱 | 資料來源 |
|---|---|
| 已知的 IRIDIUM IP | DNS、Azure 監視器、Cisco ASA、Palo Alto Networks、Microsoft Entra ID、Azure Activity、AWS |
| 建立完整管理員原則,然後附加至角色、使用者或群組 | AWS |
| AzureAD 登入失敗,但成功登入 AWS 主控台 | Microsoft Entra ID, AWS |
| AWS 主控台登入失敗,但成功登入 AzureAD | Microsoft Entra ID, AWS |
| 為使用者停用多重要素驗證 | Microsoft Entra ID, AWS |
| AWS 安全性群組輸入和輸出設定的變更 | AWS |
| 監視 AWS 認證濫用或劫持 | AWS |
| AWS Elastic Load Balancer 安全性群組的變更 | AWS |
| Amazon AMAZON 的變更 | AWS |
| 過去 24 小時內觀察到的新 UserAgent | Microsoft 365、Azure 監視器、AWS |
| 在沒有多重要素驗證的情況下登入 AWS 管理主控台 | AWS |
| 網際網路面向 AWS RDS 資料庫實例的變更 | AWS |
| 對 AWS CloudTrail 記錄所做的變更 | AWS |
| Defender 威脅情報會將 IP 實體對應至 AWS CloudTrail | Defender 威脅情報平臺,AWS |
已啟用的範本在連接器詳細資料頁面上具有 IN USE 指標。
監視 AWS 事件
Microsoft Sentinel 會根據您開啟的分析與偵測來建立事件。 每個事件都可以包含一或多個事件,以減少偵測及回應潛在威脅所需的調查總數。
Microsoft Sentinel 會顯示適用於雲端的 Defender應用程式所產生的事件,如果已連線,以及 Microsoft Sentinel 所建立的事件。 [ 產品名稱] 資料行會顯示事件來源。
檢查資料擷取
定期檢視連接器詳細資料,檢查資料是否持續內嵌至 Microsoft Sentinel。 下圖顯示新的連線。
如果連接器停止內嵌資料和折線圖值下降,請檢查您用來連線到 AWS 帳戶的認證。 也請檢查 AWS CloudTrail 仍然可以收集事件。
參與者
本文由 Microsoft 維護。 它最初是由下列參與者所撰寫。
主體作者:
- 拉瓦尼亞·默錫 |資深雲端解決方案架構師
若要查看非公用LinkedIn設定檔,請登入 LinkedIn。
下一步
- 如需 AWS 的安全性指引,請參閱 保護 AWS 帳戶和資源 的最佳作法。
- 如需最新的 Microsoft 安全性資訊,請參閱 Microsoft 安全性 。
- 如需如何實作和管理 Microsoft Entra 識別碼的完整詳細資料,請參閱 使用 Microsoft Entra 識別碼 保護 Azure 環境。
- 如需 AWS 資產威脅和對應防護措施的概觀,請參閱 適用於雲端的 Defender Apps 如何協助保護您的 Amazon Web Services (AWS) 環境 。
- 如需連接器以及如何建立連線的資訊,請參閱下列資源:
相關資源
- 如需 Azure 和 AWS 功能的深入涵蓋範圍和比較,請參閱 適用于 AWS 專業人員 的 Azure 內容集。
- 如需針對 AWS 部署 Microsoft Entra 身分識別和存取解決方案的指引,請參閱 AWS 的 Microsoft Entra 身分識別和存取管理。