共用方式為


在 AWS 上啟用適用於開放原始碼關聯式資料庫的 Defender (預覽)

適用於雲端的 Microsoft Defender 在 AWS 環境中偵測到的異常活動,表示針對下列 RDS 執行個體類型有不尋常及可能有害的活動試圖存取或惡意探索資料庫:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

若要從 Microsoft Defender 方案取得警示,您必須遵循此頁面上的指示,以在 AWS 上啟用適用於開放原始碼關聯式資料庫的 Defender。

AWS 方案上適用於開放原始碼關聯式資料庫的 Defender 也包含探索您帳戶內的敏感性資料,以及利用結果增強適用於雲端的 Defender 體驗。 此功能也隨附於 Defender CSPM。

若要深入了解此 Microsoft Defender 方案,請參閱適用於開放原始碼關聯式資料庫的 Microsoft Defender 概觀

必要條件

啟用適用於開放原始碼關聯式資料庫的 Defender

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 選取 [環境設定]

  4. 選取相關的 AWS 帳戶。

  5. 找出 [資料庫] 方案,然後選取 [設定]

    顯示 [設定] 按鈕所在位置的 AWS 環境設定頁面螢幕擷取畫面。

  6. 將開放原始碼關聯式資料庫切換為 [開啟]

    顯示如何將開放原始碼關聯式資料庫切換為開啟的螢幕擷取畫面。

    注意

    將開放原始碼關聯式資料庫切換為開啟也會讓敏感性資料探索開啟,這是針對關聯式資料庫服務 (RDS) 與 Defender CSPM 的敏感性資料探索共用功能。

    螢幕擷取畫面顯示 Defender CSPM 的設定頁面,以及使用受保護資源開啟的敏感性資料。

    深入了解 AWS RDS 執行個體中的敏感性資料探索

  7. 選取 [設定存取權]

  8. 在 [部署方法] 區段中,選取 [下載]

  9. 遵循 AWS 指示中的更新堆疊。 此程序會建立或更新具有必要權限的 CloudFormation 範本。

  10. 勾選確認 CloudFormation 範本已在 AWS 環境 (堆疊) 上更新的方塊。

  11. 選取 [檢閱並產生]

  12. 檢閱呈現的資訊,然後選取 [更新]

適用於雲端的 Defender 會自動變更您的參數和選項群組設定

DefenderForCloud-DataThreatProtectionDB 角色的必要權限

下表顯示當您下載 CloudFormation 範本並更新 AWS 堆疊時,提供給已建立或更新角色的必要權限清單。

已新增權限 描述
rds:AddTagsToResource 在已建立的選項群組和參數群組上新增標籤
rds:DescribeDBClusterParameters 描述叢集群組內的參數
rds:CreateDBParameterGroup 建立資料庫參數群組
rds:ModifyOptionGroup 修改選項群組內的選項
rds:DescribeDBLogFiles 描述記錄檔
rds:DescribeDBParameterGroups 描述資料庫參數群組
rds:CreateOptionGroup 建立選項群組
rds:ModifyDBParameterGroup 修改資料庫參數群組內的參數
rds:DownloadDBLogFilePortion 下載記錄檔
rds:DescribeDBInstances 描述資料庫
rds:ModifyDBClusterParameterGroup 修改叢集參數群組內的叢集參數
rds:ModifyDBInstance 視需要修改資料庫以指派參數群組或選項群組
rds:ModifyDBCluster 視需要修改叢集以指派叢集參數群組
rds:DescribeDBParameters 描述資料庫群組內的參數
rds:CreateDBClusterParameterGroup 建立叢集參數群組
rds:DescribeDBClusters 描述叢集
rds:DescribeDBClusterParameterGroups 描述叢集參數群組
rds:DescribeOptionGroups 描述選項群組

受影響的參數和選項群組設定

當您在 RDS 執行個體上啟用適用於開放原始碼關聯式資料庫的 Defender 時,適用於雲端的 Defender 會使用稽核記錄自動啟用稽核,以便能夠取用和分析資料庫的存取模式。

每個關聯式資料庫管理系統或服務類型都有自己的組態。 下表描述受適用於雲端的 Defender 影響的設定 (您不需要手動設定這些設定,這是作為參考而提供)。

類型 參數
PostgreSQL 和 Aurora PostgreSQL log_connections 1
PostgreSQL 和 Aurora PostgreSQL log_disconnections 1
Aurora MySQL 叢集參數群組 server_audit_logging 1
Aurora MySQL 叢集參數群組 server_audit_events - 如果存在,請展開值以包含 CONNECT、QUERY、
- 如果不存在,請使用 CONNECT、QUERY 值加以新增。
Aurora MySQL 叢集參數群組 server_audit_excl_users 如果存在,請展開它以包含 rdsadmin。
Aurora MySQL 叢集參數群組 server_audit_incl_users - 如果它存在並具有值且 rdsadmin 為 include 的一部分,則它不會出現在 SERVER_AUDIT_EXCL_USER 中,而 include 的值是空的。

MySQL 和 MariaDB 需要選項群組,並具有下列 MARIADB_AUDIT_PLUGIN 選項 (如果選項不存在,請新增選項。如果選項存在,請展開選項中的值):

選項名稱
SERVER_AUDIT_EVENTS 如果存在,請展開值以包含 CONNECT
如果不存在,請使用 CONNECT 值加以新增。
SERVER_AUDIT_EXCL_USER 如果存在,請展開它以包含 rdsadmin。
SERVER_AUDIT_INCL_USERS 如果它存在並具有值且 rdsadmin 為 include 的一部分,則它不會出現在 SERVER_AUDIT_EXCL_USER 中,而 include 的值是空的。

重要

您可能需要重新啟動執行個體以套用變更。

如果您使用預設參數群組,將會建立新的參數群組,其中包含具有前置詞 defenderfordatabases* 的必要參數變更。

如果已建立新的參數群組,或已更新靜態參數,則它們將不會生效,直到重新啟動執行個體。

注意

後續步驟