共用方式為


將 AWS 帳戶連線至適用於雲端的 Microsoft Defender

工作負載通常會跨越多個雲端平臺,因此雲端安全性服務必須執行相同的動作。 適用於雲端的 Microsoft Defender 能協助保護 Amazon Web Services (AWS) 中的工作負載,但您必須在那些工作負載和適用於雲端的 Defender 之間設定連線。

下列螢幕擷取畫面顯示了於 Defender for Cloud 概觀儀表板中顯示的 AWS 帳戶。

顯示在 Defender for Cloud 概觀儀表板上列出的四個 AWS 專案的螢幕擷取畫面。

您可以查看 「雲端守護者在現場」 影片系列中的「雲端守護者中的新 AWS 連接器」影片來深入了解。

注意

如果您有已連線至 Microsoft Sentinel 的 AWS 帳戶,則無法將它連線到適用於雲端的 Defender。 為了確保連接器正確運作,請依照 將 Sentinel 連接的 AWS 帳戶連接到 Defender for Cloud 上的指示。

AWS 驗證程式

適用於雲端和 AWS 的 Defender 使用同盟驗證。 與驗證相關的所有資源都會建立為 CloudFormation 範本部署的一部分,包括:

  • 識別提供者 (OpenID Connect)
  • 身分識別與存取管理 (IAM) 角色與同盟主體 (已連線至身份識別提供者)

跨雲端驗證程式的架構包括:

圖表顯示跨雲端驗證程式的架構。

Microsoft Defender for Cloud 的 CSPM 服務會取得由 Entra ID 使用 RS256 演算法簽署的 Entra 令牌,有效期限為 1 小時。

Entra 權杖會兌換為 AWS 短期認證,Defender for Cloud 的 CSPM 服務會承擔 CSPM IAM 角色(採用網路身分識別)。

由於角色的主體是在信任關係原則中定義的同盟身分識別,因此 AWS 身分識別提供者會透過包含下列程序的流程,針對 Entra ID 驗證 Entra 權杖:

  • 驗證受眾
  • 權杖數位簽章驗證
  • 憑證指紋

只有在符合信任關係中定義的驗證條件之後,才會採用適用於雲端 CSPM 的 Defender 角色。 針對角色層級定義的條件會用於 AWS 內部驗證,並只允許適用於雲端的 Microsoft Defender CSPM 應用程式 (已驗證的受眾) 存取特定角色 (而不是任何其他 Microsoft 權杖)。

AWS識別提供者驗證Entra令牌後,AWS STS會將令牌交換為短期有效的認證,供CSPM服務用來掃描AWS帳戶。

必要條件

若要完成本文中的程序,您需要:

注意

國家政府雲端中 (Azure Government,世紀互聯營運的 Microsoft Azure) 不會提供 AWS 連接器。

原生連接器方案需求

每個方案都有自己的原生連接器需求。

如果您選擇適用於容器的 Microsoft Defender 方案,您會需要:

  • 至少一個具備 EKS Kubernetes API 伺服器存取權限的 Amazon EKS 叢集。 如果您需要建立新的 EKS 叢集,請遵循開始使用 Amazon EKS – eksctl中的指示進行。
  • 在叢集的區域中建立新的 Amazon SQS 佇列、Kinesis Data Firehose 傳遞資料流,以及 Amazon S3 貯體的資源容量。

連接 AWS 帳戶

重要

如果您的 AWS 帳戶已連線到 Microsoft Sentinel,則您無法將其連線到適用於雲端的 Defender。 為了確保連接器正確運作,請依照 將 Sentinel 連接的 AWS 帳戶連接到 Defender for Cloud 上的指示。

若要使用原生連接器將您的 AWS 連線至適用於雲端的 Defender:

  1. 登入 Azure 入口網站

  2. 移至 [適用於雲端的 Defender]>[環境設定]

  3. 選取 [新增環境]> [Amazon Web Services]

    顯示將 AWS 帳戶連線至 Azure 訂用帳戶的螢幕擷取畫面。

  4. 輸入 AWS 帳戶的詳細資料,包括儲存連接器資源的位置。

    顯示輸入 AWS 帳戶的帳戶詳細資料索引標籤的螢幕擷取畫面。

    AWS 區域下拉式清單可讓您選擇「Defender for Cloud」進行 API 呼叫的區域。 所有從下拉式清單中取消選取的區域代表「適用於雲端的 Defender」將不會對這些區域進行 API 呼叫。

  5. 選取間隔以每 4、6、12 或 24 小時掃描 AWS 環境。

    某些數據收集器會以固定掃描間隔執行,而且不會受到自定義間隔設定的影響。 下表顯示每個被排除的資料收集器的固定掃描間隔:

    資料收集器名稱 掃描間隔
    EC2Instance
    ECRImage
    ECRRepository
    RDSDBInstance
    S3Bucket
    S3BucketTags
    S3Region
    EKSCluster
    EKSClusterName
    EKSNodegroup
    EKS節點組名稱
    AutoScalingAutoScalingGroup
    1 小時
    EcsClusterArn
    EcsService
    EcsServiceArn
    ECS任務定義
    EcsTaskDefinitionArn
    EcsTaskDefinitionTags
    AwsPolicyVersion
    LocalPolicyVersion
    AwsEntitiesForPolicy
    LocalEntitiesForPolicy
    BucketEncryption
    BucketPolicy
    S3PublicAccessBlockConfiguration
    BucketVersioning
    S3LifecycleConfiguration
    BucketPolicyStatus
    S3ReplicationConfiguration
    S3AccessControlList
    S3BucketLoggingConfig
    公共訪問阻止配置
    12 小時

    注意

    (選擇性) 選取 [管理帳戶] 以建立管理帳戶的連接器。 接著會為在所提供管理帳戶下找到的每個成員帳戶建立連接器。 所有新上線的帳戶也會啟用自動佈建。

    (選擇性) 使用 [AWS 區域] 下拉式功能表來選取要掃描的特定 AWS 區域。 預設會選取所有區域。

接下來,檢閱並選取適用於雲端的 Defender 方案,以啟用此 AWS 帳戶。

選取 Defender 方案

在精靈的這個區段中,您會選取想要啟用的 Microsoft Defender for Cloud 方案。

  1. 選取 [下一步: 選取方案]

    [選取方案] 索引標籤是您針對此 AWS 帳戶選擇要啟用適用於雲端的 Defender 功能的位置。 每個方案都有其專屬的權限需求,並且可能產生費用

    顯示選取 AWS 帳戶方案索引標籤的螢幕擷取畫面。

    重要

    為了呈現您建議的目前狀態,Microsoft Defender 雲端安全性態勢管理方案每天都會查詢 AWS 資源 API 數次。 這些只讀 API 呼叫不會產生任何費用,但如果您啟用讀取事件的追蹤,則會在 CloudTrail 中註冊這些呼叫。

    AWS 的文件 說明,保留一個記錄沒有額外費用。 如果您將資料從 AWS 匯出 (例如,匯出至外部 SIEM 系統),則此增加的呼叫量也可能會增加擷取成本。 在那種情況下,建議您從適用於雲端的 Defender 使用者或 ARN 角色中篩掉唯讀呼叫:arn:aws:iam::[accountId]:role/CspmMonitorAws。 (這是預設的角色名稱。請確認您帳戶上設定的角色名稱。)

  2. 根據預設,會將伺服器方案設定為 [開啟]。 此設定是將適用於伺服器的 Defender 涵蓋範圍延伸至 AWS EC2 的必要設定。 請確定您已滿足 Azure Arc 的網路需求 (部分內容可能是機器或 AI 翻譯)。

    您也可以選取 [設定] 以視需要編輯設定。

    注意

    EC2 實例或 GCP 虛擬機的個別 Azure Arc 伺服器已不存在(且狀態為 「已中斷連線或已過期」的個別 Azure Arc 伺服器會在七天后移除。 此流程會移除無關的 Azure Arc 實體,以確保只會顯示與現有執行個體相關的 Azure Arc 伺服器。

  3. 根據預設,會將容器方案設定為 [開啟]。 若要讓適用於容器的 Defender 保護 AWS EKS 叢集,這是必要的設定。 請確定您已滿足適用於容器的 Defender 方案的網路需求 (部分內容可能是機器或 AI 翻譯)。

    注意

    應該安裝已啟用 Azure Arc 的 Kubernetes、適用於 Defender 感應器的 Azure Arc 延伸模組,以及適用於 Kubernetes 的 Azure 原則。 請使用 Defender for Cloud 的建議來部署延伸模組(如果需要,還包括 Azure Arc),如保護 Amazon Elastic Kubernetes Service 叢集中所說明。

    您也可以選取 [設定] 以視需要編輯設定。 如果您選擇關閉此設定,則也將會停用 [威脅偵測 (控制平面)] 功能。 深入了解功能供應情況

  4. 根據預設,資料庫方案會設定為 [開啟]。 此設定是將適用於 SQL 的 Defender 涵蓋範圍延伸至 AWS EC2 和 RDS Custom for SQL Server 以及 RDS 上開放原始碼關聯式資料庫的必要條件。

    (選擇性) 選取 [設定] 以視需要編輯設定。 我們建議您將其設定為預設設定。

  5. 選取 [設定存取權],然後選取下列選項:

    一。 選取部署類型:

    • 預設存取:允許適用於雲端的 Defender 掃描您的資源,並自動包括未來的功能。
    • 最低權限存取:僅授予 Defender for Cloud 所選方案目前所需的權限。 如果您選擇最低許可權,您將會收到有關所有新角色及取得連接器健康狀態完整功能所需許可權的通知。

    b。 選取部署方法:AWS CloudFormationTerraform

    顯示設定存取權的部署選項和指示的螢幕擷取畫面。

    注意

    如果您選取 管理帳戶 以建立管理帳戶的連接器,則在 UI 中看不到使用 Terraform 上線的標籤,但您仍然可以使用 Terraform 上線,這與 使用 Terraform 將 AWS/GCP 環境上架到 Microsoft Defender for Cloud - Microsoft Community Hub 中提到的步驟類似。

  6. 遵循畫面上適用於所選取部署方法的指示,以在 AWS 上完成必要的相依性。 如果要將管理帳戶上線,您必須以 Stack 和 StackSet 兩種形式執行 CloudFormation 範本。 在上線之後,最晚 24 小時內會針對成員帳戶建立連接器。

  7. 選擇「下一步:檢閱並產生」。

  8. 選取 [建立]

適用於雲端的 Defender 會立即開始掃描您的 AWS 資源。 安全性建議會在數小時後顯示。

將 CloudFormation 範本部署至您的 AWS 帳戶

將 AWS 帳戶連線至適用於雲端的 Microsoft Defender 時,您會將 CloudFormation 範本部署至 AWS 帳戶。 此範本會針對連線建立所有必要的資源。

使用 Stack(或在具有管理帳戶時使用 StackSet)來部署 CloudFormation 範本。 部署範本時,堆疊建立精靈提供下列選項。

顯示 [堆疊建立精靈] 的螢幕擷取畫面,其中包含範本來源的選項。

  • Amazon S3 URL:使用您自己的安全性設定,將下載的 CloudFormation 範本上傳至您自己的 S3 貯體。 在 AWS 部署精靈中輸入 S3 儲存桶的 URL。

  • 上傳範本檔案:AWS 會自動建立用來儲存 CloudFormation 範本的 S3 貯體。 S3 貯體自動化有安全性設定錯誤,這會導致出現 S3 buckets should require requests to use Secure Socket Layer 建議。 您可以套用下列原則來補救此建議:

    { 
      "Id": "ExamplePolicy", 
      "Version": "2012-10-17", 
      "Statement": [ 
        { 
          "Sid": "AllowSSLRequestsOnly", 
          "Action": "s3:*", 
          "Effect": "Deny", 
          "Resource": [ 
            "<S3_Bucket ARN>", 
            "<S3_Bucket ARN>/*" 
          ], 
          "Condition": { 
            "Bool": { 
              "aws:SecureTransport": "false" 
            } 
          }, 
          "Principal": "*" 
        } 
      ] 
    } 
    

    注意

    在對 AWS 管理帳戶進行上線期間執行 CloudFormation StackSets 時,您可能會遇到下列錯誤訊息:You must enable organizations access to operate a service managed stack set

    此錯誤表示您尚未啟用 AWS 組織的受信任存取權。

    若要補救此錯誤訊息,您的 CloudFormation StackSets 頁面會有一則提示,其中有一個按鈕可讓您選取來啟用信任存取。 啟用信任存取之後,必須再次執行 CloudFormation 堆疊。

監視您的 AWS 資源

適用於雲端的 Defender 中的安全性建議頁面會顯示您的 AWS 資源。 您可以使用環境篩選來享受適用於雲端的 Defender 中的多重雲端功能。

若要依資源類型檢視您的資源的所有活動建議,請在雲端防護者的資產清查頁面中使用篩選功能,並篩選為您所需的 AWS 資源類型。

資產清查頁面資源類型篩選中 AWS 選項的螢幕擷取畫面。

與 Microsoft Defender XDR 整合

啟用適用於雲端的 Defender 時,系統會自動將其安全性警示整合至 Microsoft Defender 入口網站中。

適用於雲端的 Microsoft Defender 和 Microsoft Defender XDR 之間的整合,能將您的雲端環境導入 Microsoft Defender XDR 中。 現在,藉由將適用於雲端的 Defender 警示和雲端關聯性整合到 Microsoft Defender XDR,SOC 小組就能從單一介面中存取所有安全性資訊。

深入了解適用於雲端的 Defender 在 Microsoft Defender 全面偵測回應中的警示

深入了解

查看下列部落格:

清除資源

本文沒有任何資源需要清理。

下一步

與 AWS 帳戶連線是適用於雲端的 Microsoft Defender 所提供的多重雲端體驗之一: