連線 AWS 帳戶以適用於雲端的 Microsoft Defender

發行項
01/08/2024

工作負載通常會跨越多個雲端平臺。雲端安全性服務必須執行相同的動作。適用於雲端的 Microsoft Defender 有助於保護 Amazon Web Services （AWS）中的工作負載，但您需要設定它們與適用於雲端的 Defender 之間的連線。

下列螢幕快照顯示適用於雲端的 Defender 概觀儀錶板中顯示的 AWS 帳戶。

您可以從現場影片系列中的適用於雲端的 Defender 觀看適用於雲端的 Defender 影片中的新 AWS 連接器，以深入瞭解。

如需適用於雲端的 Defender 可為 AWS 資源提供之所有建議的參考清單，請參閱 AWS 資源的安全性建議 - 參考指南。

AWS 驗證程式

適用於雲端的 Microsoft Defender 與 AWS 之間會使用同盟驗證。與驗證相關的所有資源都會建立為 CloudFormation 範本部署的一部分，包括：

識別提供者（OpenID connect）
身分識別與存取管理（IAM）角色與同盟主體（已連線至識別提供者）。

跨雲端驗證程式的架構如下所示：

顯示跨雲端驗證程式的架構圖表。

適用於雲端的 Microsoft Defender CSPM 服務會使用 RS256 演算法，取得 Microsoft Entra 令牌的有效存留期為 1 小時。

Microsoft Entra 令牌會與 AWS 短期認證交換，適用於雲端的 Defender 的 CSPM 服務假設 CSPM IAM 角色（採用 Web 身分識別）。

由於角色的主體是信任關係原則中所定義的同盟身分識別，因此 AWS 身分識別提供者會透過包含下列程式的 Microsoft Entra 標識符來驗證 Microsoft Entra 令牌：

物件驗證
令牌數位簽名驗證
憑證指紋

只有在符合信任關係定義的驗證條件之後，才會假設適用於雲端的 Microsoft Defender CSPM 角色。針對角色層級定義的條件用於 AWS 內的驗證，只允許適用於雲端的 Microsoft Defender CSPM 應用程式（已驗證的物件）存取特定角色（而非任何其他 Microsoft 令牌）。

在 AWS 識別提供者驗證 Microsoft Entra 令牌之後，AWS STS 會以 CSPM 服務用來掃描 AWS 帳戶的 AWS 簡短認證交換令牌。

必要條件

若要完成本文中的程式，您需要：

Microsoft Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。
適用於雲端的 Microsoft Defender Azure 訂用帳戶上設定。
存取 AWS 帳戶。
相關 Azure 訂用帳戶的參與者許可權，以及 AWS 帳戶管理員 istrator 許可權。

注意

AWS 連接器不適用於國家政府雲端（Azure Government，由 21Vianet 營運的 Microsoft Azure）。

原生連接器計劃需求

每個方案都有自己的原生連接器需求。

適用於容器的 Defender

如果您選擇適用於容器的 Microsoft Defender 方案，您需要：

至少有一個 Amazon EKS 叢集具有存取 EKS Kubernetes API 伺服器的許可權。如果您需要建立新的 EKS 叢集，請遵循開始使用 Amazon EKS – eksctl 中的指示。
在叢集區域中建立新 Amazon SQS 佇列、Kinesis Data Firehose 傳遞數據流和 Amazon S3 貯體的資源容量。

適用於 SQL 的 Defender

如果您選擇適用於 SQL 的 Microsoft Defender 方案，您需要：

您的訂用帳戶上已啟用適用於 SQL 的 Microsoft Defender。瞭解如何保護您的資料庫。
作用中的 AWS 帳戶，具有執行 SQL Server 的 EC2 實例或 SQL Server 的 RDS 自定義。
安裝在 EC2 實例上的 Azure Arc 或適用於 SQL Server 的 RDS 自定義伺服器。

建議您使用自動布建程式，在所有現有的和未來的 EC2 實例上安裝 Azure Arc。若要啟用 Azure Arc 自動布建，您需要 相關 Azure 訂用帳戶的擁有者 許可權。

AWS 系統管理員（SSM）會使用 SSM 代理程式來管理自動布建。有些 Amazon Machine Images 已經預安裝 SSM 代理程式。如果您的 EC2 實體沒有 SSM 代理程式，請使用 Amazon 的下列指示進行安裝：安裝混合式和多重雲端環境的 SSM 代理程式（Windows）。

確定您的 SSM 代理程式具有受控原則 AmazonSSMManagedInstanceCore。它可啟用 AWS Systems Manager 服務的核心功能。

在 Azure Arc 連線的機器上啟用這些其他擴充功能：

適用於端點的 Microsoft Defender
弱點評估解決方案（TVM 或 Qualys）
Azure Arc 連線機器或 Azure 監視器代理程式上的 Log Analytics 代理程式

請確定選取的Log Analytics工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前已設定在訂用帳戶層級。相同訂用帳戶下的所有 AWS 帳戶和 Google Cloud Platform （GCP）專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

深入瞭解監視適用於雲端的 Defender元件。

適用於伺服器的 Defender

如果您選擇適用於伺服器的 Microsoft Defender 方案，您需要：

在您的訂用帳戶上啟用適用於伺服器的 Microsoft Defender。瞭解如何在啟用增強式安全性功能中啟用方案。
具有 EC2 實例的作用中 AWS 帳戶。
安裝在 EC2 實例上的 Azure Arc 伺服器。

建議您使用自動布建程式，在所有現有的和未來的 EC2 實例上安裝 Azure Arc。若要啟用 Azure Arc 自動布建，您需要 相關 Azure 訂用帳戶的擁有者 許可權。

AWS 系統管理員會使用 SSM 代理程式來管理自動布建。有些 Amazon Machine Images 已經預安裝 SSM 代理程式。如果您的 EC2 實例沒有 SSM 代理程式，請使用 Amazon 的下列任一指示進行安裝：

確定您的 SSM 代理程式具有受控原則 AmazonSSMManagedInstanceCore，其可啟用 AWS 系統管理員服務的核心功能。

您必須擁有 SSM 代理程式，才能在 EC2 電腦上自動布建 Arc 代理程式。如果 SSM 不存在，或已從 EC2 中移除，Arc 布建將無法繼續。

注意

在上線程式期間執行的 CloudFormation 範本中，會在 CloudFormation 初始執行期間存在的所有 EC2 上建立並觸發自動化程式，並每隔 30 天觸發一次。此排程掃描的目標是確保所有相關的 EC2 都有 IAM 配置檔，其中包含必要的 IAM 原則，可讓適用於雲端的 Defender 存取、管理及提供相關的安全性功能（包括 Arc 代理程式佈建）。掃描不適用於在 CloudFormation 執行之後建立的 EC2。

如果您想要在現有和未來的 EC2 實例上手動安裝 Azure Arc，請使用 EC2 實例連線到 Azure Arc 建議，以識別未安裝 Azure Arc 的實例。

在 Azure Arc 連線的機器上啟用這些其他擴充功能：

適用於端點的 Microsoft Defender
弱點評估解決方案（TVM 或 Qualys）
Azure Arc 連線機器或 Azure 監視器代理程式上的 Log Analytics 代理程式

請確定選取的Log Analytics工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前已設定在訂用帳戶層級。相同訂用帳戶下的所有 AWS 帳戶和 GCP 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

深入瞭解監視適用於雲端的 Defender元件。

注意

由於 Log Analytics 代理程式（也稱為 MMA）將於 2024 年 8 月淘汰，目前相依的所有 Defender 功能和安全性功能，包括此頁面所述的功能，都可以在淘汰日期之前透過適用於端點的 Microsoft Defender 整合或無代理程式掃描來取得。如需目前依賴Log Analytics代理程式之每個功能的藍圖詳細資訊，請參閱此公告。

適用於伺服器的 Defender 會將標籤指派給 EC2 實例上的 Azure ARC 資源，以管理自動布建程式。您必須將這些標籤正確指派給資源，適用於雲端的 Defender 才能管理這些標籤：AccountId、Cloud、 InstanceId和 MDFCSecurityConnector。

Defender CSPM

如果您選擇 Microsoft Defender CSPM 方案，您需要：

Microsoft Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
連線非 Azure 機器 AWS 帳戶。
若要取得 CSPM 方案中所有可用功能的存取權，訂用帳戶擁有者必須啟用方案。

深入瞭解如何啟用Defender CSPM。

連線 AWS 帳戶

若要使用原生連接器將 AWS 連線到適用於雲端的 Defender：

登入 Azure 入口網站。
移至 [適用於雲端的 Defender> 環境設定]。
選取 [新增環境>Amazon Web Services]。
輸入 AWS 帳戶的詳細數據，包括您儲存連接器資源的位置。

注意

（選擇性）選取 [管理帳戶 ] 以建立管理帳戶的連接器。接著會針對根據提供的管理帳戶探索到的每個成員帳戶建立連線者。所有新上線的帳戶也會啟用自動布建。

（選擇性）使用 AWS 區域下拉功能表來選取要掃描的特定 AWS 區域。默認會選取所有區域。

選取Defender方案

在精靈的本節中，您會選取要啟用適用於雲端的 Defender 方案。

選取 [ 下一步：選取方案]。

[選取方案] 索引標籤可讓您選擇要為此 AWS 帳戶啟用哪些適用於雲端的 Defender 功能。每個方案都有自己的許可權需求，而且可能會產生費用。

重要

為了呈現您建議的目前狀態，Microsoft Defender 雲端安全性態勢管理計劃會每天查詢 AWS 資源 API 數次。這些只讀 API 呼叫不會產生任何費用，但如果您已啟用讀取事件的追蹤，則會在 CloudTrail 中註冊這些呼叫。

如 AWS 檔中所述，保留一個記錄沒有額外費用。如果您要將數據從 AWS 匯出（例如，匯出至外部 SIEM 系統），此增加的呼叫量也可能會增加擷取成本。在這種情況下，我們建議從適用於雲端的 Defender 使用者或 ARN 角色篩選出只讀呼叫：arn:aws:iam::[accountId]:role/CspmMonitorAws。（這是預設角色名稱。確認您的帳戶上設定的角色名稱。
根據預設， [伺服器 ] 方案會設定為 [ 開啟]。需要此設定，才能將適用於伺服器的 Defender 涵蓋範圍延伸至 AWS EC2。請確定您符合 Azure Arc 的網路需求。

選擇性地選取 [ 設定 ] 以視需要編輯組態。

注意

EC2 實例或 GCP 虛擬機的個別 Azure Arc 伺服器已不存在（且狀態為「已中斷連線或已過期」的個別 Azure Arc 伺服器會在 7 天后移除。此程式會移除無關的 Azure Arc 實體，以確保只會顯示與現有實例相關的 Azure Arc 伺服器。
根據預設， [容器 ] 方案會設定為 [ 開啟]。需要此設定，才能讓適用於容器的Defender保護您的AWS EKS 叢集。請確定您符合適用於容器的 Defender 方案的網路需求。

注意

應安裝已啟用 Azure Arc 的 Kubernetes、適用於 Defender 的 Azure Arc 延伸模組，以及適用於 Kubernetes 的 Azure 原則。使用專用適用於雲端的 Defender 建議來部署擴充功能（如有必要，請使用 Azure Arc），如保護 Amazon Elastic Kubernetes Service 叢集中所述。

選擇性地選取 [ 設定 ] 以視需要編輯組態。如果您選擇關閉此設定， 也會停用威脅偵測（控制平面） 功能。深入瞭解功能可用性。
根據預設， [資料庫 ] 計劃會設定為 [ 開啟]。需要此設定，才能將適用於 SQL 的 Defender 涵蓋範圍延伸至 AWS EC2 和 SQL Server 的 RDS 自定義。

（選擇性）選取 [ 設定 ] 以視需要編輯組態。我們建議您將它設定為預設組態。
選取 [ 設定存取 權]，然後選取下列專案：

a. 選取部署類型：
- 默認存取：允許適用於雲端的 Defender 掃描您的資源，並自動包含未來的功能。
- 最低許可權存取：僅授與適用於雲端的 Defender 存取所選方案所需的目前許可權。如果您選取最低許可權，您會收到任何新角色和取得連接器健康情況完整功能所需的許可權通知。
b. 選取部署方法： AWS CloudFormation 或 Terraform。

注意

如果您選取 [管理帳戶] 以建立管理帳戶的連接器，則在 UI 中看不到使用 Terraform 上線的索引卷標，但您仍然可以使用 Terraform 上線，類似於將 AWS/GCP 環境上架到使用 Terraform - Microsoft Community Hub 適用於雲端的 Microsoft Defender 所涵蓋的內容。
請遵循所選部署方法的螢幕指示，以完成 AWS 上的必要相依性。如果您要將管理帳戶上線，您必須同時以 Stack 和 StackSet 身分執行 CloudFormation 範本。連線者會在上架後最多 24 小時為成員帳戶建立。
選取 [下一步：檢閱並產生]。
選取建立。

適用於雲端的 Defender 立即開始掃描 AWS 資源。安全性建議會出現在幾個小時內。

將 CloudFormation 範本部署至 AWS 帳戶

在將 AWS 帳戶連線到適用於雲端的 Microsoft Defender 時，您會將 CloudFormation 範本部署到 AWS 帳戶。此範本會建立連線所需的所有資源。

如果您有管理帳戶，請使用 Stack 部署 CloudFormation 範本（或 StackSet）。當您部署範本時，Stack 建立精靈會提供下列選項。

Amazon S3 URL：使用您自己的安全性設定，將下載的 CloudFormation 範本上傳至您自己的 S3 貯體。在 AWS 部署精靈中輸入 S3 貯體 URL。
上傳範本檔案：AWS 會自動建立儲存 CloudFormation 範本的 S3 貯體。 S3 貯體自動化具有安全性設定錯誤，導致 S3 buckets should require requests to use Secure Socket Layer 建議出現。您可以套用下列原則來補救此建議：
```
{ 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 
```
注意

在上線 AWS 管理帳戶時執行 CloudFormation StackSet 時，您可能會遇到下列錯誤訊息： You must enable organizations access to operate a service managed stack set

此錯誤表示您尚未啟用 AWS 組織的受信任存取權。

若要補救此錯誤訊息，您的 CloudFormation StackSets 頁面會提示您輸入按鈕，讓您選取以啟用信任的存取權。啟用信任存取之後，必須再次執行 CloudFormation Stack。

監視 AWS 資源

適用於雲端的 Defender 中的安全性建議頁面會顯示您的 AWS 資源。您可以使用環境篩選來享受適用於雲端的 Defender 中的多重雲端功能。

若要依資源類型檢視您資源的所有使用中建議，請使用適用於雲端的 Defender 中的資產清查頁面，並篩選至您感興趣的AWS資源類型。

與 Microsoft Defender 全面偵測回應整合

當您啟用適用於雲端的 Defender 時，適用於雲端的 Defender 警示會自動整合到 Microsoft Defender 入口網站中。無需採取進一步的步驟。

適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應之間的整合，讓您的雲端環境 Microsoft Defender 全面偵測回應。透過整合至 Microsoft Defender 全面偵測回應適用於雲端的 Defender 警示和雲端相互關聯，SOC 小組現在可以從單一介面存取所有安全性資訊。

深入瞭解 Microsoft Defender 全面偵測回應中的適用於雲端的 Defender 警示。

深入了解

請參閱下列部落格：

清除資源

不需要清除本文的任何資源。

下一步

連線 AWS 帳戶是適用於雲端的 Microsoft Defender 中可用的多重雲端體驗的一部分：

使用適用於雲端的 Defender 保護所有資源。
設定您的內部部署機器和 GCP 專案。
取得有關將 AWS 帳戶上線的常見問題的解答。
針對多重雲端連接器進行疑難解答。

連線 AWS 帳戶以 適用於雲端的 Microsoft Defender