適用於雲端的 Defender 應用程式如何協助保護您的 Amazon Web Services (AWS) 環境

  • 發行項

Amazon Web Services 是 IaaS 提供者,可讓您的組織在雲端中裝載和管理其整個工作負載。 除了利用雲端基礎結構的優點外,貴組織最重要的資產可能會暴露在威脅面前。 公開的資產包括具有潛在敏感性資訊的記憶體實例、計算資源,這些資源會操作您一些最重要的應用程式、埠和虛擬專用網,以存取您的組織。

連線 AWS 適用於雲端的 Defender Apps 可協助您保護您的資產,並藉由監視系統管理與登入活動、通知可能的暴力密碼破解攻擊、惡意使用特殊許可權用戶帳戶、異常刪除 VM,以及公開的記憶體貯體來偵測潛在威脅。

主要威脅

  • 濫用雲端資源
  • 遭入侵的帳戶和內部威脅
  • 數據外洩
  • 資源設定錯誤和訪問控制不足

適用於雲端的 Defender 應用程式如何協助保護您的環境

使用內建原則和原則範本控制 AWS

您可以使用下列內建原則範本來偵測並通知您潛在威脅:

類型 名稱
活動原則範本 管理員 主控台登入失敗
CloudTrail 設定變更
EC2 實例組態變更
IAM 原則變更
從有風險的 IP 位址登入
網路訪問控制清單 (ACL) 變更
網路閘道變更
S3 貯體活動
安全組組態變更
虛擬專用網變更
內建異常偵測原則 匿名 IP 位址的活動
非經常性國家/地區的活動
可疑 IP 位址的活動
不可能的移動
由終止使用者 執行的活動(需要 Microsoft Entra ID 作為 IdP)
多次失敗的登入嘗試
不尋常的系統管理活動
不尋常的多個記憶體刪除活動 (預覽)
多次 VM 刪除活動
不尋常的多個 VM 建立活動 (預覽)
雲端資源的 異常區域 (預覽)
檔案原則範本 S3 貯體可公開存取

如需建立原則的詳細資訊,請參閱 建立原則

自動化治理控制件

除了監視潛在威脅之外,您還可以套用並自動化下列 AWS 治理動作來補救偵測到的威脅:

類型 動作
使用者治理 - 透過 Microsoft Entra ID 通知使用者警示
- 要求使用者再次登入 (透過 Microsoft Entra ID)
- 暫停使用者 (透過 Microsoft Entra ID)
資料控管 - 將 S3 貯體設為私人
- 移除 S3 貯體的合作者

如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式

實時保護 AWS

檢閱我們的最佳做法,以 封鎖和保護敏感數據下載至非受控或具風險的裝置

連線 Amazon Web Services 適用於雲端的 Microsoft Defender Apps

本節提供使用連接器 API 將現有 Amazon Web Services (AWS) 帳戶連線到 適用於雲端的 Microsoft Defender Apps 的指示。 如需 適用於雲端的 Defender 應用程式如何保護 AWS 的資訊,請參閱保護 AWS

您可以將 AWS 安全性稽核連線連線至 適用於雲端的 Defender Apps 連線,以深入瞭解及控制 AWS 應用程式使用。

步驟 1:設定 Amazon Web Services 稽核

  1. Amazon Web Services 控制台的 [安全性]、[身分識別與合規性] 下,選取 [IAM]。

    AWS 身分識別和存取權。

  2. 選取 [ 使用者 ],然後選取 [ 新增使用者]。

    AWS 使用者。

  3. 在 [詳細數據] 步驟中,為 適用於雲端的 Defender Apps 提供新的用戶名稱。 請確定在 [存取類型] 底下,選取 [以程序設計方式存取],然後選取 [下一步許可權]。

    在 AWS 中建立使用者。

  4. 選取 [直接附加現有的原則],然後選取 [建立原則]。

    附加現有的原則。

  5. 選取 [JSON] 索引標籤:

    AWS JSON 索引標籤。

  6. 將下列指令碼貼入提供的區域:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. 選取 [下一步:標記]

    AWS 程式代碼。

  8. 選取 [下一步:檢閱]

    新增標籤(選擇性)。

  9. 提供 [名稱],然後選取 [建立原則]。

    提供 AWS 原則名稱。

  10. 回到 [ 新增使用者 ] 畫面,視需要重新整理清單,然後選取您建立的使用者,然後選取 [ 下一步:卷標]。

    在 AWS 中附加現有的原則。

  11. 選取 [下一步:檢閱]

  12. 如果所有詳細數據都正確,請選取 [ 建立使用者]。

    AWS 中的用戶權力。

  13. 當您收到成功訊息時,請選取 [下載.csv ],以儲存新使用者的認證複本。 您稍後會用到這些。

    在 AWS 中下載 csv。

    注意

    連線到 AWS 之後,您會收到連線前七天的事件。 如果您剛啟用 CloudTrail,您就會在啟用 CloudTrail 時收到事件。

步驟 2:連線 Amazon Web Services 稽核至 適用於雲端的 Defender Apps

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。

  2. 在 [應用程式連線程式] 頁面中,若要提供 AWS 連接器認證,請執行下列其中一項:

    針對新的連接器

    1. 選取 +連線 應用程式,後面接著 Amazon Web Services

      線上 AWS 稽核。

    2. 在下一個視窗中,提供連接器的名稱,然後選取 [ 下一步]。

      AWS 稽核連接器名稱。

    3. 在 [連線 Amazon Web Services] 頁面上,選取 [安全性稽核],然後選取 [下一步]。

    4. 在 [安全性稽核] 頁面上,將.csv檔案中的存取密鑰和秘密密鑰到相關欄位中,然後選取 [下一步]。

      連線 新連接器的 AWS 應用程式安全性稽核。

    針對現有的連接器

    1. 在連接器清單中,於 AWS 連接器出現的數據列上,選取 [ 編輯設定]。

      連線 應用程式頁面的螢幕快照,其中顯示 [編輯安全性稽核] 連結。

    2. 在 [實例名稱] 和 [連線 Amazon Web Services] 頁面上,選取 [下一步]。 在 [安全性稽核] 頁面上,將.csv檔案中的存取密鑰和秘密密鑰到相關欄位中,然後選取 [下一步]。

      連線 現有連接器的 AWS 應用程式安全性稽核。

  3. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 器的狀態已 連線

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證