Dela via

Ansluta AWS-konton till Microsoft Defender för molnet

Arbetsbelastningar omfattar ofta flera molnplattformar, så molnsäkerhetstjänster måste göra detsamma. Microsoft Defender för molnet hjälper till att skydda arbetsbelastningar i Amazon Web Services (AWS), men du måste konfigurera anslutningen mellan dem och Defender för molnet.

Följande skärmbild visar AWS-konton som visas på översiktsinstrumentpanelen för Defender för molnet.

Skärmbild som visar fyra AWS-projekt som visas på översiktsinstrumentpanelen i Defender för molnet.

Du kan lära dig mer genom att titta på nya AWS-kopplaren i Defender för molnet videon från Defender för moln i fältet-videoserien.

Anteckning

Om du har ett AWS-konto som är anslutet till Microsoft Sentinel kan du inte ansluta det till Defender för molnet. Följ anvisningarna på Anslut ett Sentinel-anslutet AWS-konto till Defender för molnet för att säkerställa att anslutningsappen fungerar korrekt.

AWS-autentiseringsprocess

Defender for Cloud och AWS använder federerad autentisering. Alla resurser som är relaterade till autentisering skapas som en del av distributionen av CloudFormation-mallen, inklusive:

  • En identitetsprovider (OpenID Connect)
  • Identitets- och åtkomsthantering-roller (IAM) med en federerad part (ansluten till identitetsleverantörer)

Arkitekturen för autentiseringsprocessen mellan moln omfattar:

Diagram som visar arkitekturen för autentiseringsprocessen i moln.

Defender for Cloud CSPM-tjänsten hämtar en Entra-token med en giltighetstid på 1 timme, signerad av Entra-ID med RS256-algoritmen.

Entra-token byts ut mot AWS-kortvariga autentiseringsuppgifter, och Defender for Clouds CSPM-tjänst antar CSPM IAM-rollen (genom webbaserad identitet).

Eftersom huvudkällan av rollen är en federerad identitet definierad i en policy för förtroendesrelation verifierar identitetsprovidern från AWS Entra-token mot Entra-ID genom en process som omfattar:

  • målgruppsverifiering
  • validering av token för digital signatur
  • certifikatets tumavtryck

CSPM-rollen för Defender for Cloud antas först efter att valideringsvillkoren som definierats i förtroenderelationen har uppfyllts. De villkor som definierats för rollnivån används för validering inom AWS och tillåter endast Microsoft Defender för molnet CSPM-program (validerad målgrupp) åtkomst till den specifika rollen (och inte någon annan Microsoft-token).

När Entra-token har verifierats av AWS-identitetsprovidern byter AWS STS ut token med AWS-kortlivade autentiseringsuppgifter som CSPM-tjänsten använder för att skanna AWS-kontot.

Förutsättningar

För att slutföra procedurerna i den här artikeln behöver du:

Anteckning

AWS-anslutningstjänsten är inte tillgänglig i nationella myndighetsmoln (Azure Government, Microsoft Azure som drivs av 21Vianet).

Krav för intern anslutningsplan

Varje plan har sina egna krav för den inbyggda anslutningen.

Om du väljer Microsoft Defender for Containers-planen behöver du:

  • Minst ett Amazon EKS-kluster med behörighet att komma åt EKS Kubernetes API-servern. Om du behöver skapa ett nytt EKS-kluster följer du anvisningarna i Komma igång med Amazon EKS – eksctl.
  • Resurskapaciteten för att skapa en ny Amazon SQS-kö, Kinesis Data Firehose leveransström och Amazon S3-bucket i klustrets region.

Anslut ditt AWS-konto

Viktigt!

Om ditt AWS-konto redan är anslutet till Microsoft Sentinel kan du inte ansluta det till Defender för molnet. Följ anvisningarna på Anslut ett Sentinel-anslutet AWS-konto till Defender för molnet för att säkerställa att anslutningsappen fungerar korrekt.

Så här ansluter du AWS till Defender för molnet med hjälp av en intern anslutningsapp:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Miljöinställningar.

  3. Välj Lägg till miljö>Amazon Web Services.

    Skärmbild som visar hur du ansluter ett AWS-konto till en Azure-prenumeration.

  4. Ange information om AWS-kontot, inklusive platsen där du lagrar anslutningsresursen.

    Skärmbild som visar fliken för att ange kontoinformation för ett AWS-konto.

    Med listrutan AWS-regioner kan du välja de regioner som Defender för molnet gör API-anrop till. Varje region som är avmarkerad från listrutan innebär att Defender för molnet inte gör API-anrop till dessa regioner.

  5. Välj ett intervall för att skanna AWS-miljön var 4:e, 6:e, 12:e eller 24:e timme.

    Vissa datainsamlare körs med fasta genomsökningsintervall och påverkas inte av anpassade intervallkonfigurationer. I följande tabell visas de fasta genomsökningsintervallen för varje exkluderad datainsamlare:

    Namn på datainsamlare Genomsökningsintervall
    EC2Instance
    ECRImage
    ECRRepository
    RDSDBInstance
    S3Bucket
    Taggar för S3-bucket
    S3Region
    EKSCluster
    EKS-klusternamn
    EKSNodegroup
    EKSNodegroupName
    AutoScalingAutoScalingGroup    		 1 timme
    EcsClusterArn
    EcsService
    EcsServiceArn
    EcsTaskDefinition
    EcsTaskDefinitionArn
    EcsTaskDefinitionTags (Taggar för Ecs-uppgiftsdefinition)
    AwsPolicyVersion
    LokalPolicyVersion
    AwsEntitiesForPolicy
    LokalaEntitiesFörPolicy
    BucketEncryption
    BucketPolicy
    S3OffentligÅtkomstblockeringKonfiguration
    BucketVersioning
    S3Livscykelkonfiguration
    Status för bucketpolicy
    S3ReplicationConfiguration
    Åtkomstkontrolllista för S3
    S3BucketLoggingConfig
    Konfiguration för blockering av offentlig åtkomst    		 12 timmar

    Anteckning

    (Valfritt) Välj Hanteringskonto för att skapa en anslutning till ett hanteringskonto. Anslutningar skapas sedan för varje medlemskonto som upptäcks under det angivna hanteringskontot. Automatiserad distribution är också aktiverad för alla nyligen registrerade konton.

    (Valfritt) Använd listrutan AWS-regioner för att välja specifika AWS-regioner som ska genomsökas. Alla regioner är markerade som standard.

Granska sedan och välj de Defender for Cloud-planer som ska aktiveras för det här AWS-kontot.

Välj Defender-planer

I det här avsnittet av guiden väljer du de Defender för moln-planer som du vill aktivera.

  1. Välj Nästa: Välj planer.

    Fliken Välj planer är den plats där du väljer vilka Defender för molnet funktioner som ska aktiveras för det här AWS-kontot. Varje plan har sina egna behörighetskrav och kan medföra avgifter.

    Skärmbild som visar fliken för att välja planer för ett AWS-konto.

    Viktigt!

    För att presentera den aktuella statusen för dina rekommendationer använder Microsoft Defender för hantering av molnsäkerhetsläge API:erna för AWS-resurser flera gånger om dagen. Dessa endast läshanterade API-anrop medför inga avgifter, men de registreras i CloudTrail om du aktiverar en spårning av läshändelser.

    AWS dokumentation förklarar att det inte finns några extra avgifter för att hålla ett spår. Om du exporterar data från AWS (till exempel till ett externt SIEM-system) kan den ökade anropsvolymen också öka kostnaderna för inmatning. I sådana fall rekommenderar vi att du filtrerar bort skrivskyddade anrop från Defender för molnet-användaren eller ARN-rollen: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Det här är standardrollnamnet. Bekräfta det rollnamn som konfigurerats för ditt konto.)

  2. Som standardläge är serverplanen inställd på "På". Den här inställningen är nödvändig för att utöka täckningen för Defender för servrar till AWS EC2. Se till att du uppfyller nätverkskraven för Azure Arc.

    Du kan också välja Konfigurera för att redigera konfigurationen efter behov.

    Anteckning

    Respektive Azure Arc-servrar för EC2-instanser eller virtuella GCP-datorer som inte längre finns (och respektive Azure Arc-servrar med statusen Frånkopplad eller Förfallen) tas bort efter sju dagar. Den här processen tar bort irrelevanta Azure Arc-entiteter för att säkerställa att endast Azure Arc-servrar som är relaterade till befintliga instanser visas.

  3. Som standard är containerplanen inställd på På. Den här inställningen är nödvändig för att Defender for Containers ska skydda dina AWS EKS-kluster. Se till att du uppfyller nätverkskraven för Defender for Containers-planen.

    Anteckning

    Azure Arc-aktiverade Kubernetes, Azure Arc-tilläggen för Defender-sensorn och Azure Policy for Kubernetes bör installeras. Använd dedikerade rekommendationer från Defender för Cloud för att distribuera tilläggen (och Azure Arc, om det behövs), enligt beskrivningen i Skydda kluster i Amazon Elastic Kubernetes Service.

    Du kan också välja Konfigurera för att redigera konfigurationen efter behov. Om du väljer att inaktivera den här konfigurationen kommer funktionen Hotidentifiering (kontrollplanet) även att inaktiveras. Läs mer om funktionstillgänglighet.

  4. Som standard är databasplanen inställd på På. Den här inställningen är nödvändig för att utöka täckningen för Defender för SQL till AWS EC2 och RDS Custom för SQL Server och relationsdatabaser med öppen källkod på RDS.

    (Valfritt) Välj Konfigurera för att redigera konfigurationen efter behov. Vi rekommenderar att du låter den vara inställd på standardkonfigurationen.

  5. Välj Konfigurera åtkomst och välj följande:

    a. Välj en distributionstyp:

    • Standardåtkomst: Tillåter att Defender för molnet genomsöker dina resurser och automatiskt inkluderar framtida funktioner.
    • Åtkomst med minst behörighet: Beviljar endast Defender för molnet åtkomst till de aktuella behörigheter som krävs för de valda planerna. Om du väljer de minst privilegierade behörigheterna får du meddelanden om nya roller och behörigheter som krävs för att få fullständig funktionalitet för anslutningstjänstens hälsa.

    b) Välj en distributionsmetod: AWS CloudFormation eller Terraform.

    Skärmbild som visar distributionsalternativ och instruktioner för att konfigurera åtkomst.

    Anteckning

    Om du väljer Hanteringskonto för att skapa en anslutning till ett hanteringskonto, då visas inte fliken som används för att registrera med Terraform i användargränssnittet, men du kan fortfarande använda Terraform för att registrera, som beskrivs i Onboarding din AWS/GCP-miljö till Microsoft Defender för molnet med Terraform – Microsoft Community Hub.

  6. Följ anvisningarna på skärmen för den valda distributionsmetoden för att slutföra de nödvändiga beroendena på AWS. Om du registrerar ett hanteringskonto måste du köra CloudFormation-mallen både som Stack och som StackSet. Anslutningsappar skapas för medlemskontona upp till 24 timmar efter registreringen.

  7. Välj Nästa: Granska och generera.

  8. Välj Skapa.

Defender för molnet börjar omedelbart genomsöka dina AWS-resurser. Säkerhetsrekommendationer visas inom några timmar.

Distribuera en CloudFormation-mall till ditt AWS-konto

Som en del av att ansluta ett AWS-konto till Microsoft Defender för molnet distribuerar du en CloudFormation-mall till AWS-kontot. Den här mallen skapar alla nödvändiga resurser för anslutningen.

Distribuera CloudFormation-mallen med hjälp av Stack (eller StackSet om du har ett hanteringskonto). När du distribuerar mallen erbjuder guiden Skapa stack följande alternativ.

Skärmbild som visar guiden Skapa stack med alternativ för mallkällor.

  • Amazon S3 URL: Ladda upp den nedladdade CloudFormation-mallen till din egen S3-bucket med dina egna säkerhetskonfigurationer. Ange URL:en till S3-bucketen i AWS-distributionsguiden.

  • Ladda upp en mallfil: AWS skapar automatiskt en S3-bucket som CloudFormation-mallen sparas till. Automatiseringen för S3-bucketen har en säkerhetsfelkonfiguration som gör att rekommendationen S3 buckets should require requests to use Secure Socket Layer visas. Du kan åtgärda den här rekommendationen genom att tillämpa följande princip:

    { 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 

    Anteckning

    När du kör CloudFormation StackSets när du registrerar ett AWS-hanteringskonto kan följande felmeddelande visas: You must enable organizations access to operate a service managed stack set

    Det här felet anger att du inte har aktiverat betrodd åtkomst för AWS-organisationer.

    För att åtgärda det här felmeddelandet har sidan CloudFormation StackSets en uppmaning med en knapp som du kan välja för att aktivera betrodd åtkomst. När betrodd åtkomst har aktiverats måste CloudFormation Stack köras igen.

Övervaka dina AWS-resurser

Sidan säkerhetsrekommendationer i Defender för molnet visar dina AWS-resurser. Du kan använda miljöfiltret för att få funktioner för flera moln i Defender för molnet.

Om du vill visa alla aktiva rekommendationer för dina resurser efter resurstyp använder du sidan tillgångsinventering i Defender för molnet och filtrerar efter den AWS-resurstyp som du är intresserad av.

Skärmbild av AWS-alternativ i resursinventeringssidans resurstypfilter.

Visa din aktuella täckning

Defender for Cloud ger åtkomst till arbetsböcker via Azure-arbetsböcker. Arbetsböcker är anpassningsbara rapporter som ger insikter om din säkerhetsstatus.

Arbetsboken för täckning hjälper dig att förstå din aktuella täckning genom att visa vilka planer som är aktiverade för dina prenumerationer och resurser.

Integrera med Microsoft Defender XDR

När du aktiverar Defender för molnet integreras dess säkerhetsaviseringar automatiskt i Microsoft Defender-portalen.

Integreringen mellan Microsoft Defender för molnet och Microsoft Defender XDR för dina molnmiljöer till Microsoft Defender XDR. Med Defender för molnet aviseringar och molnkorrelationer integrerade i Microsoft Defender XDR kan SOC-team nu komma åt all säkerhetsinformation från ett enda gränssnitt.

Läs mer om Defender för molnet aviseringar i Microsoft Defender XDR.

Läs mer

Kolla in följande bloggar:

Rensa resurser

Du behöver inte rensa några resurser för den här artikeln.

Nästa steg

Att ansluta ditt AWS-konto är en del av den multimolnupplevelse som är tillgänglig i Microsoft Defender för molnet: