Freigeben über


Aktivieren von Defender für relationale Open-Source-Datenbanken in AWS (Vorschau)

Für die folgenden RDS-Instanztypen erkennt Microsoft Defender for Cloud anomale Aktivitäten in Ihrer AWS-Umgebung, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese unbefugt zu nutzen:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

Um Benachrichtigungen vom Microsoft Defender-Plan zu erhalten, müssen Sie die Anweisungen auf dieser Seite befolgen, um Defender für relationale Open-Source-Datenbanken in AWS zu aktivieren.

Der Plan für Defender für relationale Open-Source-Datenbanken in AWS beinhaltet auch die Möglichkeit, vertrauliche Daten in Ihrem Konto zu ermitteln und die Defender for Cloud-Umgebung mit den Ergebnissen anzureichern. Dieses Feature ist auch in Defender CSPM enthalten.

Weitere Informationen zu diesem Microsoft Defender-Plan finden Sie unter Übersicht zu Microsoft Defender für relationale Open-Source-Datenbanken.

Voraussetzungen

  • Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

  • Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

  • Mindestens ein verbundenes AWS-Konto mit erforderlichem Zugriff und erforderlichen Berechtigungen.

  • Regionale Verfügbarkeit: Alle öffentlichen AWS-Regionen (ausgenommen Tel Aviv, Mailand, Jakarta, Spanien und Bahrain).

Aktivieren von Defender für relationale Open-Source-Datenbanken

  1. Melden Sie sich beim Azure-Portal

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie Umgebungseinstellungen.

  4. Wählen Sie das entsprechende AWS-Konto aus.

  5. Suchen Sie den Datenbankplan, und wählen Sie Einstellungen aus.

    Screenshot: Seite mit AWS-Umgebungseinstellungen, auf der gezeigt wird, wo sich die Schaltfläche „Einstellungen“ befindet

  6. Legen Sie die Umschaltfläche für relationale Open-Source-Datenbanken auf Ein fest.

    Screenshot: Festlegen der Umschaltfläche für relationalen Open-Source-Datenbanken auf „Ein“

    Hinweis

    Wenn Sie die relationalen Open-Source-Datenbanken aktivieren, wird auch die Ermittlung vertraulicher Daten aktiviert. Dabei handelt es sich um ein freigegebenes Feature mit Ermittlung vertraulicher Daten von Defender CSPM für RDS (Relational Database Service, relationaler Datenbankdienst).

    Screenshot: Seite „Einstellungen“ für Defender CSPM und aktivierte Ermittlung vertraulicher Daten für die geschützten Ressourcen

    Erfahren Sie mehr über die Ermittlung vertraulicher Daten in AWS RDS-Instanzen.

  7. Wählen Sie Zugriff konfigurieren aus.

  8. Wählen Sie im Abschnitt „Bereitstellungsmethode“ die Option Herunterladen aus.

  9. Befolgen Sie den Updatestapel in den AWS-Anweisungen. Dieser Vorgang erstellt oder aktualisiert die CloudFormation-Vorlage mit den erforderlichen Berechtigungen.

  10. Aktivieren Sie das Kontrollkästchen, dass die CloudFormation-Vorlage in der AWS-Umgebung (Stapel) aktualisiert wurde.

  11. Wählen Sie Überprüfen und generieren aus.

  12. Überprüfen Sie die angezeigten Informationen, und wählen Sie Aktualisieren aus.

Defender for Cloud nimmt automatisch Änderungen an den Parameter- und Optionsgruppeneinstellungen vor.

Erforderliche Berechtigungen für die Rolle „DefenderForCloud-DataThreatProtectionDB“

Die folgende Tabelle enthält eine Liste der erforderlichen Berechtigungen, die der Rolle zugewiesen wurden, die erstellt oder aktualisiert wurde, als Sie die CloudFormation-Vorlage heruntergeladen und den AWS-Stapel aktualisiert haben.

Hinzugefügte Berechtigung Beschreibung
rds:AddTagsToResource Fügt ein Tag zur erstellten Optionsgruppe und Parametergruppe hinzu.
rds:DescribeDBClusterParameters Beschreibt die Parameter innerhalb der Clustergruppe.
rds:CreateDBParameterGroup Erstellt eine Datenbankparametergruppe.
rds:ModifyOptionGroup Ändert eine Option innerhalb der Optionsgruppe.
rds:DescribeDBLogFiles Beschreibt die Protokolldatei.
rds:DescribeDBParameterGroups Beschreibt die Datenbankparametergruppe.
rds:CreateOptionGroup Erstellt eine Optionsgruppe.
rds:ModifyDBParameterGroup Ändert einen Parameter in der Datenbankparametergruppe.
rds:DownloadDBLogFilePortion Lädt die Protokolldatei herunter.
rds:DescribeDBInstances Beschreibt die Datenbank.
rds:ModifyDBClusterParameterGroup Ändert den Clusterparameter innerhalb der Clusterparametergruppe.
rds:ModifyDBInstance Ändert Datenbanken, um bei Bedarf eine Parametergruppe oder Optionsgruppe zuzuweisen.
rds:ModifyDBCluster Ändert einen Cluster, um bei Bedarf eine Clusterparametergruppe zuzuweisen.
rds:DescribeDBParameters Beschreibt die Parameter innerhalb der Datenbankgruppe.
rds:CreateDBClusterParameterGroup Erstellt eine Clusterparametergruppe.
rds:DescribeDBClusters Beschreibt den Cluster.
rds:DescribeDBClusterParameterGroups Beschreibt die Clusterparametergruppe.
rds:DescribeOptionGroups Beschreibt die Optionsgruppe.

Betroffene Parameter- und Optionsgruppeneinstellungen

Wenn Sie Defender für relationale Open-Source-Datenbanken in Ihren RDS-Instanzen aktivieren, aktiviert Defender for Cloud automatisch die Überwachung mithilfe von Überwachungsprotokollen, um Zugriffsmuster für Ihre Datenbank nutzen und analysieren zu können.

Jedes Managementsystem für relationale Datenbanken oder jeder Diensttyp haben eigene Konfigurationen. In der folgenden Tabelle werden die Konfigurationen beschrieben, die von Defender for Cloud betroffen sind (Sie müssen diese Konfigurationen nicht manuell festlegen, die Tabelle dient lediglich als Referenz).

type Parameter Wert
PostgreSQL und Aurora PostgreSQL log_connections 1
PostgreSQL und Aurora PostgreSQL log_disconnections 1
Aurora MySQL-Clusterparametergruppe server_audit_logging 1
Aurora MySQL-Clusterparametergruppe server_audit_events - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT, QUERY aufzunehmen.
- Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT, QUERY hinzu.
Aurora MySQL-Clusterparametergruppe server_audit_excl_users Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen.
Aurora MySQL-Clusterparametergruppe server_audit_incl_users - Wenn der Parameter mit einem Wert und „rdsadmin“ als Teil der Einschließung vorhanden ist, ist er nicht in SERVER_AUDIT_EXCL_USER vorhanden, und der Wert der Einschließung ist leer.

Für MySQL und MariaDB ist eine Optionsgruppe mit den folgenden Optionen für MARIADB_AUDIT_PLUGIN erforderlich. (Wenn die Option nicht vorhanden ist’, fügen Sie sie hinzu. Wenn die Option vorhanden ist, erweitern Sie die Werte in der Option.)

Name der Option Wert
SERVER_AUDIT_EVENTS - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT aufzunehmen.
- Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT hinzu.
SERVER_AUDIT_EXCL_USER Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen.
SERVER_AUDIT_INCL_USERS Wenn der Parameter mit einem Wert und „rdsadmin“ als Teil der Einschließung vorhanden ist, ist er nicht in SERVER_AUDIT_EXCL_USER vorhanden, und der Wert der Einschließung ist leer.

Wichtig

Möglicherweise müssen Sie Ihre Instanzen neu starten, um die Änderungen zu übernehmen.

Wenn Sie die Standardparametergruppe verwenden, wird eine neue Parametergruppe erstellt, die die erforderlichen Parameteränderungen mit dem Präfix defenderfordatabases* enthält.

Wenn eine neue Parametergruppe erstellt wurde oder statische Parameter aktualisiert wurden, werden sie erst wirksam, wenn die Instanz neu gestartet wird.

Hinweis

Nächster Schritt