Cómo Defender for Cloud Apps ayuda a proteger el entorno de Amazon Web Services (AWS)

Amazon Web Services es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas de aprovechar la infraestructura en la nube, los recursos más críticos de la organización pueden exponerse a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, puertos y redes privadas virtuales más críticas que permiten el acceso a su organización.

La conexión de AWS a Defender for Cloud Apps le ayuda a proteger sus recursos y detectar posibles amenazas mediante la supervisión de actividades administrativas y de inicio de sesión, la notificación de posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios, eliminaciones inusuales de máquinas virtuales y cubos de almacenamiento expuestos públicamente.

Principales amenazas

• Abuso de recursos en la nube
• Cuentas en peligro y amenazas internas
• Pérdida de datos
• Configuración incorrecta de recursos y control de acceso insuficiente

Cómo Defender for Cloud Apps ayuda a proteger el entorno

• Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
• Limitar la exposición de los datos compartidos y aplicar directivas de colaboración
• Usar la pista de auditoría de actividades para investigaciones forenses

Control de AWS con directivas integradas y plantillas de directiva

Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle sobre posibles amenazas:

Tipo	Nombre
Plantilla de directiva de actividad	Administración errores de inicio de sesión en la consola Cambios de configuración de CloudTrail Cambios en la configuración de la instancia ec2 Cambios en la directiva de IAM Inicio de sesión desde una dirección IP de riesgo Cambios en la lista de control de acceso de red (ACL) Cambios en la puerta de enlace de red Actividad del cubo S3 Cambios en la configuración del grupo de seguridad Cambios en la red privada virtual
Directiva de detección de anomalías integrada	Actividad desde direcciones IP anónimas Actividad desde países o regiones poco frecuentes Actividad de direcciones IP sospechosas Desplazamiento imposible Actividad realizada por el usuario terminado (requiere Microsoft Entra ID como IdP) Intentos de varios inicios de sesión fallidos Actividades administrativas inusuales Actividades inusuales de eliminación de almacenamiento múltiple (versión preliminar) Actividades de eliminación de varias máquinas virtuales Actividades inusuales de creación de varias máquinas virtuales (versión preliminar) Región inusual para el recurso en la nube (versión preliminar)
Plantilla de directiva de archivo	El cubo S3 es accesible públicamente

Para obtener más información sobre cómo crear directivas, vea Crear una directiva.

Automatización de controles de gobernanza

Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de AWS para corregir las amenazas detectadas:

Tipo	Acción
Gobernanza del usuario	- Notificar al usuario en alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender usuario (a través de Microsoft Entra ID)
Gobierno de datos	- Hacer que un cubo S3 sea privado - Eliminación de un colaborador para un cubo de S3

Para obtener más información sobre cómo corregir las amenazas de las aplicaciones, consulte Administración de aplicaciones conectadas.

Protección de AWS en tiempo real

Revise nuestros procedimientos recomendados para bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.

Conexión de Amazon Web Services a Microsoft Defender for Cloud Apps

En esta sección se proporcionan instrucciones para conectar la cuenta de Amazon Web Services (AWS) existente a Microsoft Defender for Cloud Apps mediante las API del conector. Para obtener información sobre cómo Defender for Cloud Apps protege AWS, consulte Protección de AWS.

Puede conectar la auditoría de seguridad de AWS a conexiones Defender for Cloud Apps para obtener visibilidad y control sobre el uso de aplicaciones de AWS.

Paso 1: Configuración de la auditoría de Amazon Web Services

1. En la consola de Amazon Web Services, en Seguridad, Identidad & Cumplimiento, seleccione IAM.

   

2. Seleccione Usuarios y, después, Agregar usuario.

   

3. En el paso Detalles, proporcione un nuevo nombre de usuario para Defender for Cloud Apps. Asegúrese de que en Tipo de acceso seleccione Acceso mediante programación y seleccione Permisos siguientes.

   

4. Seleccione Asociar directivas existentes directamente y, a continuación, Crear directiva.

   

5. Seleccione la pestaña JSON :

   

6. Pegue el siguiente script en el área proporcionada:

   {
     "Version" : "2012-10-17",
     "Statement" : [{
         "Action" : [
           "cloudtrail:DescribeTrails",
           "cloudtrail:LookupEvents",
           "cloudtrail:GetTrailStatus",
           "cloudwatch:Describe*",
           "cloudwatch:Get*",
           "cloudwatch:List*",
           "iam:List*",
           "iam:Get*",
           "s3:ListAllMyBuckets",
           "s3:PutBucketAcl",
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Effect" : "Allow",
         "Resource" : "*"
       }
     ]
    }
   

7. Seleccione Siguiente: Etiquetas

   

8. Seleccione Siguiente: Revisar.

   

9. Proporcione un nombre y seleccione Crear directiva.

   

10. De nuevo en la pantalla Agregar usuario , actualice la lista si es necesario, seleccione el usuario que creó y seleccione Siguiente: Etiquetas.

    

11. Seleccione Siguiente: Revisar.

12. Si todos los detalles son correctos, seleccione Crear usuario.

    

13. Cuando reciba el mensaje correcto, seleccione Descargar .csv para guardar una copia de las credenciales del nuevo usuario. Las necesitarás más tarde.

    

    Nota:

    Después de conectar AWS, recibirá eventos durante siete días antes de la conexión. Si acaba de habilitar CloudTrail, recibirá eventos desde el momento en que ha habilitado CloudTrail.

Paso 2: Conexión de la auditoría de Amazon Web Services a Defender for Cloud Apps

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.

2. En la página Conectores de aplicaciones, para proporcionar las credenciales del conector de AWS, realice una de las siguientes acciones:

   Para un nuevo conector

   1. Seleccione +Conectar una aplicación, seguida de Amazon Web Services.

      

   2. En la ventana siguiente, proporcione un nombre para el conector y, a continuación, seleccione Siguiente.

      

   3. En la página Conectar Amazon Web Services , seleccione Auditoría de seguridad y, a continuación, seleccione Siguiente.

   4. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.

      

   Para un conector existente

   1. En la lista de conectores, en la fila en la que aparece el conector de AWS, seleccione Editar configuración.

      

   2. En las páginas Nombre de instancia y Conectar Amazon Web Services , seleccione Siguiente. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.

      

3. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicaciones conectado es Conectado.

Pasos siguientes

Controlar las aplicaciones en la nube con directivas

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.