Connectez vos comptes AWS

Effectué

L’intégration de votre compte AWS dans Microsoft Defender pour le cloud, intègre AWS Security Hub et Defender pour le cloud. Defender pour le cloud offre ainsi une visibilité et une protection dans ces deux environnements cloud dans le but de fournir :

  • Le provisionnement automatique des agents (Defender pour le cloud utilise Azure Arc pour déployer l’agent Log Analytics sur vos instances AWS)

  • Gestion des stratégies

  • Gestion des vulnérabilités

  • Détection de point de terminaison et réponse incorporée (EDR)

  • Détection des erreurs de configuration de sécurité

  • Une vue unique présentant les recommandations de Defender pour le cloud et les découvertes d’AWS Security Hub

  • L’incorporation de vos ressources AWS dans les calculs de score sécurisés de Defender pour le cloud

  • Évaluations de conformité réglementaire de vos ressources AWS

Dans la capture d’écran ci-dessous, vous pouvez voir les comptes AWS affichés dans le tableau de bord de vue d’ensemble de Security Center.

Screenshot of the A W S account overview settings.

Suivez les étapes ci-dessous pour créer votre connecteur cloud AWS.

Configurer AWS Security Hub :

Pour afficher les recommandations de sécurité pour plusieurs régions, répétez les étapes suivantes pour chaque région concernée. Si vous utilisez un compte principal AWS, répétez les trois étapes suivantes pour configurer le compte principal et tous les comptes de membres connectés dans toutes les régions concernées

  1. Activez Configuration d’AWS.

  2. Activer AWS Security Hub.

  3. Vérifiez que des données sont transmises à Security Hub.

Lorsque vous activez Security Hub pour la première fois, plusieurs heures peuvent être nécessaires pour que les données soient disponibles.

Configurer l’authentification pour Security Center dans AWS

Il existe deux façons d’autoriser Defender pour le cloud à s’authentifier auprès de AWS :

  • Créer un rôle IAM pour Defender pour le cloud : il s’agit de la méthode la plus sécurisée et donc de celle qui est recommandée

  • Utilisateur AWS pour Defender pour le cloud : option moins sécurisée si IAM n’est pas activé

Créer un rôle IAM pour Defender pour le cloud :

Depuis votre console Amazon Web Services, sous Security, Identity & Compliance (Sécurité, identité et conformité), sélectionnez IAM.

  1. Sélectionnez Rôles et Créer un rôle.

  2. Sélectionnez Another AWS account (Autre compte AWS).

  3. Entrez les informations suivantes :

    • ID de compte : entrez l’ID de compte Microsoft (158177204117) comme indiqué sur la page du connecteur AWS dans Security Center.

    • Exiger un ID externe : doit être sélectionné

    • ID externe : entrez l’ID d’abonnement comme indiqué sur la page du connecteur AWS dans Security Center

  4. Sélectionnez Suivant.

  5. Dans la section Attacher des stratégies d’autorisation, sélectionnez les stratégies suivantes :

    • SecurityAudit

    • AmazonSSMAutomationRole

    • AWSSecurityHubReadOnlyAccess

  6. Ajoutez des étiquettes si vous le souhaitez. L’ajout d’étiquettes à l’utilisateur n’affecte pas la connexion.

  7. Sélectionnez Suivant.

  8. Dans la liste Rôles, choisissez le rôle que vous avez créé

  9. Enregistrez le Nom de ressource Amazon (ARN) pour plus tard.

Configurer l’agent SSM

AWS Systems Manager est requis pour l’automatisation des tâches entre vos ressources AWS. Si vos instances EC2 ne disposent pas de l’agent SSM, suivez les instructions correspondantes d’Amazon :

Satisfaire les prérequis Azure Arc

Vérifiez que les fournisseurs de ressources Azure appropriés sont enregistrés :

  • Microsoft.HybridCompute

  • Microsoft.GuestConfiguration

Créez un principal de service pour une intégration à grande échelle. En tant que propriétaire de l’abonnement que vous souhaitez utiliser pour l’intégration, créez un principal de service pour l’intégration d’Azure Arc, comme décrit dans Créer un principal de service pour une intégration à grande échelle.

Connecter AWS à Defender pour le cloud

À partir du menu de Defender pour le cloud, sélectionnez Solutions de sécurité, puis sélectionnez Connecteurs multicloud.

Sélectionnez Ajouter un compte AWS.

Configurez les options dans l’onglet Authentification AWS :

  1. Entrez un nom d’affichage pour le connecteur.

  2. Confirmez que l’abonnement est correct. Il s’agit de l’abonnement qui comprend le connecteur et les recommandations d’AWS Security Hub.

  3. Selon l'option d'authentification que vous avez choisie à l'étape 2. Configurez l’authentification pour Security Center dans AWS :

    • Sélectionnez Prendre le rôle et collez l’ARN obtenu à partir de Créer un rôle IAM pour Security Center. Collage du fichier ARN dans le champ approprié de l’Assistant de connexion AWS sur le portail Azure

    or

    • Sélectionnez Informations d’identification et collez la clé d’accès et la clé secrète à partir du fichier .csv que vous avez enregistré dans Créer un utilisateur AWS pour Security Center.
  4. Sélectionnez Suivant.

  5. Configurez les options dans l’onglet Configuration d’Azure Arc :

    • Defender pour le cloud découvre les instances EC2 dans le compte AWS connecté et utilise SSM pour les intégrer à Azure Arc.

    • Sélectionnez le groupe de ressources et la région Azure à laquelle les services AWS EC2 découverts seront intégrés dans l’abonnement sélectionné.

    • Entrez l’ID du principal du service et la clé secrète du client du principal du service pour Azure Arc, comme décrit dans Créer un principal de service pour l’intégration à l’échelle

    • Si la machine se connecte à Internet via un serveur proxy, spécifiez l’adresse IP du serveur proxy ou le nom et le numéro de port que la machine utilise pour communiquer avec le serveur proxy. Entrez la valeur au format http://<URL_proxy>:<port_proxy>

  6. Sélectionnez Revoir + créer.

  7. Afficher le résumé des informations

  8. Les sections Étiquettes répertorient toutes les étiquettes Azure qui seront automatiquement créées pour chaque EC2 intégré, avec leurs propres détails correspondants pour les reconnaître facilement dans Azure.

Confirmation

Quand le connecteur est correctement créé et qu’AWS Security Hub a été configuré correctement :

  • Defender pour le cloud analyse l’environnement pour les instances AWS EC2 en les intégrant à Azure Arc, ce qui permet d’installer l’agent Log Analytics et de fournir des recommandations en matière de protection contre les menaces et en matière de sécurité.

  • Le service ASC analyse les nouvelles instances AWS EC2 toutes les 6 heures et les intègre en fonction de la configuration.

  • Le standard AWS CIS s’affichera dans le tableau de bord de conformité réglementaire de Defender pour le cloud.

  • Si la stratégie Security Hub est activée, des recommandations s’afficheront dans le portail Defender pour le cloud. Le tableau de bord de conformité aux réglementations apparaîtra 5 à 10 minutes après la fin de l’intégration.