Defender for Cloud Appsがアマゾン ウェブ サービス (AWS) 環境の保護にどのように役立つか
Amazon Web Services は、organizationがクラウドでワークロード全体をホストおよび管理できるようにする IaaS プロバイダーです。 クラウドのインフラストラクチャを活用する利点と共に、organizationの最も重要な資産が脅威にさらされる可能性があります。 公開される資産には、機密情報の可能性があるストレージ インスタンス、最も重要なアプリケーション、ポート、およびorganizationへのアクセスを可能にする仮想プライベート ネットワークの一部を操作するコンピューティング リソースが含まれます。
AWS を Defender for Cloud Apps に接続すると、管理とサインインのアクティビティを監視し、ブルート フォース攻撃の可能性、特権ユーザー アカウントの悪意のある使用、VM の異常な削除、パブリックに公開されたストレージ バケットを通知することで、資産をセキュリティで保護し、潜在的な脅威を検出できます。
主な脅威
- クラウド リソースの悪用
- 侵害されたアカウントとインサイダーの脅威
- データ漏洩
- リソースの構成ミスとアクセス制御の不十分
Defender for Cloud Appsが環境を保護するのにどのように役立つか
組み込みのポリシーとポリシー テンプレートを使用して AWS を制御する
次の組み込みのポリシー テンプレートを使用して、潜在的な脅威を検出して通知できます。
| 種類 | 氏名 |
|---|---|
| アクティビティ ポリシー テンプレート | 管理 コンソールのサインインエラー CloudTrail 構成の変更 EC2 インスタンス構成の変更 IAM ポリシーの変更 危険な IP アドレスからのログオン ネットワーク アクセス制御リスト (ACL) の変更 ネットワーク ゲートウェイの変更 S3 バケット アクティビティ セキュリティ グループの構成の変更 仮想プライベート ネットワークの変更 |
| 組み込みの異常検出ポリシー |
匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 疑わしい IP アドレスからのアクティビティ 不可能な移動 終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要) 複数回のログイン試行の失敗 通常とは異なる管理アクティビティ 異常な複数のストレージ削除アクティビティ (プレビュー) 複数の VM 削除アクティビティ 通常とは異なる複数の VM 作成アクティビティ (プレビュー) クラウド リソースの異常なリージョン (プレビュー) |
| ファイル ポリシー テンプレート | S3 バケットはパブリックにアクセス可能 |
ポリシーの作成の詳細については、「ポリシーの 作成」を参照してください。
ガバナンス制御を自動化する
潜在的な脅威の監視に加えて、次の AWS ガバナンス アクションを適用して自動化して、検出された脅威を修復できます。
| タイプ | 操作 |
|---|---|
| ユーザー ガバナンス | - ユーザーにアラートを通知する (Microsoft Entra ID経由) - ユーザーに再度サインインを要求する (Microsoft Entra ID経由) - ユーザーを一時停止する (Microsoft Entra ID経由) |
| データ ガバナンス | - S3 バケットをプライベートにする - S3 バケットのコラボレーターを削除する |
アプリからの脅威の修復の詳細については、「 接続されたアプリの管理」を参照してください。
リアルタイムで AWS を保護する
管理されていないデバイスまたは危険なデバイスへの機密データのダウンロードをブロックおよび保護するためのベスト プラクティスを確認します。
Amazon Web Services を Microsoft Defender for Cloud Apps に接続する
このセクションでは、既存の Amazon Web Services (AWS) アカウントをコネクタ API を使用してMicrosoft Defender for Cloud Appsに接続する手順について説明します。 DEFENDER FOR CLOUD APPSが AWS を保護する方法については、「AWS を保護する」を参照してください。
AWS セキュリティ監査をDefender for Cloud Apps接続に接続して、AWS アプリの使用を可視化して制御できます。
手順 1: Amazon Web Services 監査を構成する
Amazon Web Services コンソールの [セキュリティ] の [ID & コンプライアンス] で、[IAM] を選択します。
[ ユーザー ] を選択し、[ ユーザーの追加] を選択します。
[詳細] 手順で、Defender for Cloud Appsの新しいユーザー名を指定します。 [ アクセスの種類 ] で [ プログラムによるアクセス ] を選択し、[ 次のアクセス許可] を選択します。
[ 既存のポリシーを直接アタッチする] を選択し、[ポリシーの作成] を 選択します。
[ JSON ] タブを選択します。
![[AWS JSON] タブ。](media/aws-json.png "[AWS JSON] タブ")
次のスクリプトを指定された領域に貼り付けます。
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }[次へ: タグ] を選択します
[ 次へ: 確認] を選択します。
[名前] を指定し、[ポリシーの作成] を選択します。
する[ユーザーの 追加 ] 画面に戻り、必要に応じて一覧を更新し、作成したユーザーを選択し、[ 次へ: タグ] を選択します。
する[ 次へ: 確認] を選択します。
すべての詳細が正しい場合は、[ ユーザーの作成] を選択します。
成功メッセージが表示されたら、[ .csvのダウンロード ] を選択して、新しいユーザーの資格情報のコピーを保存します。 これらは後で必要になります。
注:
AWS に接続すると、接続の 7 日前にイベントが受信されます。 CloudTrail を有効にしたばかりの場合は、CloudTrail を有効にした時点からイベントを受け取ります。
手順 2: Amazon Web Services 監査を Defender for Cloud Apps に接続する
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。
[ アプリ コネクタ ] ページで、AWS コネクタの資格情報を指定するには、次のいずれかの操作を行います。
新しいコネクタの場合
[+Connect an app]\(+Connect an app\)、[Amazon Web Services]\(アマゾン ウェブ サービス\) の順に選択します。
次のウィンドウで、コネクタの名前を指定し、[ 次へ] を選択します。
[ アマゾン ウェブ サービスの接続 ] ページで、[ セキュリティ監査] を選択し、[ 次へ] を選択します。
[ セキュリティ監査] ページで、.csv ファイルの アクセス キー と シークレット キー を関連するフィールドに貼り付け、[ 次へ] を選択します。
既存のコネクタの場合
コネクタの一覧で、AWS コネクタが表示される行で、[ 設定の編集] を選択します。
![[接続済みアプリ] ページのスクリーンショット。[セキュリティ監査の編集] リンクが表示されています。](media/aws-connect-app-edit-audit.png)
[ インスタンス名] ページと [ Connect Amazon Web Services] ページで、[ 次へ] を選択します。 [ セキュリティ監査] ページで、.csv ファイルの アクセス キー と シークレット キー を関連するフィールドに貼り付け、[ 次へ] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。 接続されている App Connector の状態が [接続済み] になっていることを確認します。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。