AWS アカウントを接続する

  • 11 分

AWS アカウントを Microsoft Defender for Cloud にオンボードすると、AWS Security Hub と Defender for Cloud が統合されます。 そのため、Defender for Cloud は、この両方のクラウド環境全体を可視化および保護することで、以下を実現します。

  • エージェントの自動プロビジョニング (Defender for Cloud は Azure Arc を使用して Log Analytics エージェントをお使いの AWS インスタンスにデプロイします)

  • ポリシー管理

  • 脆弱性の管理

  • 埋め込まれたエンドポイント検出と応答 (EDR)

  • セキュリティ構成ミスの検出

  • Defender for Cloud の推奨事項と AWS Security Hub の検出結果を 1 つのビューに表示

  • Defender for Cloud のセキュリティ スコアの計算に AWS リソースを組み込む

  • AWS リソースの規制コンプライアンスの評価

次のスクリーンショットでは、Security Center の概要ダッシュボードに AWS アカウントが表示されていることがわかります。

Screenshot of the A W S account overview settings.

以下の手順に従って AWS クラウド コネクタを作成します。

AWS Security Hub を設定する:

複数のリージョンのセキュリティに関する推奨事項を表示するには、関連するリージョンごとに次の手順を繰り返します。 AWS マスター アカウントを使用している場合は、これらの手順を繰り返して、関連するすべてのリージョンで、マスター アカウントと、接続されたすべてのメンバー アカウントを構成します

  1. AWS Config を有効にします。

  2. AWS Security Hub を有効にします。

  3. Security Hub へのデータ フローがあることを確認します。

Security Hub を初めて有効にするときは、データが使用可能になるまで数時間かかることがあります。

AWS で Security Center に対する認証を設定する

Defender for Cloud で AWS に対する認証を許可するには、次の 2 つの方法があります。

  • Defender for Cloud 用の IAM ロールを作成する - 最も安全な推奨される方法です

  • Defender for Cloud 用の AWS ユーザー - IAM が有効になっていない場合の安全性が低いオプション

Defender for Cloud の IAM ロールを作成します。

アマゾン ウェブ サービス コンソールの [セキュリティ、アイデンティティ、コンプライアンス] の [IAM] を選択します。

  1. [ロール]、[ロールの作成] の順に選択します。

  2. [別の AWS アカウント] を選択します。

  3. 次の詳細を入力します。

    • アカウント ID - Security Center の AWS コネクタ ページに示されているように、Microsoft アカウント ID (158177204117) を入力します。

    • 外部 ID が必要 - 選択する必要があります

    • 外部 ID - Security Center の AWS コネクタ ページに示されているように、サブスクリプション ID を入力します

  4. [次へ] を選択します。

  5. [Attach permission policies](権限ポリシーをアタッチ) セクションで、次のポリシーを選択します。

    • SecurityAudit

    • AmazonSSMAutomationRole

    • AWSSecurityHubReadOnlyAccess

  6. 必要に応じて、タグを追加します。 ユーザーにタグを追加しても、接続には影響しません。

  7. [次へ] を選択します。

  8. ロールの一覧で、作成したロールを選択します

  9. 後で使用できるように Amazon Resource Name (ARN) を保存します。

SSM エージェントを構成する

お使いの AWS リソース全体でタスクを自動化するには、AWS Systems Manager が必要です。 お使いの EC2 インスタンスに SSM エージェントがない場合は、Amazon の関連する指示に従ってください。

Azure Arc の前提条件を満たす

適切な Azure リソース プロバイダーが登録されていることを確認します。

  • Microsoft.HybridCompute

  • Microsoft.GuestConfiguration

大規模なオンボーディング用にサービス プリンシパルを作成します。 「大規模なオンボーディング用にサービス プリンシパルを作成する」で説明されているように、オンボードに使用するサブスクリプションの所有者として、Azure Arc オンボード用サービス プリンシパルを作成します。

AWS から Defender for Cloud に接続する

Defender for Cloud のメニューから [セキュリティ ソリューション] を選択し、[マルチ クラウド コネクタ] を選択します。

[Add AWS account](AWS アカウントの追加) を選択します。

[AWS authentication](AWS 認証) タブでオプションを構成します。

  1. コネクタの表示名を入力します。

  2. サブスクリプションが正しいことを確認します。 これは、コネクタと AWS Security Hub の推奨事項が追加されるサブスクリプションです。

  3. 認証オプションによっては、手順 2 で選択済みです。 AWS で Security Center に対する認証を設定します。

    • [Assume Role](ロールを想定) を選択し、「Security Center の IAM ロールを作成する」の ARN を貼り付けます。 Azure portal で AWS 接続ウィザードの関連フィールドに ARN ファイルを貼り付ける

    or

    • 資格情報を選択し、「Security Center の AWS ユーザーを作成する」で保存した .csv ファイルからアクセス キーと秘密鍵を貼り付けます。

  4. [次へ] を選択します。

  5. [Azure Arc Configuration](Azure Arc 構成) タブでオプションを構成します。

    • 接続されている AWS アカウントの EC2 インスタンスが Defender for Cloud によって検出され、SSM を使用して Azure Arc にオンボードされます。

    • 選択したサブスクリプションで、検出された AWS EC2 がオンボードされるリソース グループと Azure リージョンを選択します。

    • こちらの「大規模なオンボーディング用にサービス プリンシパルを作成する」で説明されているように、Azure Arc のサービス プリンシパル ID とサービス プリンシパルのクライアント シークレットを入力します

    • マシンがプロキシ サーバー経由でインターネットに接続している場合は、プロキシ サーバーの IP アドレスか、マシンがプロキシ サーバーとの通信に使用する名前とポート番号を指定します。 http://<proxyURL>:<proxyport> の形式で値を入力します

  6. [Review + create](レビュー + 作成) を選択します。

  7. 概要情報をレビューする

  8. タグ セクションには、Azure で簡単に認識できるように、オンボード EC2 ごとに自動的に作成されるすべての Azure タグと、そのタグに関連する独自の詳細情報が記載されています。

確認

コネクタが正常に作成され、AWS Security Hub が正しく構成されたら、次のようになります。

  • Defender for Cloud により、AWS EC2 インスタンスの環境がスキャンされ、Azure Arc にそのインスタンスがオンボードされ、Log Analytics エージェントのインストールを可能にするほか、脅威の防止とセキュリティに関する推奨事項が提供されます。

  • ASC サービスは、新しい AWS EC2 インスタンスを 6 時間ごとにスキャンして探し、構成に従ってそれらオンボードします。

  • Defender for Cloud の規制コンプライアンス ダッシュボードに AWS CIS 標準が表示されます。

  • Security Hub ポリシーが有効になっている場合、オンボードが完了してから 5 分から 10 分後、推奨事項が Defender for Cloud ポータルと規制コンプライアンス ダッシュボードに表示されます。