Del via

Hvordan Defender for Cloud Apps bidrar til å beskytte Amazon Web Services (AWS)-miljøet

  • Artikkel

Amazon Web Services er en IaaS-leverandør som gjør det mulig for organisasjonen å være vert for og administrere hele arbeidsbelastningen i skyen. I tillegg til fordelene ved å dra nytte av infrastruktur i skyen, kan organisasjonens mest kritiske ressurser bli utsatt for trusler. Eksponerte ressurser inkluderer lagringsforekomster med potensielt sensitiv informasjon, databehandlingsressurser som driver noen av de mest kritiske programmene, portene og virtuelle private nettverkene som gir tilgang til organisasjonen.

Hvis du kobler AWS til Defender for Cloud Apps, kan du sikre ressursene dine og oppdage potensielle trusler ved å overvåke administrative aktiviteter og påloggingsaktiviteter, varsle om mulige angrep med rå kraft, ondsinnet bruk av en privilegert brukerkonto, uvanlige slettinger av virtuelle maskiner og offentlig eksponerte lagringssamlinger.

Hovedtrusler

  • Misbruk av skyressurser
  • Kompromitterte kontoer og insider-trusler
  • Datalekkasje
  • Feil konfigurasjon av ressurser og utilstrekkelig tilgangskontroll

Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt

Kontrollere AWS med innebygde policyer og policymaler

Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:

Type: Navn
Mal for aktivitetspolicy Admin påloggingsfeil i konsollen
Konfigurasjonsendringer i CloudTrail
Endringer i konfigurasjon av EC2-forekomst
Endringer i IAM-policy
Pålogging fra en risikabel IP-adresse
Endringer i liste over nettverkstilgangskontrolliste (ACL)
Endringer i nettverksgateway
S3-samlingsaktivitet
Konfigurasjonsendringer for sikkerhetsgruppe
Endringer i virtuelt privat nettverk
Innebygd policy for avviksregistrering Aktivitet fra anonyme IP-adresser
Aktivitet fra sjeldent land
Aktivitet fra mistenkelige IP-adresser
Umulig reise
Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP)
Flere mislykkede påloggingsforsøk
Uvanlige administrative aktiviteter
Uvanlige aktiviteter for sletting av flere lagringsplass (forhåndsversjon)
Flere slettede VM-aktiviteter
Uvanlige aktiviteter for oppretting av flere virtuelle maskin (forhåndsversjon)
Uvanlig område for skyressurs (forhåndsversjon)
Mal for filpolicy S3-samling er offentlig tilgjengelig

Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.

Automatiser styringskontroller

I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende AWS-styringshandlinger for å utbedre oppdagede trusler:

Type: Handling
Brukerstyring – Varsle brukeren i beredskap (via Microsoft Entra ID)
– Krev at brukeren logger på igjen (via Microsoft Entra ID)
- Avbryte bruker (via Microsoft Entra ID)
Datastyring - Gjør en S3-bøtte privat
– Fjerne en samarbeidspartner for en S3-samling

Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.

Beskytt AWS i sanntid

Se gjennom våre anbefalte fremgangsmåter for blokkering og beskyttelse av nedlasting av sensitive data til uadministrerte eller risikable enheter.

Koble Amazon Web Services til Microsoft Defender for Cloud Apps

Denne delen inneholder instruksjoner for hvordan du kobler den eksisterende Amazon Web Services (AWS)-kontoen til Microsoft Defender for Cloud Apps ved hjelp av koblings-API-ene. Hvis du vil ha informasjon om hvordan Defender for Cloud Apps beskytter AWS, kan du se Beskytt AWS.

Du kan koble AWS Security-overvåking til Defender for Cloud Apps tilkoblinger for å få innsyn i og kontrollere bruken av AWS-appen.

Trinn 1: Konfigurere Overvåking av Amazon Web Services

  1. Velg IAM under Sikkerhet & Samsvar i Amazon Web Services-konsollen.

    AWS-identitet og -tilgang.

  2. Velg Brukere , og velg deretter Legg til bruker.

    AWS-brukere.

  3. Angi et nytt brukernavn for Defender for Cloud Apps i detaljertrinnet. Kontroller at du velger Programmatisk tilgang under Access-typen, og velger Neste tillatelser.

    Opprett bruker i AWS.

  4. Velg Legg ved eksisterende policyer direkte, og deretter Opprett policy.

    Legg ved eksisterende policyer.

  5. Velg JSON-fanen :

    AWS JSON-fanen.

  6. Lim inn følgende skript i det angitte området:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Velg neste: Merker

    AWS-kode.

  8. Velg Neste: Se gjennom.

    Legg til merker (valgfritt).

  9. Angi et navn , og velg Opprett policy.

    Angi AWS-policynavn.

  10. Oppdater listen om nødvendig i skjermbildet Legg til bruker , og velg brukeren du opprettet, og velg Neste: Merker.

    Legg ved eksisterende policy i AWS.

  11. Velg Neste: Se gjennom.

  12. Hvis alle detaljene er riktige, velger du Opprett bruker.

    Brukertillatelser i AWS.

  13. Når du får en melding om at det var vellykket, velger du Last ned .csv for å lagre en kopi av legitimasjonen til den nye brukeren. Du trenger disse senere.

    Last ned csv i AWS.

    Obs!

    Når du har koblet til AWS, mottar du hendelser i sju dager før tilkoblingen. Hvis du nettopp har aktivert CloudTrail, mottar du hendelser fra tidspunktet da du aktiverte CloudTrail.

Trinn 2: Koble Amazon Web Services-overvåking til Defender for Cloud Apps

  1. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.

  2. Gjør ett av følgende på appkoblinger-siden for å angi AWS-koblingslegitimasjon:

    For en ny kobling

    1. Velg +Koble til en app, etterfulgt av Amazon Web Services.

      koble til AWS-overvåking.

    2. Angi et navn for koblingen i neste vindu, og velg deretter Neste.

      Navn på AWS-overvåkingskobling.

    3. Velg Sikkerhetsovervåkingsiden Koble til Amazon Web Services, og velg deretter Neste.

    4. Lim inn Access-nøkkelen og hemmelig nøkkel fra .csv-filen i de relevante feltene på siden sikkerhetsovervåking, og velg Neste.

      Koble til overvåking av AWS-appsikkerhet for ny kobling.

    For en eksisterende kobling

    1. Velg Rediger innstillinger i listen over koblinger på raden der AWS-koblingen vises.

      Skjermbilde av Tilkoblede apper-siden, som viser koblingen Rediger sikkerhetsrevisjon.

    2. Velg Nestesiden Forekomstnavn og Koble til Amazon Web Services. Lim inn Access-nøkkelen og hemmelig nøkkel fra .csv-filen i de relevante feltene på siden sikkerhetsovervåking, og velg Neste.

      Koble til overvåking av AWS-appsikkerhet for eksisterende kobling.

  3. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.

Neste trinn

Kontroller skyapper med policyer

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.