Udostępnij za pośrednictwem


Włączanie usługi Defender dla relacyjnych baz danych typu open source na platformie AWS (wersja zapoznawcza)

Microsoft Defender dla Chmury wykrywa nietypowe działania w środowisku platformy AWS wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich dla następujących typów wystąpień usług pulpitu zdalnego:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

Aby uzyskać alerty z planu usługi Microsoft Defender, należy postępować zgodnie z instrukcjami na tej stronie, aby włączyć usługę Defender dla relacyjnych baz danych typu open source na platformie AWS.

Usługa Defender dla relacyjnych baz danych typu open source na platformie AWS obejmuje również możliwość odnajdywania poufnych danych na koncie i wzbogacania Defender dla Chmury doświadczenia z wynikami. Ta funkcja jest również dołączona do CSPM w usłudze Defender.

Dowiedz się więcej o tym planie usługi Microsoft Defender w temacie Omówienie usługi Microsoft Defender dla relacyjnych baz danych typu open source.

Wymagania wstępne

  • Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

  • Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.

  • Co najmniej jedno połączone konto platformy AWS z wymaganym dostępem i uprawnieniami.

  • Dostępność regionów: wszystkie publiczne regiony AWS (z wyłączeniem Tel Awiwu, Mediolanu, Dżakarta, Hiszpanii i Bahrajnu).

Włączanie usługi Defender dla relacyjnych baz danych typu open source

  1. Zaloguj się do witryny Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. Wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednie konto platformy AWS.

  5. Znajdź plan Bazy danych i wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający stronę ustawień środowiska platformy AWS, która pokazuje, gdzie znajduje się przycisk ustawień.

  6. Przełącz bazy danych relacyjnych typu open source na włączone.

    Zrzut ekranu przedstawiający sposób przełączania relacyjnych baz danych typu open source na włączone.

    Uwaga

    Przełączenie relacyjnych baz danych typu open source do polecenia spowoduje również włączenie odnajdywania poufnych danych, które jest funkcją udostępnioną z funkcją odnajdywania poufnych danych CSPM w usłudze Defender dla usługi relacyjnej bazy danych (RDS).

    Zrzut ekranu przedstawiający stronę ustawień CSPM w usłudze Defender i poufne dane włączone z chronionymi zasobami.

    Dowiedz się więcej na temat odnajdywania poufnych danych w wystąpieniach usług AWS RDS.

  7. Wybierz pozycję Konfiguruj dostęp.

  8. W sekcji metoda wdrażania wybierz pozycję Pobierz.

  9. Postępuj zgodnie ze stosem aktualizacji w instrukcjach platformy AWS. Ten proces spowoduje utworzenie lub zaktualizowanie szablonu CloudFormation przy użyciu wymaganych uprawnień.

  10. Zaznacz pole wyboru potwierdzające, że szablon CloudFormation został zaktualizowany w środowisku platformy AWS (Stack).

  11. Wybierz pozycję Przejrzyj i wygeneruj.

  12. Przejrzyj przedstawione informacje i wybierz pozycję Aktualizuj.

Defender dla Chmury automatycznie wprowadzi zmiany w ustawieniach parametru i grupy opcji.

Wymagane uprawnienia dla roli DefenderForCloud-DataThreatProtectionDB

W poniższej tabeli przedstawiono listę wymaganych uprawnień, które zostały nadane roli, która została utworzona lub zaktualizowana po pobraniu szablonu CloudFormation i zaktualizowaniu stosu platformy AWS.

Dodano uprawnienie opis
rds:AddTagsToResource aby dodać tag w grupie opcji i utworzonej grupie parametrów
rds:DescribeDBClusterParameters opisywanie parametrów wewnątrz grupy klastrów
rds:CreateDBParameterGroup tworzenie grupy parametrów bazy danych
rds:ModifyOptionGroup modyfikowanie opcji wewnątrz grupy opcji
rds:DescribeDBLogFiles opisywanie pliku dziennika
rds:DescribeDBParameterGroups opisywanie grupy parametrów bazy danych
rds:CreateOptionGroup utwórz grupę opcji
rds:ModifyDBParameterGroup modyfikowanie parametru wewnątrz grupy parametrów baz danych
rds:DownloadDBLogFilePortion pobieranie pliku dziennika
rds:DescribeDBInstances opisywanie bazy danych
rds:ModifyDBClusterParameterGroup modyfikowanie parametru klastra wewnątrz grupy parametrów klastra
rds:ModifyDBInstance modyfikowanie baz danych w celu przypisania grupy parametrów lub grupy opcji w razie potrzeby
rds:ModifyDBCluster modyfikowanie klastra w celu przypisania grupy parametrów klastra w razie potrzeby
rds:DescribeDBParameters opisywanie parametrów wewnątrz grupy baz danych
rds:CreateDBClusterParameterGroup tworzenie grupy parametrów klastra
rds:DescribeDBClusters opisywanie klastra
rds:DescribeDBClusterParameterGroups opisywanie grupy parametrów klastra
rds:DescribeOptionGroups opisywanie grupy opcji

Ustawienia grupy opcji i parametrów, których dotyczy problem

Po włączeniu usługi Defender dla relacyjnych baz danych typu open source w wystąpieniach usług pulpitu zdalnego Defender dla Chmury automatycznie włącza inspekcję przy użyciu dzienników inspekcji w celu umożliwienia używania i analizowania wzorców dostępu do bazy danych.

Każdy system zarządzania relacyjnymi bazami danych lub typ usługi ma własne konfiguracje. W poniższej tabeli opisano konfiguracje, których dotyczy Defender dla Chmury (nie trzeba ręcznie ustawiać tych konfiguracji, jest to podane jako odwołanie).

Typ Parametr Wartość
PostgreSQL i Aurora PostgreSQL log_connections 1
PostgreSQL i Aurora PostgreSQL log_disconnections 1
Grupa parametrów klastra Aurora MySQL server_audit_logging 1
Grupa parametrów klastra Aurora MySQL server_audit_events — Jeśli istnieje, rozwiń wartość, aby uwzględnić polecenie CONNECT, QUERY,
— Jeśli nie istnieje, dodaj ją z wartością CONNECT, QUERY.
Grupa parametrów klastra Aurora MySQL server_audit_excl_users Jeśli istnieje, rozwiń go, aby uwzględnić rdsadmin.
Grupa parametrów klastra Aurora MySQL server_audit_incl_users - Jeśli istnieje z wartością i rdsadmin w ramach dołączania, nie będzie obecny w SERVER_AUDIT_EXCL_USER, a wartość include jest pusta.

Grupa opcji jest wymagana dla baz danych MySQL i MariaDB z następującymi opcjami dla MARIADB_AUDIT_PLUGIN (jeśli opcja nie istnieje, dodaj opcję. Jeśli opcja istnieje, rozwiń wartości w opcji):

Nazwa opcji Wartość
SERVER_AUDIT_EVENTS Jeśli istnieje, rozwiń wartość, aby uwzględnić połączenie
Jeśli nie istnieje, dodaj ją z wartością CONNECT.
SERVER_AUDIT_EXCL_USER Jeśli istnieje, rozwiń go, aby uwzględnić rdsadmin.
SERVER_AUDIT_INCL_USERS Jeśli istnieje z wartością, a rdsadmin jest częścią dołączania, nie będzie obecny w SERVER_AUDIT_EXCL_USER, a wartość include jest pusta.

Ważne

Aby zastosować zmiany, może być konieczne ponowne uruchomienie wystąpień.

Jeśli używasz domyślnej grupy parametrów, zostanie utworzona nowa grupa parametrów zawierająca wymagane zmiany parametrów z prefiksem defenderfordatabases*.

Jeśli utworzono nową grupę parametrów lub zaktualizowano parametry statyczne, nie zostaną one zastosowane do momentu ponownego uruchomienia wystąpienia.

Uwaga

  • Jeśli grupa parametrów już istnieje, zostanie ona odpowiednio zaktualizowana.

  • program MARIADB_AUDIT_PLUGIN jest obsługiwany w wersjach MariaDB 10.2 i nowszych, MySQL 8.0.25 i nowszych 8.0 oraz wszystkich wersjach programu MySQL 5.7.

  • Zmiany MARIADB_AUDIT_PLUGIN dla wystąpień programu MySQL są dodawane do następnego okna obsługi.

Następny krok