Udostępnij za pośrednictwem


Jak Defender for Cloud Apps pomaga chronić środowisko usług Amazon Web Services (AWS)

Amazon Web Services to dostawca usług IaaS, który umożliwia organizacji hostowanie całych obciążeń w chmurze i zarządzanie nimi. Wraz z korzyściami wynikającymi z używania infrastruktury w chmurze najbardziej krytyczne zasoby organizacji mogą być narażone na zagrożenia. Uwidocznione zasoby obejmują wystąpienia magazynu z potencjalnie poufnymi informacjami, zasoby obliczeniowe, które obsługują niektóre z najważniejszych aplikacji, portów i wirtualnych sieci prywatnych, które umożliwiają dostęp do organizacji.

Połączenie platformy AWS z usługą Defender for Cloud Apps ułatwia zabezpieczanie zasobów i wykrywanie potencjalnych zagrożeń przez monitorowanie działań administracyjnych i logowania, powiadamianie o możliwych atakach siłowych, złośliwe użycie uprzywilejowanego konta użytkownika, nietypowe usuwanie maszyn wirtualnych i publicznie uwidocznione zasobniki magazynu.

Główne zagrożenia

  • Nadużywanie zasobów w chmurze
  • Konta z naruszeniem zabezpieczeń i zagrożenia wewnętrzne
  • Wyciek danych
  • Błędna konfiguracja zasobu i niewystarczająca kontrola dostępu

Jak Defender for Cloud Apps pomaga chronić środowisko

Kontrolowanie platformy AWS za pomocą wbudowanych zasad i szablonów zasad

Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:

Wpisać Name (Nazwa)
Szablon zasad działania Administracja błędy logowania konsoli
Zmiany konfiguracji rozwiązania CloudTrail
Zmiany konfiguracji wystąpienia usługi EC2
Zmiany zasad zarządzania dostępem i tożsamościami
Logowanie z ryzykownej adresu IP
Zmiany listy kontroli dostępu do sieci (ACL)
Zmiany bramy sieci
Działanie zasobnika S3
Zmiany konfiguracji grupy zabezpieczeń
Zmiany w wirtualnej sieci prywatnej
Wbudowane zasady wykrywania anomalii Działanie z anonimowych adresów IP
Aktywność z rzadkiego kraju
Działanie z podejrzanych adresów IP
Niemożliwa podróż
Działanie wykonywane przez użytkownika zakończone (wymaga Tożsamość Microsoft Entra jako dostawcy tożsamości)
Wiele nieudanych prób logowania
Nietypowe działania administracyjne
Nietypowe działania usuwania magazynu ( wersja zapoznawcza)
Wiele działań usuwania maszyny wirtualnej
Nietypowe działania tworzenia wielu maszyn wirtualnych (wersja zapoznawcza)
Nietypowy region dla zasobu w chmurze (wersja zapoznawcza)
Szablon zasad plików Zasobnik S3 jest publicznie dostępny

Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.

Automatyzowanie kontrolek ładu

Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu platformy AWS w celu skorygowania wykrytych zagrożeń:

Wpisać Akcja
Ład użytkowników — Powiadamianie użytkownika o alertach (za pośrednictwem Tożsamość Microsoft Entra)
— Wymagaj od użytkownika ponownego zalogowania się (za pośrednictwem Tożsamość Microsoft Entra)
— Wstrzymywanie użytkownika (za pośrednictwem Tożsamość Microsoft Entra)
Zarządzanie danymi — Tworzenie zasobnika S3 jako prywatnego
— Usuwanie współpracownika dla zasobnika S3

Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Ochrona platformy AWS w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi blokowania i ochrony pobierania poufnych danych na urządzenia niezarządzane lub ryzykowne.

Łączenie usług Amazon Web Services z usługą Microsoft Defender for Cloud Apps

Ta sekcja zawiera instrukcje dotyczące łączenia istniejącego konta usług Amazon Web Services (AWS) z Microsoft Defender for Cloud Apps przy użyciu interfejsów API łącznika. Aby uzyskać informacje o tym, jak Defender for Cloud Apps chroni platformy AWS, zobacz Ochrona platformy AWS.

Inspekcję zabezpieczeń platformy AWS można połączyć z połączeniami Defender for Cloud Apps w celu uzyskania wglądu i kontroli nad użyciem aplikacji platformy AWS.

Krok 1. Konfigurowanie inspekcji usług Amazon Web Services

  1. W konsoli usług Amazon Web Services w obszarze Zabezpieczenia, Tożsamość & Zgodność wybierz pozycję Zarządzanie dostępem i tożsamościami.

    Tożsamość i dostęp platformy AWS.

  2. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Dodaj użytkownika.

    Użytkownicy platformy AWS.

  3. W kroku Szczegóły podaj nową nazwę użytkownika dla Defender for Cloud Apps. Upewnij się, że w obszarze Typ dostępu wybierz pozycję Dostęp programowy i wybierz pozycję Następne uprawnienia.

    Tworzenie użytkownika na platformie AWS.

  4. Wybierz pozycję Dołącz istniejące zasady bezpośrednio, a następnie pozycję Utwórz zasady.

    Dołącz istniejące zasady.

  5. Wybierz kartę JSON :

    Karta JSON platformy AWS.

  6. Wklej następujący skrypt w podanym obszarze:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Wybierz pozycję Dalej: Tagi

    Kod platformy AWS.

  8. Wybierz pozycję Dalej: Przejrzyj.

    Dodaj tagi (opcjonalnie).

  9. Podaj nazwę i wybierz pozycję Utwórz zasady.

    Podaj nazwę zasad platformy AWS.

  10. Wróć do ekranu Dodawanie użytkownika , odśwież listę, jeśli to konieczne, a następnie wybierz utworzonego użytkownika, a następnie wybierz pozycję Dalej: Tagi.

    Dołącz istniejące zasady na platformie AWS.

  11. Wybierz pozycję Dalej: Przejrzyj.

  12. Jeśli wszystkie szczegóły są poprawne, wybierz pozycję Utwórz użytkownika.

    Uprawnienia użytkownika na platformie AWS.

  13. Po wyświetleniu komunikatu o powodzeniu wybierz pozycję Pobierz .csv , aby zapisać kopię poświadczeń nowego użytkownika. Będą one potrzebne później.

    Pobierz plik csv na platformie AWS.

    Uwaga

    Po nawiązaniu połączenia z usługą AWS będziesz otrzymywać zdarzenia przez siedem dni przed nawiązaniem połączenia. Jeśli właśnie włączono usługę CloudTrail, otrzymasz zdarzenia od momentu włączenia rozwiązania CloudTrail.

Krok 2. Łączenie inspekcji usług Amazon Web Services z Defender for Cloud Apps

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.

  2. Aby podać poświadczenia łącznika platformy AWS na stronie Łączniki aplikacji , wykonaj jedną z następujących czynności:

    Dla nowego łącznika

    1. Wybierz pozycję +Połącz aplikację, a następnie pozycję Amazon Web Services.

      łączenie inspekcji platformy AWS.

    2. W następnym oknie podaj nazwę łącznika, a następnie wybierz pozycję Dalej.

      Nazwa łącznika inspekcji platformy AWS.

    3. Na stronie Łączenie usług amazon web services wybierz pozycję Inspekcja zabezpieczeń, a następnie wybierz pozycję Dalej.

    4. Na stronie Inspekcja zabezpieczeń wklej klucz dostępu i klucz tajny z pliku .csv do odpowiednich pól, a następnie wybierz pozycję Dalej.

      Łączenie inspekcji zabezpieczeń aplikacji platformy AWS dla nowego łącznika.

    Dla istniejącego łącznika

    1. Na liście łączników w wierszu, w którym zostanie wyświetlony łącznik platformy AWS, wybierz pozycję Edytuj ustawienia.

      Zrzut ekranu przedstawiający stronę Połączone aplikacje z linkiem edytowanie inspekcji zabezpieczeń.

    2. Na stronach Nazwa wystąpienia i Połącz usługi Amazon Web Services wybierz pozycję Dalej. Na stronie Inspekcja zabezpieczeń wklej klucz dostępu i klucz tajny z pliku .csv do odpowiednich pól, a następnie wybierz pozycję Dalej.

      Połącz inspekcję zabezpieczeń aplikacji platformy AWS dla istniejącego łącznika.

  3. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączony.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.