Conecte as suas contas AWS
Integrar sua conta do AWS ao Microsoft defender para nuvem, integra o Hub de segurança do AWS e o Defender para Nuvem. Com isso, o Defender para Nuvem oferece visibilidade e proteção em ambos os ambientes de nuvem para fornecer:
Provisionamento automático de agente (o Defender para Nuvem usa o Azure Arc para implantar o agente do Log Analytics nas instâncias da AWS)
Gerenciamento de política
Gerenciamento de vulnerabilidades
Detecção e Resposta de Ponto de Extremidade Inserido (EDR)
Detecção de configurações incorretas de segurança
Uma exibição individual mostrando as recomendações do Defender para Nuvem e as conclusões do Hub de Segurança da AWS
Incorporação dos recursos da AWS aos cálculos de classificação de segurança do Defender para Nuvem
Avaliações de conformidade regulatória dos recursos da AWS
Na captura de tela abaixo, você pode ver as contas AWS exibidas no dashboard de visão geral da Central de Segurança.
Siga as etapas abaixo para criar o conector de nuvem da AWS.
Configurar o Hub de Segurança da AWS:
Para exibir as recomendações de segurança para várias regiões, repita as etapas a seguir para cada região relevante. Se você estiver usando uma conta mestre da AWS, repita as três etapas a seguir para configurar a conta mestre e todas as contas membro conectadas em todas as regiões relevantes
Habilite a Configuração da AWS.
Habilite o Hub de Segurança da AWS.
Verifique se há dados fluindo para o Hub de Segurança.
Quando você habilita o Hub de Segurança pela primeira vez, pode levar várias horas para que os dados sejam disponibilizados.
Configurar a autenticação para a Central de Segurança na AWS
Há duas maneiras de permitir que o Defender para Nuvem se autentique na AWS:
Criar uma função IAM para o Defender para Nuvem – esse é o método mais seguro, e é recomendado
Usuário da AWS para o Defender para Nuvem – uma opção menos segura se você não tiver o IAM habilitado
Crie uma função IAM para o Defender para Nuvem:
No console do Amazon Web Services, em Segurança, Identidade e Conformidade, selecione IAM.
Selecione Funções e Criar função.
Selecione Outra conta da AWS.
Insira os seguintes detalhes:
ID da Conta – Insira a ID da Conta Microsoft (158177204117), conforme mostrado na página do conector da AWS na Central de Segurança.
Exigir ID Externa – Deve estar selecionado
ID Externa – Insira a ID da assinatura, conforme mostrado na página do conector da AWS na Central de Segurança
Selecione Avançar.
Na seção Anexar políticas de permissão, selecione as seguintes políticas:
SecurityAudit
AmazonSSMAutomationRole
AWSSecurityHubReadOnlyAccess
Opcionalmente, adicione marcações. A adição de marcações ao usuário não afeta a conexão.
Selecione Avançar.
Na lista de funções, escolha a função que você criou
Salve o ARN (Amazon Resource Name) para mais tarde.
Configurar o Agente SSM
O Gerenciador de Sistemas da AWS é necessário para automatizar tarefas nos recursos da AWS. Se as instâncias EC2 não tiverem o agente SSM, siga as instruções relevantes da Amazon:
Concluir os pré-requisitos do Azure Arc
Verifique se os provedores de recursos do Azure apropriados estão registrados:
Microsoft.HybridCompute
Microsoft.GuestConfiguration
Crie uma Entidade de Serviço para integração em escala. Como Proprietário da assinatura que você deseja usar para a integração, crie uma entidade de serviço para a integração do Azure Arc, conforme descrito em Criar uma Entidade de Serviço para integração em escala.
Conexão entre a AWS e o Defender para Nuvem
No menu do Defender para Nuvem, selecione Soluções de segurança e selecione Conectores de várias nuvens.
Selecione Adicionar conta da AWS.
Configure as opções na guia Autenticação da AWS:
Insira um Nome de exibição para o conector.
Confirme se a assinatura está a correta. É a assinatura que incluirá as recomendações do Hub de Segurança da AWS e do conector.
Dependendo da opção de autenticação, selecione a etapa 2. Configurar a autenticação para a Central de Segurança na AWS:
- Selecione Assumir Função e cole o ARN de Criar uma função do IAM para a Central de Segurança. Como colar o arquivo ARN no campo pertinente do assistente de conexão da AWS no portal do Azure
ou
- Selecione Credenciais e cole a chave de acesso e a chave secreta do arquivo .csv salvo em Criar um usuário da AWS para a Central de Segurança.
Selecione Avançar.
Defina as opções na guia Configuração do Azure Arc:
O Defender para Nuvem descobre as instâncias EC2 na conta da AWS conectada e usa o SSM para integrá-las ao Azure Arc.
Selecione o Grupo de Recursos e a região do Azure se os EC2s da AWS descobertos serão integrados à assinatura selecionada.
Insira a ID da Entidade de Serviço e o segredo do cliente da Entidade de Serviço para o Azure Arc, conforme descrito aqui Criar uma Entidade de Serviço para integração em escala
Se o computador se conectar à Internet por meio de um servidor proxy, especifique o endereço IP do servidor proxy ou o nome e o número da porta que o computador usa para se comunicar com o servidor proxy. Insira o valor no formato http://<URLdoproxy>:<portadoproxy>
Selecione Examinar + criar.
Examinar as informações de resumo
As seções de Marcações listarão todas as Marcações do Azure que serão criadas automaticamente para cada EC2 integrada com seus próprios detalhes relevantes a fim de reconhecê-las com facilidade no Azure.
Confirmação
Depois que o conector for criado com êxito e o Hub de Segurança da AWS tiver sido configurado corretamente:
O Defender para Nuvem verifica o ambiente em busca de instâncias EC2 da AWS, integrando-as ao Azure Arc, habilitando-as para a instalação do agente do Log Analytics e fornecendo recomendações de segurança e proteção contra ameaças.
O serviço ASC verifica se há novas instâncias EC2 da AWS a cada 6 horas e as integra de acordo com a configuração.
O padrão CIS da AWS será mostrado no painel de conformidade regulatória do Defender para Nuvem.
Se a política do Hub de Segurança estiver habilitada, as recomendações serão exibidas no portal do Defender para Nuvem e no dashboard de conformidade regulatória, de 5 a 10 minutos após a conclusão da integração.