Partilhar via

Como Defender for Cloud Apps ajuda a proteger o seu ambiente do Amazon Web Services (AWS)

  • Artigo

O Amazon Web Services é um fornecedor IaaS que permite à sua organização alojar e gerir as cargas de trabalho completas na cloud. Juntamente com os benefícios de tirar partido da infraestrutura na cloud, os recursos mais críticos da sua organização podem estar expostos a ameaças. Os recursos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam algumas das suas aplicações, portas e redes privadas virtuais mais críticas que permitem o acesso à sua organização.

Ligar o AWS a Defender for Cloud Apps ajuda-o a proteger os seus recursos e a detetar potenciais ameaças ao monitorizar atividades administrativas e de início de sessão, ao notificar sobre possíveis ataques de força bruta, utilização maliciosa de uma conta de utilizador com privilégios, eliminações invulgares de VMs e registos de armazenamento expostos publicamente.

Principais ameaças

  • Abuso de recursos da cloud
  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Configuração incorreta de recursos e controlo de acesso insuficiente

Como Defender for Cloud Apps ajuda a proteger o seu ambiente

Controlar o AWS com políticas e modelos de política incorporados

Pode utilizar os seguintes modelos de política incorporados para detetar e notificá-lo sobre potenciais ameaças:

Tipo Name
Modelo de política de atividade Administração falhas de início de sessão na consola
Alterações de configuração do CloudTrail
Alterações à configuração da instância EC2
Alterações à política de IAM
Início de sessão a partir de um endereço IP de risco
Alterações à lista de controlo de acesso à rede (ACL)
Alterações ao gateway de rede
Atividade de Registo S3
Alterações à configuração do grupo de segurança
Alterações à rede privada virtual
Política de deteção de anomalias incorporada Atividade de endereços IP anónimos
Atividade do país com pouca frequência
Atividade de endereços IP suspeitos
Viagem impossível
Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP)
Várias tentativas de início de sessão falhadas
Atividades administrativas invulgares
Atividades de eliminação de armazenamento múltiplas invulgares (pré-visualização)
Múltiplas atividades de eliminação de VMs
Atividades de criação de várias VMs invulgares (pré-visualização)
Região invulgar para o recurso da cloud (pré-visualização)
Modelo de política de ficheiros O registo S3 está acessível publicamente

Para obter mais informações sobre como criar políticas, veja Criar uma política.

Automatizar controlos de governação

Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do AWS para remediar as ameaças detetadas:

Tipo Ação
Governação de utilizadores - Notificar o utilizador em alerta (através de Microsoft Entra ID)
- Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID)
- Suspender utilizador (através de Microsoft Entra ID)
Governação de dados - Tornar um registo S3 privado
- Remover um colaborador para um registo S3

Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.

Proteger o AWS em tempo real

Reveja as nossas melhores práticas para bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.

Ligar o Amazon Web Services ao Microsoft Defender for Cloud Apps

Esta secção fornece instruções para ligar a sua conta existente do Amazon Web Services (AWS) a Microsoft Defender for Cloud Apps através das APIs do conector. Para obter informações sobre como Defender for Cloud Apps protege o AWS, veja Proteger o AWS.

Pode ligar a auditoria de Segurança do AWS a Defender for Cloud Apps ligações para obter visibilidade e controlo sobre a utilização da aplicação AWS.

Passo 1: Configurar a auditoria do Amazon Web Services

  1. Na consola do Amazon Web Services, em Segurança, Identidade & Conformidade, selecione IAM.

    Identidade e acesso do AWS.

  2. Selecione Utilizadores e, em seguida, selecione Adicionar utilizador.

    Utilizadores do AWS.

  3. No passo Detalhes, forneça um novo nome de utilizador para Defender for Cloud Apps. Certifique-se de que, em Tipo de acesso , selecione Acesso programático e selecione Permissões Seguintes.

    Criar utilizador no AWS.

  4. Selecione Anexar políticas existentes diretamente e, em seguida, Criar política.

    Anexar políticas existentes.

  5. Selecione o separador JSON :

    Separador JSON do AWS.

  6. Cole o seguinte script na área fornecida:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selecione Seguinte: Etiquetas

    Código AWS.

  8. Selecione Seguinte: Rever.

    Adicionar etiquetas (opcional).

  9. Forneça um Nome e selecione Criar política.

    Indique o nome da política do AWS.

  10. Novamente no ecrã Adicionar utilizador , atualize a lista, se necessário, selecione o utilizador que criou e selecione Seguinte: Etiquetas.

    Anexe a política existente no AWS.

  11. Selecione Seguinte: Rever.

  12. Se todos os detalhes estiverem corretos, selecione Criar utilizador.

    Permissões de utilizador no AWS.

  13. Quando receber a mensagem de êxito, selecione Transferir .csv para guardar uma cópia das credenciais do novo utilizador. Irá precisar destes mais tarde.

    Transfira csv no AWS.

    Nota

    Depois de ligar o AWS, receberá eventos durante sete dias antes da ligação. Se tiver ativado o CloudTrail, receberá eventos a partir do momento em que ativou o CloudTrail.

Passo 2: Ligar a auditoria do Amazon Web Services ao Defender for Cloud Apps

  1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Na página Conectores de aplicações , para fornecer as credenciais do conector AWS, efetue um dos seguintes procedimentos:

    Para um novo conector

    1. Selecione + Ligar uma aplicação, seguido do Amazon Web Services.

      ligar a auditoria do AWS.

    2. Na janela seguinte, forneça um nome para o conector e, em seguida, selecione Seguinte.

      Nome do conector de auditoria do AWS.

    3. Na página Ligar Amazon Web Services , selecione Auditoria de segurança e, em seguida, selecione Seguinte.

    4. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do ficheiro .csv nos campos relevantes e selecione Seguinte.

      Ligar a auditoria de segurança de aplicações do AWS para o novo conector.

    Para um conector existente

    1. Na lista de conectores, na linha em que o conector do AWS é apresentado, selecione Editar definições.

      Captura de ecrã da página Aplicações Ligadas a mostrar a ligação Editar Auditoria de Segurança.

    2. Nas páginas Nome da instância e Ligar Amazon Web Services , selecione Seguinte. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do ficheiro .csv nos campos relevantes e selecione Seguinte.

      Ligar a auditoria de segurança de aplicações do AWS para o conector existente.

  3. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.

Passos seguintes

Controlar aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.