Conecte ambientes de nuvem híbrida e multicloud ao Microsoft Defender for Cloud

Concluído

Conectar ambientes de nuvem híbrida e multinuvem ao Microsoft Defender for Cloud é crucial para manter uma postura de segurança unificada em diversos cenários de TI. Com os servidores habilitados para o Azure Arc para máquinas que não são do Azure, o Native Cloud Connector e o Classic Connector, você pode estender os recursos do Microsoft Defender for Cloud para recursos que não são do Azure. Essa integração permite que você monitore, detete e responda a ameaças de segurança de forma abrangente. Aqui, fornecemos uma visão geral informativa do processo, juntamente com requisitos detalhados para uma conexão bem-sucedida.

Conecte suas máquinas que não são do Azure ao Microsoft Defender for Cloud

O Microsoft Defender for Cloud pode monitorar a postura de segurança de suas máquinas que não são do Azure, mas primeiro você precisa conectá-las ao Azure.

Você pode conectar seus computadores que não são do Azure de qualquer uma das seguintes maneiras:

  • Integração com o Azure Arc:
    • Usando servidores habilitados para Azure Arc (recomendado)
    • Com o portal do Azure
  • Integração direta com o Microsoft Defender for Endpoint

Conectar máquinas locais usando o Azure Arc

Uma máquina que tenha servidores ativados para o Azure Arc torna-se um recurso do Azure. Quando você instala o agente do Log Analytics nele, ele aparece no Defender for Cloud com recomendações, como seus outros recursos do Azure.

Os servidores habilitados para Arco do Azure fornecem recursos aprimorados, como habilitar políticas de configuração de convidado na máquina e simplificar a implantação com outros serviços do Azure. Para obter uma visão geral dos benefícios dos servidores habilitados para Azure Arc, consulte Operações de nuvem com suporte.

Para implantar o Azure Arc em uma máquina, siga as instruções em Guia de início rápido: conectar máquinas híbridas com servidores habilitados para Azure Arc.

Para implantar o Azure Arc em várias máquinas em escala, siga as instruções em Conectar máquinas híbridas ao Azure em escala.

As ferramentas do Defender for Cloud para implantar automaticamente o trabalho do agente do Log Analytics com máquinas que executam o Azure Arc. No entanto, esse recurso está atualmente em visualização. Ao conectar suas máquinas usando o Azure Arc, use a recomendação relevante do Defender for Cloud para implantar o agente e se beneficiar da gama completa de proteções que o Defender for Cloud oferece:

  • O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas em Linux
  • O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas no Windows

Conecte sua conta da AWS ao Microsoft Defender for Cloud

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança na nuvem devem fazer o mesmo. O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho na Amazon Web Services (AWS), mas você precisa configurar a conexão entre elas e o Defender for Cloud.

Se você estiver conectando uma conta da AWS conectada anteriormente usando o conector clássico, deverá removê-la primeiro. Usar uma conta da AWS conectada pelos conectores clássico e nativo pode produzir recomendações duplicadas.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

  • Uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
  • Configuração do Microsoft Defender for Cloud na sua subscrição do Azure.
  • Acesso a uma conta da AWS.
  • Permissão de colaborador para a assinatura relevante do Azure e permissão de administrador na conta da AWS.

Defender para Contentores

Se você escolher o plano Microsoft Defender for Containers, precisará:

  • Pelo menos um cluster do Amazon EKS com permissão para acessar o servidor de API do EKS Kubernetes.
  • A capacidade de recursos para criar uma nova fila do Amazon Simple Queue Service (SQS), o fluxo de entrega do Kinesis Data Firehose e o bucket do Amazon S3 na região do cluster.

Defender para SQL

Se você escolher o plano Microsoft Defender for SQL, precisará:

  • Microsoft Defender para SQL ativado na sua subscrição. Saiba como proteger as suas bases de dados.
  • Uma conta da AWS ativa, com instâncias do EC2 executando o SQL Server ou o RDS (Relational Database Service) personalizado para SQL Server.
  • Azure Arc para servidores instalados em suas instâncias do EC2 ou RDS Custom para SQL Server.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias atuais e futuras do EC2. Para habilitar o provisionamento automático do Azure Arc, você precisa da permissão Proprietário na assinatura relevante do Azure.

O AWS Systems Manager (SSM) gerencia o provisionamento automático usando o Agente do SSM. Algumas imagens de máquina da Amazon já têm o Agente do SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente do SSM, instale-o usando estas instruções da Amazon: Instale o Agente do SSM para um ambiente híbrido e multicloud (Windows).

Certifique-se de que seu Agente do SSM tenha a política gerenciada AmazonSSMManagedInstanceCore. Ele habilita a funcionalidade principal para o serviço AWS Systems Manager.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

  • Microsoft Defender para Ponto Final
  • Uma solução de avaliação de vulnerabilidades (Gestão de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Verifique se o espaço de trabalho selecionado do Log Analytics tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas da AWS e projetos do Google Cloud Platform (GCP) sob a mesma assinatura herdam as configurações de assinatura para o agente do Log Analytics e o agente do Azure Monitor.

Defender para Servidores

Se você escolher o plano Microsoft Defender for Servers, precisará:

  • Microsoft Defender for Servers ativado na sua subscrição. Saiba como ativar planos em Ativar recursos de segurança avançados.
  • Uma conta ativa da AWS, com instâncias do EC2.
  • Azure Arc para servidores instalados em suas instâncias do EC2.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias atuais e futuras do EC2. Para habilitar o provisionamento automático do Azure Arc, você precisa da permissão Proprietário na assinatura relevante do Azure.

O AWS Systems Manager gerencia o provisionamento automático usando o Agente do SSM. Algumas imagens de máquina da Amazon já têm o Agente do SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente do SSM, instale-o usando uma das seguintes instruções da Amazon:

  • Instalar o Agente do SSM para um ambiente híbrido e multicloud (Windows)
  • Instalar o Agente do SSM para um ambiente híbrido e multicloud (Linux)

Certifique-se de que seu agente do SSM tenha a política gerenciada AmazonSSMManagedInstanceCore, que permite a funcionalidade principal para o serviço AWS Systems Manager.

Se você quiser instalar manualmente o Azure Arc em suas instâncias atuais e futuras do EC2, use as instâncias do EC2 devem estar conectadas à recomendação do Azure Arc para identificar instâncias que não têm o Azure Arc instalado.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

  • Microsoft Defender para Ponto Final
  • Uma solução de avaliação de vulnerabilidades (Gestão de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Verifique se o espaço de trabalho selecionado do Log Analytics tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas da AWS e projetos GCP sob a mesma assinatura herdam as configurações de assinatura para o agente do Log Analytics e o agente do Azure Monitor.

O Defender for Servers atribui tags aos recursos da AWS para gerenciar o processo de provisionamento automático. Você deve ter essas tags atribuídas corretamente aos seus recursos para que o Defender for Cloud possa gerenciá-las: AccountId, Cloud, InstanceIde MDFCSecurityConnector.

GPSC do Defender

Se você escolher o plano de Gerenciamento de Postura de Segurança do Microsoft Defender Cloud, precisará:

  • Uma subscrição do Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
  • Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
  • Conecte suas máquinas que não sejam do Azure, contas da AWS.
  • Para ter acesso a todos os recursos disponíveis do plano CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.