Dela via

Så här skyddar Defender for Cloud Apps din Amazon Web Services-miljö (AWS)

  • Artikel

Amazon Web Services är en IaaS-provider som gör det möjligt för din organisation att vara värd för och hantera hela sina arbetsbelastningar i molnet. Förutom fördelarna med att utnyttja infrastrukturen i molnet kan organisationens viktigaste tillgångar utsättas för hot. Exponerade tillgångar omfattar lagringsinstanser med potentiellt känslig information, beräkningsresurser som kör några av dina mest kritiska program, portar och virtuella privata nätverk som ger åtkomst till din organisation.

Genom att ansluta AWS till Defender for Cloud Apps kan du skydda dina tillgångar och identifiera potentiella hot genom att övervaka administrativa aktiviteter och inloggningsaktiviteter, meddela om möjliga råstyrkeattacker, skadlig användning av ett privilegierat användarkonto, ovanliga borttagningar av virtuella datorer och offentligt exponerade lagringsbucketar.

Huvudsakliga hot

  • Missbruk av molnresurser
  • Komprometterade konton och insiderhot
  • Dataläckage
  • Felkonfiguration av resurser och otillräcklig åtkomstkontroll

Hur Defender for Cloud Apps hjälper till att skydda din miljö

Kontrollera AWS med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Namn
Mall för aktivitetsprincip Admin-konsolens inloggningsfel
CloudTrail-konfigurationsändringar
Konfigurationsändringar för EC2-instanser
IAM-principändringar
Logga in från en riskabel IP-adress
Ändringar i listan över nätverksåtkomstkontroll (ACL)
Ändringar i nätverksgatewayen
S3-bucketaktivitet
Konfigurationsändringar för säkerhetsgrupper
Ändringar i virtuellt privat nätverk
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra ID som IdP)
Flera misslyckade inloggningsförsök
Ovanlig administrativ verksamhet
Ovanliga aktiviteter för flera lagringsborttagningar (förhandsversion)
Flera borttagningsaktiviteter för virtuella datorer
Ovanliga aktiviteter för att skapa virtuella datorer (förhandsversion)
Ovanlig region för molnresurs (förhandsversion)
Filprincipmall S3-bucketen är offentligt tillgänglig

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande AWS-styrningsåtgärder för att åtgärda identifierade hot:

Typ Åtgärd
Användarstyrning – Meddela användaren vid avisering (via Microsoft Entra ID)
– Kräv att användaren loggar in igen (via Microsoft Entra ID)
– Pausa användare (via Microsoft Entra ID)
Datastyrning - Gör en S3-bucket privat
– Ta bort en medarbetare för en S3-bucket

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda AWS i realtid

Läs våra metodtips för att blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta Amazon Web Services till Microsoft Defender for Cloud Apps

Det här avsnittet innehåller instruktioner för hur du ansluter ditt befintliga AWS-konto (Amazon Web Services) till Microsoft Defender for Cloud Apps med anslutnings-API:erna. Information om hur Defender for Cloud Apps skyddar AWS finns i Skydda AWS.

Du kan ansluta AWS Security-granskning till Defender for Cloud Apps anslutningar för att få insyn i och kontroll över AWS-appanvändning.

Steg 1: Konfigurera Amazon Web Services-granskning

  1. I Amazon Web Services-konsolen går du till Säkerhet, Identitet & Efterlevnad och väljer IAM.

    AWS-identitet och åtkomst.

  2. Välj Användare och sedan Lägg till användare.

    AWS-användare.

  3. I steget Information anger du ett nytt användarnamn för Defender for Cloud Apps. Se till att du under Åtkomsttyp väljer Programmatisk åtkomst och väljer Nästa behörigheter.

    Skapa användare i AWS.

  4. Välj Koppla befintliga principer direkt och sedan Skapa princip.

    Koppla befintliga principer.

  5. Välj fliken JSON :

    Fliken AWS JSON.

  6. Klistra in följande skript i det angivna området:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Välj Nästa: Taggar

    AWS-kod.

  8. Välj Nästa: Granska.

    Lägg till taggar (valfritt).

  9. Ange ett namn och välj Skapa princip.

    Ange AWS-principnamn.

  10. Gå tillbaka till skärmen Lägg till användare , uppdatera listan om det behövs och välj den användare som du skapade och välj Nästa: Taggar.

    Koppla befintlig princip i AWS.

  11. Välj Nästa: Granska.

  12. Om all information är korrekt väljer du Skapa användare.

    Användarbehörigheter i AWS.

  13. När du får meddelandet om att åtgärden lyckades väljer du Ladda ned .csv för att spara en kopia av den nya användarens autentiseringsuppgifter. Du behöver dem senare.

    Ladda ned csv i AWS.

    Obs!

    När du har anslutit AWS får du händelser i sju dagar före anslutningen. Om du precis har aktiverat CloudTrail får du händelser från den tidpunkt då du aktiverade CloudTrail.

Steg 2: Ansluta Amazon Web Services-granskning till Defender for Cloud Apps

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

  2. Gör något av följande för att ange autentiseringsuppgifterna för AWS-anslutningstjänsten på sidan Appanslutningsprogram :

    För en ny anslutningsapp

    1. Välj +Anslut en app följt av Amazon Web Services.

      anslut AWS-granskning.

    2. I nästa fönster anger du ett namn för anslutningsappen och väljer sedan Nästa.

      Namn på AWS-granskningsanslutningsapp.

    3. På sidan Anslut Amazon Web Services väljer du Säkerhetsgranskning och sedan Nästa.

    4. sidan Säkerhetsgranskning klistrar du in åtkomstnyckeln och hemlighetsnyckeln från .csv-filen i relevanta fält och väljer Nästa.

      Anslut AWS-appsäkerhetsgranskning för ny anslutningsapp.

    För en befintlig anslutningsapp

    1. I listan över anslutningsappar går du till raden där AWS-anslutningstjänsten visas och väljer Redigera inställningar.

      Skärmbild av sidan Anslutna appar som visar länken redigera säkerhetsgranskning.

    2. På sidorna Instansnamn och Anslut Amazon Web Services väljer du Nästa. På sidan Säkerhetsgranskning klistrar du in åtkomstnyckeln och hemlighetsnyckeln från .csv-filen i relevanta fält och väljer Nästa.

      Ansluta AWS-appsäkerhetsgranskning för befintlig anslutningsapp.

  3. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningen är Ansluten.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.