Defender for Cloud Apps 如何協助保護您的 Amazon Web Services (AWS) 環境
Amazon Web Services 是 IaaS 提供者,可讓您的組織在雲端中裝載和管理其整個工作負載。 除了利用雲端基礎結構的優點,貴組織最重要的資產可能會暴露在威脅中。 公開的資產包括具有潛在敏感性資訊的記憶體實例、可操作一些最重要應用程式的計算資源、埠,以及可讓您存取組織的虛擬專用網。
將 AWS 連線至 Defender for Cloud Apps 可協助您保護資產並偵測潛在威脅,方法是監視系統管理和登入活動、通知可能的暴力密碼破解攻擊、惡意使用具有特殊許可權的使用者帳戶、異常刪除 VM,以及公開的記憶體貯體。
主要威脅
- 濫用雲端資源
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 資源設定錯誤和訪問控制不足
Defender for Cloud Apps 如何協助保護您的環境
使用內建原則和原則範本控制 AWS
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 活動原則範本 | 管理員 主控台登入失敗 CloudTrail 組態變更 EC2 實例組態變更 IAM 原則變更 從具風險的IP位址登入 ACL) 變更 (網路存取控制清單 網路閘道變更 S3 貯體活動 安全組組態變更 虛擬專用網變更 |
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑IP位址的活動 不可能的移動 由已終止的使用者 (執行的活動需要 Microsoft Entra ID 為 IdP) 多次失敗的登入嘗試 不尋常的系統管理活動 預覽) (異常的多個記憶體刪除活動 多次刪除 VM 活動 預覽 (異常的多個 VM 建立活動) 雲端資源 (預覽) 的異常區域 |
| 檔案原則範本 | S3 貯體可公開存取 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化控管控件
除了監視潛在威脅之外,您還可以套用並自動化下列 AWS 治理動作,以補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 使用者控管 | - 透過 Microsoft Entra ID) 通知使用者警示 ( - 要求使用者透過 Microsoft Entra ID (再次登入) - 透過 Microsoft Entra ID) 暫停使用者 ( |
| 資料管理 | - 將 S3 貯體設為私人 - 移除 S3 貯體的共同作業者 |
如需從應用程式補救威脅的詳細資訊,請參閱 治理連線的應用程式。
實時保護 AWS
檢閱我們 封鎖和保護將敏感數據下載到非受控或具風險裝置的最佳做法。
將 Amazon Web Services 連線至 Microsoft Defender for Cloud Apps
本節提供使用連接器 API 將現有 Amazon Web Services (AWS) 帳戶連線到 Microsoft Defender for Cloud Apps 的指示。 如需 Defender for Cloud Apps 如何保護 AWS 的資訊,請參閱保護 AWS。
您可以將 AWS 安全性稽核連線到 Defender for Cloud Apps 連線,以瞭解及控制 AWS 應用程式的使用。
步驟 1:設定 Amazon Web Services 稽核
在 Amazon Web Services 控制台的 [ 安全性]、[身分識別 & 合規性] 底下,選取 [IAM]。
選取 [使用者 ],然後選取 [ 新增使用者]。
在 [詳細數據] 步驟中,為 Defender for Cloud Apps 提供新的用戶名稱。 請確定您在 [ 存取類型] 下選取 [ 程序設計存取] ,然後選取 [下一步許可權]。
選取 [直接附加現有原則],然後選取 [ 建立原則]。
選取 [JSON] 索引 標籤:
將下列文稿貼到提供的區域中:
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }選 取 [下一步:卷標]
選 取 [下一步:檢閱]。
提供 [名稱] ,然後選取 [建立原則]。
回到 [ 新增使用者 ] 畫面,視需要重新整理清單,然後選取您建立的使用者,然後選取 [ 下一步:卷標]。
選 取 [下一步:檢閱]。
如果所有詳細數據都正確,請選取 [ 建立使用者]。
當您收到成功訊息時,請選 取 [下載 .csv ],以儲存新使用者認證的複本。 您稍後將需要這些專案。
注意事項
連線 AWS 之後,您會在連線前收到七天的事件。 如果您剛啟用 CloudTrail,則會在啟用 CloudTrail 時收到事件。
步驟 2:將 Amazon Web Services 稽核聯機至 Defender for Cloud Apps
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。
在 [應用程式連接器 ] 頁面中,若要提供 AWS 連接器認證,請執行下列其中一項:
針對新的連接器
選取 [+連線應用程式],後面接著 Amazon Web Services。
在下一個視窗中,提供連接器的名稱,然後選取 [ 下一步]。
在 [ 連線 Amazon Web Services] 頁面上,選取 [ 安全性稽核],然後選取 [ 下一步]。
在 [ 安全性稽核] 頁面上,將 [存 取密鑰 ] 和 [ 秘密密鑰 ] 從 .csv 檔案貼到相關欄位中,然後選取 [ 下一步]。
針對現有的連接器
在連接器清單中,於 AWS 連接器出現的數據列上,選取 [ 編輯設定]。
![[已連線的應用程式] 頁面的螢幕快照,其中顯示 [編輯安全性稽核] 連結。](media/aws-connect-app-edit-audit.png)
在 [ 實例名稱 ] 和 [ 連線 Amazon Web Services] 頁面上,選取 [ 下一步]。 在 [ 安全性稽核] 頁面上,將 [存 取密鑰 ] 和 [ 秘密密鑰 ] 從 .csv 檔案貼到相關欄位中,然後選取 [ 下一步]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。 確定已連線應用程式連接器的狀態為 [已連線]。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。