Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Plan für Defender für relationale Open-Source-Datenbanken in Microsoft Defender for Cloud hilft Ihnen, ungewöhnliche Aktivitäten in Ihren AWS RDS-Datenbanken zu erkennen und zu untersuchen. Dieser Plan unterstützt die folgenden Datenbankinstanztypen:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
In diesem Artikel wird erläutert, wie Sie Defender für relationale Open-Source-Datenbanken auf AWS aktivieren, damit Sie mit dem Empfangen von Warnungen für verdächtige Aktivitäten beginnen können.
Wenn Sie diesen Plan aktivieren, entdeckt Defender für Cloud auch vertrauliche Daten in Ihrem AWS-Konto und erweitert Sicherheitseinblicke mit diesen Erkenntnissen. Diese Funktion ist auch in Defender Cloud Security Posture Management (CSPM) enthalten.
Weitere Informationen zu diesem Microsoft Defender-Plan finden Sie unter Übersicht zu Microsoft Defender für relationale Open-Source-Datenbanken.
Voraussetzungen
Sie benötigen ein Microsoft Azure-Abonnement. Wenn Sie kein Abonnement haben, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Mindestens ein verbundenes AWS-Konto mit erforderlichem Zugriff und erforderlichen Berechtigungen.
Verfügbarkeit der Region: Alle öffentlichen AWS-Regionen (ausgenommen Tel Aviv, Mailand, Jakarta, Spanien und Bahrain).
Aktivieren von Defender für relationale Open-Source-Datenbanken
Melden Sie sich beim Azure-Portal an
Suchen Sie nach Microsoft Defender for Cloud, und wählen Sie es aus.
Wählen Sie Umgebungseinstellungen aus.
Wählen Sie das entsprechende AWS-Konto aus.
Suchen Sie den Datenbankplan , und wählen Sie "Einstellungen" aus.
Schalten Sie relationale Open-Source-Datenbanken auf Ein.
Hinweis
Das Aktivieren von Open-Source-Relationaldatenbanken ermöglicht auch die Erkennung vertraulicher Daten, ein gemeinsames Merkmal mit Defender CSPM für RDS-Ressourcen (Relational Database Service).
Erfahren Sie mehr über die Ermittlung vertraulicher Daten in AWS RDS-Instanzen.
Wählen Sie Zugriff konfigurieren aus.
Wählen Sie im Abschnitt „Bereitstellungsmethode“ die Option Herunterladen aus.
Befolgen Sie die Anweisungen zum Aktualisieren des Stapels in AWS. Dieser Vorgang erstellt oder aktualisiert die CloudFormation-Vorlage mit den erforderlichen Berechtigungen.
Aktivieren Sie das Kontrollkästchen, in dem bestätigt wird, dass die CloudFormation-Vorlage in der AWS-Umgebung (Stack) aktualisiert wurde.
Wählen Sie Überprüfen und generieren aus.
Überprüfen Sie die Informationen, und wählen Sie "Aktualisieren" aus.
Defender für Cloud aktualisiert dann automatisch die relevanten Parameter- und Optionsgruppeneinstellungen.
Erforderliche Berechtigungen für die Rolle „DefenderForCloud-DataThreatProtectionDB“
Die folgenden Berechtigungen sind für die Rolle erforderlich, die erstellt oder aktualisiert wird, wenn Sie die CloudFormation-Vorlage herunterladen und den AWS-Stapel aktualisieren. Diese Berechtigungen ermöglichen Defender für Cloud das Verwalten der Überwachungskonfiguration und das Sammeln von Datenbankaktivitätsprotokollen aus Ihren AWS RDS-Instanzen.
| Erlaubnis | BESCHREIBUNG |
|---|---|
| rds:AddTagsToResource | Fügt Tags zu Options- und Parametergruppen hinzu, die vom Plan erstellt wurden. |
| rds:DescribeDBClusterParameters | Beschreibt Parameter innerhalb der Clustergruppe. |
| rds:CreateDBParameterGroup | Erstellt eine Datenbankparametergruppe. |
| rds:ModifyOptionGroup | Ändert Optionen innerhalb einer Optionsgruppe. |
| rds:DescribeDBLogFiles | Beschreibt Datenbankprotokolldateien. |
| rds:DescribeDBParameterGroups | Beschreibt Datenbankparametergruppen. |
| rds:CreateOptionGroup | Erstellt eine Optionsgruppe. |
| rds:ModifyDBParameterGroup | Ändert Parameter innerhalb von Datenbankparametergruppen. |
| rds:DownloadDBLogFilePortion | Lädt Protokolldateiabschnitte herunter. |
| rds:DescribeDBInstances | Beschreibt Datenbankinstanzen. |
| rds:ModifyDBClusterParameterGroup | Ändert Clusterparameter innerhalb der Clusterparametergruppe. |
| rds:ModifyDBInstance | Ändert Datenbanken so, dass bei Bedarf Parameter- oder Optionsgruppen zugewiesen werden. |
| rds:ModifyDBCluster | Ändert Cluster so, dass bei Bedarf Clusterparametergruppen zugewiesen werden. |
| rds:DescribeDBParameters | Beschreibt Parameter innerhalb der Datenbankgruppe. |
| rds:CreateDBClusterParameterGroup | Erstellt eine Clusterparametergruppe. |
| rds:DescribeDBClusters | Beschreibt Cluster. |
| rds:DescribeDBClusterParameterGroups | Beschreibt Clusterparametergruppen. |
| rds:DescribeOptionGroups | Beschreibt Optionsgruppen. |
Betroffene Parameter- und Optionsgruppeneinstellungen
Wenn Sie Defender für relationale Open-Source-Datenbanken aktivieren, konfiguriert Defender für Cloud automatisch Überwachungsparameter in Ihren RDS-Instanzen, um Zugriffsmuster zu nutzen und zu analysieren. Sie müssen diese Einstellungen nicht manuell ändern. sie werden hier zur Referenz aufgeführt.
| type | Parameter | Wert |
|---|---|---|
| PostgreSQL und Aurora PostgreSQL | Verbindungen protokollieren | 1 |
| PostgreSQL und Aurora PostgreSQL | Aufzeichnung von Verbindungsabbrüchen | 1 |
| Aurora MySQL-Clusterparametergruppe | Server-Prüfprotokollierung | 1 |
| Aurora MySQL-Clusterparametergruppe | Server-Audit-Ereignisse | - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT, QUERY aufzunehmen. - Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT, QUERY hinzu. |
| Aurora MySQL-Clusterparametergruppe | server_audit_excl_users | Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen. |
| Aurora MySQL-Clusterparametergruppe | server_audit_incl_users | - Wenn es mit einem Wert vorhanden ist und rdsadmin als Teil der enthaltenen aufgeführt ist, dann ist er in SERVER_AUDIT_EXCL_USER nicht vorhanden, und der Wert von "include" ist leer. |
Für MySQL und MariaDB ist eine Optionsgruppe mit den folgenden Optionen für die MARIADB_AUDIT_PLUGIN erforderlich.
Wenn die Option nicht vorhanden ist, fügen Sie sie hinzu. falls vorhanden, erweitern Sie die Werte nach Bedarf.
| Optionsname | Wert |
|---|---|
| SERVER_AUDIT_EVENTS | - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT aufzunehmen. - Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT hinzu. |
| SERVER_AUDIT_EXCL_USER | Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen. |
| SERVER_AUDIT_INCL_USERS | - Wenn es mit einem Wert vorhanden ist und rdsadmin als Teil der enthaltenen aufgeführt ist, dann ist er in SERVER_AUDIT_EXCL_USER nicht vorhanden, und der Wert von "include" ist leer. |
Wichtig
Möglicherweise müssen Sie Ihre Instanzen neu starten, um diese Änderungen anzuwenden.
Wenn Sie die Standardparametergruppe verwenden, erstellt Defender für Cloud eine neue Parametergruppe mit den erforderlichen Änderungen und dem Präfix defenderfordatabases*.
Wenn Sie eine neue Parametergruppe erstellen oder statische Parameter aktualisieren, werden die Änderungen erst wirksam, wenn Sie die Instanz neu starten.
Hinweis
Wenn bereits eine Parametergruppe vorhanden ist, wird sie entsprechend aktualisiert.
MARIADB_AUDIT_PLUGINwird in MariaDB 10.2 und höher, MySQL 8.0.25 und höher 8.0 Versionen und Allen MySQL 5.7-Versionen unterstützt.Änderungen, die Defender für Cloud an den
MARIADB_AUDIT_PLUGINMySQL-Instanzen vornimmt, werden während des nächsten Wartungsfensters angewendet. Weitere Informationen finden Sie unter MARIADB_AUDIT_PLUGIN für MySQL-Instanzen.
Verwandte Inhalte
- Unterstützte Elemente bei der Ermittlung vertraulicher Daten
- Ermitteln vertraulicher Daten in AWS RDS-Instanzen