Freigeben über

Integrieren von AWS CloudTrail-Protokollen in Microsoft Defender für Cloud (Vorschau)

Microsoft Defender für Cloud kann AWS CloudTrail-Verwaltungsereignisse sammeln, um die Sichtbarkeit von Identitätsvorgängen, Berechtigungsänderungen und andere Aktivitäten auf Kontrollebene in Ihren AWS-Umgebungen zu erhöhen.

Die Integration von CloudTrail fügt aktivitätsbasierte Signale zu den CIEM-Funktionen von Defender für Cloud hinzu, sodass eine Analyse von Identitäts- und Berechtigungsrisiken nicht nur auf der Konfiguration von Identitätsberechtigungen, sondern auch auf beobachteter Nutzung durchgeführt werden kann.

Die CloudTrail-Datenerfassung verbessert das Cloud-Infrastruktur-Berechtigungsmanagement (CIEM), indem nicht verwendete Berechtigungen, falsch konfigurierte Rollen, ruhende Identitäten und mögliche Pfade zur Berechtigungserhöhung identifiziert werden. Es bietet auch Aktivitätskontext, der die Erkennung von Konfigurationsabweichungen, Sicherheitsempfehlungen und die Analyse des Angriffspfads stärkt.

CloudTrail-Datenerfassung ist für einzelne AWS-Konten und AWS-Organisationen verfügbar, die zentralisierte Protokollierung verwenden.

Voraussetzungen

Stellen Sie vor dem Aktivieren der CloudTrail-Aufnahme sicher, dass Ihr AWS-Konto Folgendes enthält:

  • Defender CSPM-Plan, der im Azure-Abonnement aktiviert ist.

  • Berechtigung für den Zugriff auf AWS CloudTrail.

  • Zugriff auf den Amazon S3-Bucket, der CloudTrail-Protokolldateien speichert.

  • Zugriff auf die Benachrichtigungen in der Amazon SQS-Warteschlange, die diesem Bucket zugeordnet sind.

  • Zugriff auf AWS KMS-Schlüssel , wenn CloudTrail-Protokolle verschlüsselt sind.

  • Berechtigungen zum Erstellen oder Ändern von CloudTrail-Trails und erforderlichen Ressourcen bei der Bereitstellung eines neuen Pfads.

  • CloudTrail konfiguriert, um Verwaltungsereignisse zu protokollieren.

Hinweis

Microsoft Sentinel-Nutzer: Wenn Sie bereits AWS CloudTrail-Protokolle an Microsoft Sentinel streamen, könnte die Aktivierung der CloudTrail-Erfassung in Defender for Cloud Updates für Ihre Sentinel-Konfiguration erfordern. Überprüfen Sie den aktualisierten Workflow, um Aufnahmekonflikte zu vermeiden, indem Sie ein mit Sentinel verbundenes AWS-Konto mit Defender for Cloud verbinden.

Konfigurieren der CloudTrail-Erfassung in Microsoft Defender for Cloud

Nachdem Ihr AWS-Konto verbunden ist:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Ihren AWS-Connector aus.

  4. Öffnen Sie unter Überwachungsabdeckung die Einstellungen.

  5. Aktivieren Sie AWS CloudTrail-Erfassung (Vorschau). Dadurch werden dem Setupworkflow CloudTrail-Konfigurationsoptionen hinzugefügt.

    Screenshot der Anzeige der Defender for Cloud-Planauswahlseite für einen AWS-Connector.

  6. Wählen Sie aus, ob sie in einen vorhandenen CloudTrail-Trail integriert werden sollen, oder erstellen Sie eine neue:

    • Wählen Sie "Manuelles Bereitstellen von Traildetails " aus, um einen vorhandenen CloudTrail-Trail zu verwenden.

      1. Stellen Sie den ARN des Amazon S3-Buckets und den ARN der SQS-Warteschlange bereit, die mit dem vorhandenen Trail verknüpft sind.
      2. Wenn Sie dazu aufgefordert werden, stellen oder aktualisieren Sie den CloudFormation-Stack.

      Hinweis

      Wenn Sie einen vorhandenen Trail auswählen, führt Defender für Cloud eine einmalige Sammlung von bis zu 90 Tagen historischer CloudTrail-Verwaltungsereignisse durch. Wenn die Aufnahme von CloudTrail deaktiviert ist, werden die während dieses Vorgangs gesammelten historischen Daten entfernt. Durch die erneute Aktivierung der CloudTrail-Erfassung wird eine neue historische Datensammlung ausgelöst.

    • Wählen Sie "Neuen AWS CloudTrail erstellen " aus, um einen neuen Trail bereitzustellen.

      1. Stellen Sie die CloudFormation- oder Terraform-Vorlage bereit, wenn Sie dazu aufgefordert werden.
      2. Nachdem die Bereitstellung abgeschlossen ist, suchen Sie die ARN der SQS-Warteschlange in der AWS-Konsole.
      3. Kehren Sie zu Defender for Cloud zurück und geben Sie die SQS ARN im Feld SQS ARN ein.

      Screenshot der Einstellungen für die AWS CloudTrail-Aufnahme für einen AWS-Connector in Defender for Cloud.

Verwendung von CloudTrail-Daten in Defender für Cloud

Nach Abschluss der Konfiguration:

  • AWS CloudTrail zeichnet Verwaltungsereignisse aus Ihrem AWS-Konto auf.
  • Protokolldateien werden in einen Amazon S3-Bucket geschrieben.
  • Amazon SQS sendet Benachrichtigungen, wenn neue Protokolle verfügbar sind.
  • Defender für Cloud fragt die SQS-Warteschlange ab, um die Protokolldateiverweise abzurufen.
  • Defender for Cloud verarbeitet Protokolltelemetrie und bereichert CIEM- und Haltungserkenntnisse.

Sie können CloudTrail-Ereignisauswahlen anpassen, um zu ändern, welche Verwaltungsereignisse erfasst werden.

Überprüfen der CloudTrail-Erfassung

Zum Bestätigen, dass CloudTrail-Telemetrie in Defender für Cloud eingeht:

  • Stellen Sie sicher, dass der S3-Bucket Defender für Cloud die Berechtigung zum Lesen von Protokolldateien gewährt.
  • Stellen Sie sicher, dass SQS-Benachrichtigungen für neue Protokolllieferungen konfiguriert sind.
  • Bestätigen Sie, dass die IAM-Rollen den Zugriff auf CloudTrail-Artefakte und verschlüsselte Objekte ermöglichen.
  • Überprüfen Sie Defender für Cloud-Empfehlungen und Identitätserkenntnisse nach dem Setup.

Der Empfang von Signalen kann je nach Übermittlungshäufigkeit von CloudTrail und Ereignisvolumen Zeit in Anspruch nehmen.

Nächste Schritte

  • Last updated on