Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Cloud trägt zum Schutz von Workloads bei, die in Amazon Web Services (AWS) ausgeführt werden. Um Ihre AWS-Ressourcen und Empfehlungen für die Oberflächensicherheit zu bewerten, müssen Sie Ihr AWS-Konto mit Defender for Cloud verbinden. Der Connector sammelt Konfigurations- und Sicherheitssignale von AWS-Diensten, sodass Defender für Cloud den Haltungsstatus analysieren, Empfehlungen generieren und Warnungen anzeigen kann.
Sie können mehr erfahren, indem Sie sich das Video Neuer AWS-Connector in Defender for Cloud aus der Videoserie Defender für Cloud im Einsatz ansehen.
Wichtig
Wenn Ihr AWS-Konto bereits mit Microsoft Sentinel verbunden ist, kann es zusätzliche Konfigurationen erfordern, um Probleme bei der Bereitstellung oder Datenerfassung zu vermeiden, wenn Sie es mit Defender for Cloud verbinden möchten. Befolgen Sie die Anleitungen in Verknüpfen eines mit Sentinel verbundenen AWS-Kontos mit Defender for Cloud.
Authentifizierungsarchitektur
Wenn Sie ein AWS-Konto verbinden, authentifiziert sich Microsoft Defender für Cloud bei AWS mithilfe von Verbundvertrauens- und kurzlebigen Anmeldeinformationen, ohne langlebige Geheimnisse zu speichern.
Erfahren Sie mehr darüber , wie die Authentifizierung zwischen Microsoft Entra ID und AWS hergestellt wird, einschließlich der IAM-Rollen und Vertrauensbeziehungen, die während des Onboardings erstellt wurden.
Voraussetzungen
Bevor Sie Ihr AWS-Konto verbinden, stellen Sie sicher, dass Sie folgendes haben:
Ein Microsoft Azure-Abonnement Wenn Sie kein Abonnement haben, registrieren Sie sich für ein kostenloses Abonnement.
Microsoft Defender für Cloud ist für dieses Abonnement aktiviert.
Zugriff auf ein AWS-Konto.
Berechtigung zum Erstellen von Ressourcen in Azure (Mitwirkender oder höher).
Zusätzliche Anforderungen gelten beim Aktivieren bestimmter Defender-Pläne. Überprüfen Sie die Anforderungen des systemeigenen Connectorplans.
Hinweis
Der AWS-Connector ist in den nationalen Regierungsclouds nicht verfügbar (Azure Government, Microsoft Azure, betrieben von 21Vianet).
Anforderungen an den nativen Connector-Plan
Jeder Defender-Plan hat bestimmte Setupanforderungen.
- Defender für Container
- Defender für SQL
- Defender für Open-Source-Datenbanken (Vorschau)
- Defender für Server
- Defender CSPM
- Mindestens ein Amazon EKS-Cluster mit Zugriff auf den Kubernetes-API-Server. Wenn Sie keinen haben, erstellen Sie einen neuen EKS-Cluster.
- Kapazität zum Erstellen einer Amazon SQS-Warteschlange, eines Kinesis Data Firehose-Übermittlungsstreams und eines Amazon S3-Buckets in derselben Region wie der Cluster.
Herstellen einer Verbindung mit Ihrem AWS-Konto
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.
Wählen Sie Umgebung hinzufügen>Amazon Web Services aus.
Geben Sie die AWS-Kontodetails ein, einschließlich der Azure-Region, in der die Connectorressource erstellt wird.
Verwenden Sie das Dropdownmenü für AWS-Regionen, um die Regionen auszuwählen, die von Defender for Cloud überwacht werden. Regionen, die Sie deaktivieren, erhalten keine API-Aufrufe von Defender für Cloud.
Wählen Sie ein Scanintervall aus (4, 6, 12 oder 24 Stunden).
Diese Auswahl definiert das Standardintervall für die meisten Haltungsprüfungen. Einige Datensammler mit festen Intervallen werden unabhängig von dieser Einstellung häufiger ausgeführt:
Scanintervall Datensammler 1 Stunde EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup 12 Stunden EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration Wählen Sie "Weiter" aus: Wählen Sie "Pläne" und dann die Defender-Pläne aus, die Sie aktivieren möchten.
Überprüfen Sie die Standardplanauswahl, da einige Pläne je nach Konfiguration möglicherweise automatisch aktiviert werden. Beispielsweise erweitert der Datenbankplan die Abdeckung durch Defender for SQL auf AWS EC2, RDS Custom für Microsoft SQL Server und relationale Open-Source-Datenbanken auf RDS.
Jeder Plan kann Gebühren verursachen. Erfahren Sie mehr zu Tarife für Defender for Cloud.
Wichtig
Um aktuelle Empfehlungen zu präsentieren, fragt Defender CSPM mehrmals täglich die APIs der AWS-Ressourcen ab. Diese schreibgeschützten API-Aufrufe verursachen keine AWS-Gebühren. CloudTrail kann sie jedoch aufzeichnen, wenn Sie die Leseereignisprotokollierung aktivieren. Das Exportieren dieser Daten in externe SIEM-Systeme kann die Aufnahmekosten erhöhen. Filtern Sie bei Bedarf schreibgeschützte Aufrufe von:
arn:aws:iam::<accountId>:role/CspmMonitorAwsWählen Sie "Zugriff konfigurieren" und dann Folgendes aus:
- Standardzugriff: Gewährt Berechtigungen, die für aktuelle und zukünftige Funktionen erforderlich sind.
- Mindestberechtigungszugriff: Gewährt nur die Berechtigungen, die heute erforderlich sind. Möglicherweise erhalten Sie Benachrichtigungen, wenn später zusätzlicher Zugriff erforderlich ist.
Wählen Sie eine Bereitstellungsmethode aus:
- AWS CloudFormation
- Terraform.
Hinweis
Beim Onboarding eines Verwaltungskontos verwendet Defender für Cloud AWS StackSets und erstellt automatisch Connectors für untergeordnete Konten. Die automatische Bereitstellung ist für neu ermittelte Konten aktiviert.
Hinweis
Wenn Sie ein Verwaltungskonto auswählen, um einen Connector zu einem Verwaltungskonto zu erstellen, ist die Registerkarte für das Onboarding mit Terraform in der Benutzeroberfläche nicht sichtbar. Terraform Onboarding wird weiterhin unterstützt. Anleitungen finden Sie unter Onboarding Ihrer AWS/GCP-Umgebung in Microsoft Defender für Cloud mit Terraform.
Folgen Sie den Anweisungen auf dem Bildschirm, um die CloudFormation-Vorlage bereitzustellen. Wenn Sie Terraform auswählen, folgen Sie den entsprechenden Bereitstellungsanweisungen im Portal.
Wählen Sie Weiter: Überprüfen und generieren aus.
Klicken Sie auf Erstellen.
Defender for Cloud beginnt mit dem Scannen Ihrer AWS-Ressourcen. Sicherheitsempfehlungen werden innerhalb weniger Stunden angezeigt.
Überprüfung der Steckverbinder-Integrität
So bestätigen Sie, dass Ihr AWS-Connector ordnungsgemäß funktioniert:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.
Suchen Sie das AWS-Konto, und überprüfen Sie die Spalte "Konnektivitätsstatus ", um festzustellen, ob die Verbindung fehlerfrei ist oder Probleme hat.
Wählen Sie den in der Spalte "Konnektivitätsstatus " angezeigten Wert aus, um weitere Details anzuzeigen.
Auf der Seite "Umgebungsdetails" werden alle erkannten Konfigurations- oder Berechtigungsprobleme aufgeführt, die sich auf die Verbindung mit dem AWS-Konto auswirken.
Wenn ein Problem vorhanden ist, können Sie es auswählen, um eine Beschreibung des Problems und die empfohlenen Korrekturschritte anzuzeigen. In einigen Fällen wird ein Korrekturskript bereitgestellt, um das Problem zu beheben.
Erfahren Sie mehr über die Problembehandlung von Multicloud-Connectors.
Bereitstellen einer CloudFormation-Vorlage in Ihrem AWS-Konto
Stellen Sie als Teil des Onboardings die generierte CloudFormation-Vorlage bereit:
- Als Stack (individuelles Konto)
- Als StackSet (Verwaltungskonto)
Bereitstellungsoptionen für Vorlagen
Amazon S3-URL: Laden Sie die heruntergeladene CloudFormation-Vorlage mit Ihren eigenen Sicherheitskonfigurationen in Ihren eigenen S3-Bucket hoch. Geben Sie die S3-URL im AWS-Bereitstellungs-Assistenten an.
Hochladen einer Vorlagendatei: AWS erstellt automatisch einen S3-Bucket zum Speichern der Vorlage. Diese Konfiguration kann die
S3 buckets should require requests to use Secure Socket LayerEmpfehlung auslösen. Sie können das Problem lösen, indem Sie die folgende Bucketrichtlinie anwenden:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"<S3_Bucket_ARN>",
"<S3_Bucket_ARN>/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Hinweis
Beim Ausführen von CloudFormation StackSets beim Onboarding eines AWS-Verwaltungskontos tritt möglicherweise die folgende Fehlermeldung auf: You must enable organizations access to operate a service managed stack set
Dieser Fehler gibt an, dass Sie den vertrauenswürdigen Zugriff für AWS-Organisationen nicht aktiviert haben.
Um diese Fehlermeldung zu beheben, verfügt Ihre CloudFormation StackSets-Seite über eine Eingabeaufforderung mit einer Schaltfläche, die Sie auswählen können, um den vertrauenswürdigen Zugriff zu aktivieren. Nachdem der vertrauenswürdige Zugriff aktiviert wurde, muss der CloudFormation-Stapel erneut ausgeführt werden.
Aktivieren der Protokollaufnahme für AWS CloudTrail (Vorschau)
Aws CloudTrail Management-Ereigniseinnahme kann Identitäts- und Konfigurationseinblicke verbessern, indem Kontext für CIEM-Bewertungen, aktivitätsbasierte Risikoindikatoren und Konfigurationsänderungserkennung hinzugefügt werden.
Erfahren Sie mehr über die Integration von AWS CloudTrail-Protokollen in Microsoft Defender for Cloud (Preview).
Weitere Informationen
Sehen Sie sich die folgenden Blogs an:
- Ignite 2021: Neuigkeiten zu Microsoft Defender for Cloud
- Sicherheitsstatusverwaltung und Serverschutz für AWS und GCP
Nächste Schritte
- Zuweisen des Zugriffs zu Workloadbesitzern
- Schützen Sie alle Ihre Ressourcen mit Defender for Cloud.
- Richten Sie Ihre lokalen Computer und GCP-Projekte ein.
- Hier erhalten Sie Antworten auf allgemeine Fragen zum Onboarding Ihres AWS-Kontos.
- Problembehandlung bei Multi-Cloud-Connectors