Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El plan de bases de datos relacionales de código abierto de Defender para la nube de Microsoft Defender le ayuda a detectar e investigar actividades inusuales en las bases de datos de AWS RDS. Este plan admite los siguientes tipos de instancia de base de datos:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
En este artículo se explica cómo habilitar Defender para bases de datos relacionales de código abierto en AWS para que pueda empezar a recibir alertas para actividades sospechosas.
Al habilitar este plan, Defender for Cloud también detecta información confidencial en su cuenta de AWS y enriquece la información de seguridad con estos hallazgos. Esta funcionalidad también se incluye en Defender Cloud Security Posture Management (CSPM).
Obtenga más información sobre este plan de Microsoft Defender en Información general de Microsoft Defender para bases de datos relacionales de código abierto.
Requisitos previos
Necesita una suscripción de Microsoft Azure. Si aún no tiene una, puede registrarse para obtener una suscripción gratuita.
Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.
Al menos una cuenta de AWS conectada con los permisos y acceso necesarios.
Disponibilidad de la región: todas las regiones públicas de AWS (excepto Tel Aviv, Milán, Jakarta, España y Bahréin).
Habilitación de Defender para bases de datos relacionales de código abierto
Inicio de sesión en Azure Portal
Busque y seleccione Microsoft Defender for Cloud.
Seleccione Configuración del entorno.
Seleccione la cuenta de AWS correspondiente.
Busque el plan Bases de datos y seleccione Configuración.
Cambie las bases de datos relacionales de código abierto a Activado.
Nota:
Al activar bases de datos relacionales de código abierto, también se habilita la detección de datos confidenciales, una característica compartida con CSPM de Defender para los recursos del servicio de bases de datos relacionales (RDS).
Obtenga más información sobre la Detección de datos confidenciales en instancias de AWS RDS.
Seleccione Configurar acceso.
En la sección método de implementación, seleccione Descargar.
Siga las instrucciones para actualizar la pila en AWS. Este proceso crea o actualiza la plantilla de CloudFormation con los permisos necesarios.
Active la casilla que confirma que la plantilla de CloudFormation se actualizó en el entorno de AWS (Stack).
Seleccione Revisar y generar.
Revise la información y seleccione Actualizar.
Después, Defender for Cloud actualiza automáticamente la configuración del grupo de opciones y parámetros pertinentes.
Permisos necesarios para el rol DefenderForCloud-DataThreatProtectionDB
Los permisos siguientes son necesarios para el rol que se crea o actualiza cuando descarga la plantilla de CloudFormation y actualiza la pila de AWS. Estos permisos permiten a Defender for Cloud administrar la configuración de auditoría y recopilar registros de actividad de base de datos de las instancias de AWS RDS.
| Permiso | Descripción |
|---|---|
| rds:AddTagsToResource | Agrega etiquetas en grupos de parámetros y opciones creados por el plan. |
| rds:DescribeDBClusterParameters (comando para describir parámetros de clúster de base de datos) | Describe los parámetros dentro del grupo de clústeres. |
| rds:CreateDBParameterGroup | Crea un grupo de parámetros de base de datos. |
| rds:ModifyOptionGroup | Modifica las opciones dentro de un grupo de opciones. |
| rds:DescribeDBLogFiles | Describe los archivos de registro de la base de datos. |
| rds:DescribeDBParameterGroups | Describe los grupos de parámetros de base de datos. |
| rds:CreateOptionGroup | Crea un grupo de opciones. |
| rds:ModifyDBParameterGroup | Modifica los parámetros dentro de los grupos de parámetros de base de datos. |
| rds:DownloadDBLogFilePortion | Descarga partes del archivo de registro. |
| rds:DescribeDBInstances | Describe las instancias de base de datos. |
| rds:ModifyDBClusterParameterGroup | Modifica los parámetros del clúster dentro del grupo de parámetros del clúster. |
| rds:ModifyDBInstance | Modifica las bases de datos para asignar los grupos de parámetros o opciones según sea necesario. |
| rds:ModifyDBCluster | Modifica los clústeres para asignar grupos de parámetros de clúster según sea necesario. |
| rds:DescribeDBParameters | Describe los parámetros dentro del grupo de bases de datos. |
| rds:CreateDBClusterParameterGroup | Crea un grupo de parámetros de clúster. |
| rds:DescribeDBClusters | Describe los clústeres. |
| rds:DescribeDBClusterParameterGroups | Describe los grupos de parámetros del clúster. |
| rds:DescribeOptionGroups | Describe los grupos de opciones. |
Configuración del grupo de opciones y parámetros afectados
Al habilitar Defender para bases de datos relacionales de código abierto, Defender for Cloud configura automáticamente los parámetros de auditoría en las instancias de RDS para consumir y analizar patrones de acceso. No es necesario modificar esta configuración manualmente; aparecen aquí como referencia.
| Tipo | Parámetro | Value |
|---|---|---|
| PostgreSQL y Aurora PostgreSQL | registro_de_conexiones | 1 |
| PostgreSQL y Aurora PostgreSQL | registro_de_desconexiones | 1 |
| Grupo de parámetros de clúster de Aurora MySQL | registro_de_auditoría_del_servidor | 1 |
| Grupo de parámetros de clúster de Aurora MySQL | eventos_de_auditoría_del_servidor | - Si existe, expanda el valor para incluir CONNECT, QUERY, - Si no existe, agréguelo con el valor CONNECT, QUERY. |
| Grupo de parámetros de clúster de Aurora MySQL | server_audit_excl_users | Si existe, expándalo para incluir rdsadmin. |
| Grupo de parámetros de clúster de Aurora MySQL | server_audit_incl_users | - Si existe con un valor y rdsadmin como parte de incluido, entonces no está presente en SERVER_AUDIT_EXCL_USER, y el valor de include está vacío. |
Se requiere un grupo de opciones para MySQL y MariaDB con las siguientes opciones para el MARIADB_AUDIT_PLUGIN.
Si la opción no existe, agréguela; Si existe, expanda los valores según sea necesario.
| Nombre de la opción | Value |
|---|---|
| SERVER_AUDIT_EVENTS | Si existe, expanda el valor para incluir CONNECT Si no existe, agréguelo con el valor CONNECT. |
| SERVER_AUDIT_EXCL_USER | Si existe, expándalo para incluir rdsadmin. |
| AUDITORÍA_DEL_SERVIDOR_INCLUYE_USUARIOS | Si existe con un valor y rdsadmin forma parte del elemento incluido, no está presente en SERVER_AUDIT_EXCL_USER y el valor de include está vacío. |
Importante
Es posible que tenga que reiniciar las instancias para aplicar estos cambios.
Si usa el grupo de parámetros predeterminado, Defender for Cloud crea un nuevo grupo de parámetros con los cambios necesarios y el prefijo defenderfordatabases*.
Si crea un nuevo grupo de parámetros o actualiza parámetros estáticos, los cambios no surten efecto hasta que reinicie la instancia.
Nota:
Si ya existe un grupo de parámetros, se actualiza en consecuencia.
MARIADB_AUDIT_PLUGINse admite en MariaDB 10.2 y versiones posteriores, MySQL 8.0.25 y versiones posteriores de 8.0 y Todas las versiones de MySQL 5.7.Los cambios que realiza Defender for Cloud en las instancias de
MARIADB_AUDIT_PLUGINfor MySQL se aplican durante la siguiente ventana de mantenimiento. Para obtener más información, consulte MARIADB_AUDIT_PLUGIN para instancias de MySQL.
Contenido relacionado
- Qué se admite en la detección de datos confidenciales
- Detección de datos confidenciales en instancias de AWS RDS