Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Cloud puede recopilar eventos de administración de AWS CloudTrail para aumentar la visibilidad de las operaciones de identidad, los cambios de permisos y otra actividad del plano de control en los entornos de AWS.
La ingesta de CloudTrail agrega señales basadas en la actividad a las funcionalidades de CIEM de Defender for Cloud, lo que permite que el análisis de riesgos de identidad y permisos se base no solo en derechos de identidad configurados, sino también en el uso observado.
La ingesta de CloudTrail mejora la administración de derechos de infraestructura en la nube (CIEM) al ayudar a identificar permisos sin usar, roles mal configurados, identidades inactivas y posibles rutas de escalación de privilegios. También proporciona contexto de actividad que refuerza la detección de desfase de configuración, las recomendaciones de seguridad y el análisis de rutas de acceso a ataques.
La ingesta de CloudTrail está disponible para cuentas únicas de AWS y organizaciones de AWS que usan el registro centralizado.
Prerrequisitos
Antes de habilitar la ingesta de CloudTrail, asegúrese de que su cuenta de AWS tenga:
Plan CSPM de Defender habilitado en la suscripción de Azure.
Permiso para acceder a AWS CloudTrail.
Acceso al cubo de Amazon S3 que almacena los archivos de registro de CloudTrail.
Acceso a las notificaciones de cola de Amazon SQS asociadas a ese cubo.
Acceso a las claves de KMS de AWS si se cifran los registros de CloudTrail.
Permisos para crear o modificar rutas de CloudTrail y recursos necesarios si aprovisiona un nuevo rastro.
CloudTrail configurado para registrar eventos de administración.
Nota:
Usuarios de Microsoft Sentinel: Si ya transmite registros de AWS CloudTrail a Microsoft Sentinel, habilitar la ingesta de CloudTrail en Defender for Cloud puede requerir actualizaciones en la configuración de Sentinel. Revise el flujo de trabajo actualizado para evitar conflictos de ingesta siguiendo Conectar una cuenta de AWS conectada a Sentinel a Defender for Cloud.
Configuración de la ingesta de CloudTrail en Microsoft Defender for Cloud
Una vez conectada la cuenta de AWS:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Seleccione el conector de AWS.
En Cobertura de supervisión, abra Configuración.
Habilite la ingesta de AWS CloudTrail (versión preliminar). Esto agrega opciones de configuración de CloudTrail al flujo de trabajo de instalación.
Elija si quiere integrar con un rastro de CloudTrail existente o cree uno nuevo:
Seleccione Proporcionar manualmente los detalles de la pista para usar un rastro de CloudTrail existente.
- Proporcione el ARN del cubo de Amazon S3 y el ARN de la cola de SQS asociados con el rastro existente.
- Si se le solicita, implemente o actualice la pila de CloudFormation.
Nota:
Al seleccionar una pista existente, Defender for Cloud realiza una recopilación única de hasta 90 días de eventos históricos de administración de CloudTrail. Si la ingesta de CloudTrail está deshabilitada, se quitan los datos históricos recopilados durante este proceso. Al volver a habilitar la ingesta de CloudTrail, se desencadena una nueva recopilación de datos históricos.
Seleccione Crear una nueva instancia de AWS CloudTrail para aprovisionar un nuevo rastro.
- Implemente la plantilla de CloudFormation o Terraform cuando se le solicite.
- Una vez completada la implementación, localice el ARN de la cola de SQS en la consola de AWS.
- Vuelva a Defender for Cloud y escriba el ARN de SQS en el campo ARN de SQS .
Uso de datos de CloudTrail en Defender for Cloud
Después de completar la configuración:
- AWS CloudTrail registra eventos de administración de su cuenta de AWS.
- Los archivos de registro se escriben en un cubo de Amazon S3.
- Amazon SQS envía notificaciones cuando hay nuevos registros disponibles.
- Defender for Cloud sondea la cola de SQS para recuperar las referencias del archivo de registro.
- Defender for Cloud procesa la telemetría de los registros y enriquece CIEM y la información sobre la posición.
Puede personalizar los selectores de eventos de CloudTrail para cambiar los eventos de administración que se capturan.
Validar la ingestión de CloudTrail
Para confirmar que telemetría de CloudTrail se transmite a Defender for Cloud:
- Compruebe que el cubo S3 concede permiso de Defender for Cloud para leer los archivos de registro.
- Asegúrese de que las notificaciones de SQS están configuradas para las nuevas entregas de registros.
- Confirme que los roles de IAM permiten el acceso a artefactos de CloudTrail y objetos cifrados.
- Revise las recomendaciones de Defender for Cloud e información de identidad después de la instalación.
Las señales pueden tardar tiempo en aparecer en función de la frecuencia de entrega y el volumen de eventos de CloudTrail.
Pasos siguientes
- Obtenga más información sobre la supervisión de los recursos de AWS conectados.