Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Cloud ayuda a proteger las cargas de trabajo que se ejecutan en Amazon Web Services (AWS). Para evaluar los recursos de AWS y las recomendaciones de seguridad de superficie, debe conectar su cuenta de AWS a Defender for Cloud. El conector recopila señales de configuración y seguridad de los servicios de AWS, lo que permite a Defender for Cloud analizar la posición, generar recomendaciones y alertas de superficie.
Para obtener más información, vea el vídeo Nuevo conector de AWS en Defender for Cloud en la serie de vídeos Defender for Cloud en el campo.
Importante
Si su cuenta de AWS ya está conectada a Microsoft Sentinel, conectarla a Defender for Cloud puede requerir una configuración adicional para evitar problemas de implementación o ingesta. Siga las instrucciones de Conexión de una cuenta de AWS conectada de Sentinel a Defender for Cloud.
Requisitos previos
Antes de conectar su cuenta de AWS, asegúrese de que tiene:
Una suscripción de Microsoft Azure. Si no tiene una, regístrese para obtener una suscripción gratuita.
Microsoft Defender for Cloud habilitado en esa suscripción.
Acceso a una cuenta de AWS.
Permiso para crear recursos en Azure (colaborador o superior).
Se aplican requisitos adicionales al habilitar planes de Defender específicos. Revise los requisitos del plan del conector nativo.
Nota
El conector de AWS no está disponible en las nubes gubernamentales nacionales (Azure Government, Microsoft Azure operado por 21Vianet).
Requisitos del plan de conector nativo
Cada plan de Defender tiene requisitos de configuración específicos.
- Defender para contenedores
- Defender para SQL
- Defender para bases de datos de código abierto (versión preliminar)
- Defender para servidores
- Defender CSPM
- Al menos un clúster de Amazon EKS con acceso al servidor de API de Kubernetes. Si no tiene uno, cree un nuevo clúster de EKS.
- Capacidad para crear una cola de Amazon SQS, un flujo de entrega de Kinesis Data Firehose y un cubo de Amazon S3 en la misma región que el clúster.
Conecte una cuenta de AWS
Inicie sesión en Azure Portal.
Vaya a Defender for Cloud>Configuración del entorno.
Seleccione Agregar entorno>Amazon Web Services.
Escriba los detalles de la cuenta de AWS, incluida la región de Azure donde se creará el recurso del conector.
Use la lista desplegable Regiones de AWS para seleccionar las regiones que supervisa Defender for Cloud. Las regiones que desmarque no recibirán llamadas API de Defender for Cloud.
Seleccione un intervalo de examen (4, 6, 12 o 24 horas).
Esta selección define el intervalo estándar para la mayoría de las comprobaciones de posición. Algunos recopiladores de datos con intervalos fijos se ejecutan con más frecuencia, independientemente de esta configuración:
Intervalo de detección Recopiladores de datos 1 hora EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup 12 horas EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration Seleccione Siguiente: Seleccione planes y elija los planes de Defender que desea habilitar.
Revise las selecciones de plan predeterminadas, ya que algunos planes se pueden habilitar automáticamente en función de la configuración. Por ejemplo, el plan Bases de datos amplía la cobertura de Defender for SQL a AWS EC2, RDS Custom for SQL Server y bases de datos relacionales de código abierto en RDS.
Cada plan puede incurrir en cargos. Obtenga más información sobre los precios de Defender for Cloud.
Importante
Para presentar recomendaciones actualizadas, CSPM de Defender consulta las API de recursos de AWS varias veces al día. Estas llamadas API de solo lectura no incurren en cargos de AWS. Sin embargo, CloudTrail puede registrarlos si habilita el registro de eventos de lectura. La exportación de estos datos a sistemas SIEM externos puede aumentar los costos de ingesta. Si es necesario, filtre las llamadas de solo lectura de:
arn:aws:iam::<accountId>:role/CspmMonitorAwsSeleccione Configurar acceso y elija:
- Acceso predeterminado: concede permisos necesarios para las funcionalidades actuales y futuras.
- Acceso con privilegios mínimos: concede solo los permisos necesarios actualmente. Puede recibir notificaciones si se necesita acceso adicional más adelante.
Seleccione un método de implementación:
- AWS CloudFormation
- Terraform.
Nota
Al incorporar una cuenta de administración, Defender for Cloud usa AWS StackSets y crea automáticamente conectores para cuentas secundarias. El aprovisionamiento automático está habilitado para las cuentas recién detectadas.
Nota
Si selecciona Cuenta de administración para crear un conector en una cuenta de administración, la pestaña para la incorporación con Terraform no está visible en la interfaz de usuario. Todavía se admite la integración de Terraform. Para obtener instrucciones, consulte Incorporación del entorno de AWS/GCP a Microsoft Defender for Cloud con Terraform.
Siga las instrucciones en pantalla para implementar la plantilla de CloudFormation. Si selecciona Terraform, siga las instrucciones de implementación equivalentes proporcionadas en el portal.
Seleccione Siguiente: Revisar y generar.
Seleccione Crear.
Defender for Cloud comienza a examinar los recursos de AWS. Las recomendaciones de seguridad aparecen en unas pocas horas. Puede supervisar la posición, las alertas y el inventario de recursos de AWS en Defender for Cloud después de la incorporación. Obtenga más información sobre la supervisión de los recursos de AWS conectados.
Implementación de una plantilla de CloudFormation en su cuenta de AWS
Como parte de la incorporación, implemente la plantilla de CloudFormation generada:
- Como Stack (de una sola cuenta)
- Como StackSet (cuenta de administración)
Opciones de implementación de plantillas
Dirección URL de Amazon S3: cargue la plantilla de CloudFormation descargada en su cubo de S3 con sus propias configuraciones de seguridad. Proporcione la dirección URL de S3 en el Asistente para la implementación de AWS.
Cargar un archivo de plantilla: AWS crea automáticamente un cubo S3 para almacenar la plantilla. Esta configuración puede desencadenar la
S3 buckets should require requests to use Secure Socket Layerrecomendación. Puede remediarlo aplicando la siguiente política de bucket:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"<S3_Bucket_ARN>",
"<S3_Bucket_ARN>/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Nota
Al ejecutar CloudFormation StackSets al incorporar una cuenta de administración de AWS, podría aparecer el siguiente mensaje de error: You must enable organizations access to operate a service managed stack set
Este error indica que no ha habilitado el acceso de confianza para AWS Organizations.
Para corregir este mensaje de error, la página CloudFormation StackSets tiene un aviso con un botón que puede seleccionar para habilitar el acceso de confianza. Una vez habilitado el acceso de confianza, CloudFormation Stack debe ejecutarse de nuevo.
Habilitación de la ingesta de registros de AWS CloudTrail (versión preliminar)
La ingesta de eventos de administración de AWS CloudTrail puede mejorar la información de identidad y configuración mediante la adición de contexto para las evaluaciones de CIEM, los indicadores de riesgo basados en la actividad y la detección de cambios de configuración.
Obtenga más información sobre la integración de registros de AWS CloudTrail con Microsoft Defender for Cloud (versión preliminar).
Más información
Consulte los siguientes blogs:
- Ignite 2021: noticias de Microsoft Defender for Cloud
- Administración de la posición de seguridad y protección del servidor para AWS y GCP
Pasos siguientes
- Asignación de acceso a los propietarios de cargas de trabajo.
- Proteja todos los recursos con Defender for Cloud.
- Supervisión de los recursos de AWS conectados
- Configure sus máquinas locales y proyectos GCP.
- Obtenga respuestas a preguntas comunes sobre la incorporación de su cuenta de AWS.
- Solución de problemas de los conectores de varias nubes.