Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le plan de bases de données relationnelles open source de Microsoft Defender pour Cloud vous aide à détecter et à examiner les activités inhabituelles dans vos bases de données AWS RDS. Ce plan prend en charge les types d’instances de base de données suivants :
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Cet article explique comment activer Defender pour les bases de données relationnelles open source sur AWS afin de pouvoir commencer à recevoir des alertes pour une activité suspecte.
Lorsque vous activez ce plan, Defender pour Cloud découvre également des données sensibles dans votre compte AWS et enrichit les insights de sécurité avec ces résultats. Cette fonctionnalité est également incluse dans le cspM (Defender Cloud Security Posture Management).
Pour en savoir plus sur ce plan Microsoft Defender, consultez Vue d’ensemble de Microsoft Defender pour les bases de données relationnelles open source.
Prérequis
Cette opération nécessite un abonnement Microsoft Azure. Si vous n’en avez pas, vous pouvez vous inscrire pour obtenir un abonnement gratuit.
Vous devez activer Microsoft Defender for Cloud sur votre abonnement Azure.
Au moins un compte AWS connecté avec l’accès et les autorisations requis.
Disponibilité de la région : toutes les régions AWS publiques (à l’exclusion de Tel Aviv, Milan, Jakarta, Espagne et Bahreïn).
Activer Defender pour les bases de données relationnelles open source
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender for Cloud.
Sélectionnez Paramètres d’environnement.
Sélectionnez le compte AWS en question.
Recherchez le plan Bases de données et sélectionnez Paramètres.
Basculez les bases de données relationnelles open source sur Activé.
Remarque
L’activation de bases de données relationnelles open source permet également la découverte de données sensibles, une fonctionnalité partagée avec Defender CSPM pour les ressources de service de base de données relationnelle (RDS).
Apprenez-en davantage sur la découverte des données sensibles dans les instances AWS RDS.
Sélectionnez Configurer l’accès.
Dans la section Méthode de déploiement, sélectionnez Télécharger.
Suivez les instructions pour mettre à jour le stack dans AWS. Ce processus crée ou met à jour le modèle CloudFormation avec les autorisations requises.
Cochez la case confirmant que le modèle CloudFormation a été mis à jour sur l’environnement AWS (Stack).
Sélectionnez Vérifier et générer.
Passez en revue les informations et sélectionnez Mettre à jour.
Defender pour Cloud met ensuite automatiquement à jour les paramètres et les paramètres de groupe d’options appropriés.
Autorisations requises pour le rôle DefenderForCloud-DataThreatProtectionDB
Les autorisations suivantes sont requises pour le rôle créé ou mis à jour lorsque vous téléchargez le modèle CloudFormation et mettez à jour la pile AWS. Ces autorisations permettent à Defender for Cloud de gérer la configuration de l’audit et de collecter les journaux d’activité de base de données à partir de vos instances AWS RDS.
| Autorisation | Descriptif |
|---|---|
| rds:AddTagsToResource | Ajoute des balises sur les groupes d’options et de paramètres créés par le plan. |
| rds :DescribeDBClusterParameters | Décrit les paramètres à l’intérieur du groupe de clusters. |
| rds :CreateDBParameterGroup | Crée un groupe de paramètres de base de données. |
| rds:ModifyOptionGroup | Modifie les options à l’intérieur d’un groupe d’options. |
| rds :DescribeDBLogFiles | Décrit les fichiers journaux de base de données. |
| rds :DescribeDBParameterGroups | Décrit les groupes de paramètres de base de données. |
| rds:CreateOptionGroup | Crée un groupe d’options. |
| rds :ModifyDBParameterGroup | Modifie les paramètres à l’intérieur des groupes de paramètres de base de données. |
| rds : DownloadDBLogFilePortion | Télécharge les parties du fichier journal. |
| rds:DescribeDBInstances | Décrit les instances de base de données. |
| rds :ModifyDBClusterParameterGroup | Modifie les paramètres de cluster à l’intérieur du groupe de paramètres de cluster. |
| rds :ModifyDBInstance | Modifie les bases de données pour affecter des groupes de paramètres ou d’options en fonction des besoins. |
| rds:Modifier le cluster de base de données (ModifyDBCluster) | Modifie les clusters pour affecter des groupes de paramètres de cluster en fonction des besoins. |
| rds :DescribeDBParameters | Décrit les paramètres à l’intérieur du groupe de base de données. |
| rds CreateDBClusterParameterGroup | Crée un groupe de paramètres de cluster. |
| rds:DescribeDBClusters | Décrit les clusters. |
| rds :DescribeDBClusterParameterGroups | Décrit les groupes de paramètres de cluster. |
| rds:DescribeOptionGroups | Décrit les groupes d’options. |
Paramètres de groupes d’options et de groupes de paramètres affectés
Lorsque vous activez Defender pour les bases de données relationnelles open source, Defender pour Cloud configure automatiquement les paramètres d’audit dans vos instances RDS pour consommer et analyser les modèles d’accès. Vous n’avez pas besoin de modifier ces paramètres manuellement ; ils sont répertoriés ici pour référence
| Type | Paramètre | Valeur |
|---|---|---|
| PostgreSQL et Aurora PostgreSQL | journaliser les connexions | 1 |
| PostgreSQL et Aurora PostgreSQL | journaliser_les_déconnexions | 1 |
| Groupe de paramètres de cluster Aurora MySQL | server_audit_logging | 1 |
| Groupe de paramètres de cluster Aurora MySQL | server_audit_events | - S’il existe, développez la valeur pour inclure CONNECT, QUERY, - S’il n’existe pas, ajoutez-le avec la valeur CONNECT, QUERY. |
| Groupe de paramètres de cluster Aurora MySQL | server_audit_excl_users | S’il existe, développez-le pour inclure rdsadmin. |
| Groupe de paramètres de cluster Aurora MySQL | server_audit_incl_users | - S’il existe avec une valeur et que rdsadmin fait partie des inclus, alors il n’est pas présent dans SERVER_AUDIT_EXCL_USER et la valeur de include est vide. |
Un groupe d’options est requis pour MySQL et MariaDB avec les options suivantes pour le MARIADB_AUDIT_PLUGIN.
Si l’option n’existe pas, ajoutez-la ; s’il existe, développez les valeurs en fonction des besoins.
| Nom d'option | Valeur |
|---|---|
| ÉVÉNEMENTS_D'AUDIT_DU_SERVEUR | S’il existe, développez la valeur pour inclure CONNECT S’il n’existe pas, ajoutez-le avec la valeur CONNECT. |
| SERVER_AUDIT_EXCL_USER | S’il existe, développez-le pour inclure rdsadmin. |
| SERVER_AUDIT_INCL_USERS | S’il existe avec une valeur et rdsadmin fait partie de l’élément inclus, il n’est pas présent dans SERVER_AUDIT_EXCL_USER et la valeur d’inclusion est vide. |
Important
Vous devrez peut-être redémarrer vos instances pour appliquer ces modifications.
Si vous utilisez le groupe de paramètres par défaut, Defender pour Cloud crée un groupe de paramètres avec les modifications requises et le préfixe defenderfordatabases*.
Si vous créez un groupe de paramètres ou mettez à jour des paramètres statiques, les modifications ne prennent pas effet tant que vous n’avez pas redémarré l’instance.
Remarque
Si un groupe de paramètres existe déjà, il est mis à jour en conséquence.
MARIADB_AUDIT_PLUGINest pris en charge dans MariaDB 10.2 et versions ultérieures, MySQL 8.0.25 et versions ultérieures 8.0 et toutes les versions de MySQL 5.7.Les modifications apportées par Defender pour Cloud aux
MARIADB_AUDIT_PLUGINinstances MySQL sont appliquées pendant la fenêtre de maintenance suivante. Pour plus d’informations, consultez MARIADB_AUDIT_PLUGIN pour les instances MySQL.
Contenu connexe
- Ce qui est pris en charge dans la découverte de données sensibles.
- Découverte de données sensibles sur des instances AWS RDS.