Partager via

Connecter des comptes AWS à Microsoft Defender pour le cloud

Microsoft Defender pour Cloud permet de protéger les charges de travail s’exécutant dans Amazon Web Services (AWS). Pour évaluer vos ressources AWS et les recommandations de sécurité de surface, vous devez connecter votre compte AWS à Defender for Cloud. Le connecteur collecte les signaux de configuration et de sécurité des services AWS, ce qui permet à Defender for Cloud d’analyser la posture, de générer des recommandations et des alertes de surface.

Vous pouvez en savoir plus en regardant la vidéo sur le nouveau connecteur AWS dans Defender pour le cloud dans la série de vidéos Defender for Cloud in the Field.

Capture d’écran montrant les comptes AWS répertoriés dans le tableau de bord vue d’ensemble de Defender for Cloud.

Important

Si votre compte AWS est déjà connecté à Microsoft Sentinel, la connexion à Defender for Cloud peut nécessiter une configuration supplémentaire pour éviter les problèmes de déploiement ou d’ingestion. Suivez les instructions fournies dans Connecter un compte AWS connecté à Sentinel à Defender pour cloud.

Architecture d’authentification

Lorsque vous connectez un compte AWS, Microsoft Defender pour Cloud s’authentifie auprès d’AWS à l’aide d’une approbation fédérée et d’informations d’identification de courte durée, sans stocker de secrets de longue durée.

Découvrez comment l’authentification est établie entre Microsoft Entra ID et AWS, notamment les rôles IAM et les relations d’approbation créées lors de l’intégration.

Prérequis

Avant de connecter votre compte AWS, vérifiez que vous disposez des points suivants :

Des exigences supplémentaires s’appliquent lors de l’activation de plans Defender spécifiques. Passez en revue les exigences du plan de connecteur natif.

Remarque

Le connecteur AWS n’est pas disponible sur les clouds gouvernementaux nationaux (Azure Government, Microsoft Azure géré par 21Vianet).

Conditions requises pour le plan de connecteur natif

Chaque plan Defender a des exigences de configuration spécifiques.

  • Au moins un cluster Amazon EKS avec accès au serveur d’API Kubernetes. Si vous n’en avez pas, créez un cluster EKS.
  • Capacité de créer une file d’attente Amazon SQS, un flux de livraison Kinesis Data Firehose et un compartiment Amazon S3 dans la même région que le cluster.

Connecter votre compte AWS

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Paramètres d’environnement.

  3. Sélectionnez Ajouter un environnement>Amazon Web Services.

    Capture d’écran montrant la connexion d’un compte AWS à un abonnement Azure.

  4. Entrez les détails du compte AWS, y compris la région Azure où la ressource de connecteur sera créée.

    Capture d’écran montrant l’onglet permettant d’entrer les détails d’un compte AWS.

    Utilisez la liste déroulante régions AWS pour sélectionner les régions Defender pour les moniteurs cloud. Les régions que vous désélectionnez ne recevront pas d’appels d’API de Defender pour Cloud.

  5. Sélectionnez un intervalle d’analyse (4, 6, 12 ou 24 heures).

    Cette sélection définit l’intervalle standard pour la plupart des vérifications de posture. Certains collecteurs de données avec intervalles fixes s’exécutent plus fréquemment, quel que soit ce paramètre :

    Intervalle de balayage Collecteurs de données
    1 heure EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
    12 heures EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

  6. Sélectionnez Suivant : sélectionnez les plans, puis choisissez les plans Defender que vous souhaitez activer.

    Passez en revue les sélections de plan par défaut, car certains plans peuvent être activés automatiquement en fonction de votre configuration. Par exemple, le plan Bases de données étend la couverture Defender pour SQL à AWS EC2, RDS Custom pour SQL Server et aux bases de données relationnelles open source sur RDS.

    Capture d’écran montrant l’étape de sélection de plan pour un compte AWS.

    Chaque plan peut entraîner des frais. En savoir plus sur la tarification de Defender pour Cloud.

    Important

    Pour présenter des recommandations à jour, Defender CSPM interroge les API des ressources AWS plusieurs fois par jour. Ces appels d’API en lecture seule n’entraînent pas de frais AWS. Toutefois, CloudTrail peut les enregistrer si vous activez la journalisation des événements en lecture. L’exportation de ces données vers des systèmes SIEM externes peut augmenter les coûts d’ingestion. Si nécessaire, filtrez les appels en lecture seule à partir de :

    arn:aws:iam::<accountId>:role/CspmMonitorAws

  7. Sélectionnez Configurer l’accès, puis choisissez :

    • Accès par défaut : accorde des autorisations requises pour les fonctionnalités actuelles et futures.
    • Accès avec privilège minimum : accorde uniquement les autorisations requises aujourd’hui. Vous pouvez recevoir des notifications si un accès supplémentaire est nécessaire ultérieurement.

  8. Sélectionnez une méthode de déploiement :

    • AWS CloudFormation
    • Terraform.

    Capture d’écran montrant la configuration de la méthode de déploiement.

    Remarque

    Lors de l’intégration d’un compte de gestion, Defender pour Cloud utilise AWS StackSets et crée automatiquement des connecteurs pour les comptes enfants. Le provisionnement automatique est activé pour les comptes nouvellement découverts.

    Remarque

    Si vous sélectionnez Compte de gestion pour créer un connecteur à un compte de gestion, l’onglet pour l’intégration avec Terraform n’est pas visible dans l’interface utilisateur. L’intégration et l’adoption de Terraform sont toujours prises en charge. Pour obtenir des conseils, consultez Intégration de votre environnement AWS/GCP à Microsoft Defender pour Cloud avec Terraform.

  9. Suivez les instructions à l’écran pour déployer le modèle CloudFormation. Si vous sélectionnez Terraform, suivez les instructions de déploiement équivalentes fournies dans le portail.

  10. Sélectionnez Suivant : Vérifier et générer.

  11. Sélectionnez Create (Créer).

Defender pour Cloud commence à analyser vos ressources AWS. Les recommandations de sécurité apparaissent au bout de quelques heures.

Valider l’intégrité du connecteur

Pour vérifier que votre connecteur AWS fonctionne correctement :

  1. Connectez-vous au portail Azure.

  2. Accédez à Defender pour le cloud>Paramètres d’environnement.

  3. Recherchez le compte AWS et passez en revue la colonne d’état de connectivité pour déterminer si la connexion est saine ou présente des problèmes.

  4. Sélectionnez la valeur affichée dans la colonne État de connectivité pour afficher plus de détails.

La page détails de l’environnement répertorie les problèmes de configuration ou d’autorisation détectés affectant la connexion au compte AWS.

Capture d’écran de la page détails de l’environnement dans Microsoft Defender pour Cloud montrant l’état de connectivité d’un compte Amazon Web Services connecté.

Si un problème est présent, vous pouvez le sélectionner pour afficher une description du problème et les étapes de correction recommandées. Dans certains cas, un script de correction est fourni pour aider à résoudre le problème.

En savoir plus sur la résolution des problèmes liés aux connecteurs multiclouds.

Déployer un modèle CloudFormation sur votre compte AWS

Dans le cadre de l’intégration, déployez le modèle CloudFormation généré :

  • En tant que Stack (compte unique)
  • En tant que StackSet (compte de gestion)

Capture d’écran montrant l’assistant de déploiement de modèle CloudFormation.

Options de déploiement de modèle

  • URL Amazon S3 : chargez le modèle CloudFormation téléchargé dans votre propre compartiment S3 avec vos propres configurations de sécurité. Fournissez l’URL S3 dans l’Assistant de Déploiement AWS.

  • Chargez un fichier de modèle : AWS crée automatiquement un compartiment S3 pour stocker le modèle. Cette configuration peut déclencher la S3 buckets should require requests to use Secure Socket Layer recommandation. Vous pouvez le corriger en appliquant la règle de bucket suivante :

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Remarque

Lorsque vous exécutez CloudFormation StackSets lors de l’intégration d’un compte de gestion AWS, vous risquez de rencontrer le message d’erreur suivant : You must enable organizations access to operate a service managed stack set

Cette erreur indique que vous n’avez pas activé l’accès approuvé pour les organisations AWS.

Pour corriger ce message d’erreur, votre page CloudFormation StackSets comporte une invite avec un bouton que vous pouvez sélectionner pour activer l’accès approuvé. Une fois que l’accès approuvé est activé, CloudFormation Stack doit être réexécuté.

Activer l’ingestion de journaux AWS CloudTrail (version préliminaire)

L’ingestion des événements de gestion AWS CloudTrail peut améliorer les insights d’identité et de configuration en ajoutant un contexte pour les évaluations CIEM, les indicateurs de risque basés sur l’activité et la détection des modifications de configuration.

En savoir plus sur l’intégration des journaux AWS CloudTrail à Microsoft Defender for Cloud (version préliminaire)

En savoir plus

Consultez les billets de blog suivants :

Étapes suivantes

  • Last updated on