Microsoft Defender for Cloud のオープン ソース リレーショナル データベース計画の Defender は、AWS RDS データベース内の異常なアクティビティを検出して調査するのに役立ちます。 このプランでは、次のデータベース インスタンスの種類がサポートされています。
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- マリアDB
この記事では、疑わしいアクティビティに関するアラートの受信を開始できるように、AWS でオープンソースのリレーショナル データベースに対して Defender を有効にする方法について説明します。
このプランを有効にすると、Defender for Cloud は AWS アカウント内の機密データも検出し、これらの結果を使用してセキュリティの分析情報を強化します。 この機能は、Defender Cloud Security Posture Management (CSPM) にも含まれています。
この Microsoft Defender プランの詳細については、「オープンソース リレーショナル データベース用 Microsoft Defender の概要」を参照してください。
前提条件
Microsoft Azure サブスクリプションが必要です。 まだお持ちではない場合は、無料サブスクリプションにサインアップできます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
必要なアクセスとアクセス許可を持つ、少なくとも 1 つの接続された AWS アカウント。
リージョンの可用性: すべてのパブリック AWS リージョン (テルアビブ、ミラノ、ジャカルタ、スペイン、バーレーンを除く)。
オープンソース リレーショナル データベース用 Azure Defender の有効化
Azure portal にサインインします
「Microsoft Defender for Cloud」を検索して選択します。
[環境設定] を選択します。
関連する AWS アカウントを選択します。
[データベース] プランを見つけて、[設定] を選択します。
![[設定] ボタンが配置されている場所を示す AWS 環境設定ページのスクリーンショット。](media/enable-defender-for-databases-aws/databases-settings.png)
オープン ソースのリレーショナル データベースを [オン] に切り替えます。
注
オープン ソースのリレーショナル データベースを有効にすると、リレーショナル データベース サービス (RDS) リソース用の Defender CSPM との共有機能である機密データ検出も有効になります。
AWS RDS インスタンスでの機密データ検出についてご確認ください。
[アクセスの構成] を選択します。
[デプロイ方法] セクションで、[ダウンロード] を選択します。
手順に従って AWS のスタックを更新します。 このプロセスでは、 必要なアクセス許可を使用して CloudFormation テンプレートを作成または更新します。
CloudFormation テンプレートが AWS 環境 (Stack) で更新されたことを確認するチェック ボックスをオンにします。
[確認と生成] を選択します。
情報を確認し、[ 更新] を選択します。
![[設定] ボタンが配置されている場所を示す AWS 環境設定ページのスクリーンショット。](media/enable-defender-for-databases-aws/databases-settings.png#lightbox)
その後、Defender for Cloud は 、関連するパラメーターとオプション グループの設定を自動的に更新します。
DefenderForCloud-DataThreatProtectionDB ロールに必要なアクセス許可
CloudFormation テンプレートをダウンロードして AWS スタックを更新するときに作成または更新されるロールには、次のアクセス許可が必要です。 これらのアクセス許可により、Defender for Cloud は監査構成を管理し、AWS RDS インスタンスからデータベースアクティビティログを収集できます。
| 権限 | 説明 |
|---|---|
| rds:AddTagsToResource | プランによって作成されたオプション グループとパラメーター グループにタグを追加します。 |
| rds:DescribeDBClusterParameters | クラスター グループ内のパラメーターについて説明します。 |
| rds:CreateDBParameterGroup | データベース パラメーター グループを作成します。 |
| rds:ModifyOptionGroup | オプション グループ内のオプションを変更します。 |
| rds:DescribeDBLogFiles | データベース ログ ファイルについて説明します。 |
| rds:DescribeDBParameterGroups | データベース パラメーター グループについて説明します。 |
| rds:CreateOptionGroup(オプショングループ作成機能) | オプション グループを作成します。 |
| rds:ModifyDBParameterGroup | データベース パラメーター グループ内のパラメーターを変更します。 |
| rds:DownloadDBLogFilePortion | ログ ファイルの部分をダウンロードします。 |
| rds:DescribeDBInstances | データベース インスタンスについて説明します。 |
| rds:DBクラスターパラメーターグループの変更 | クラスター パラメーター グループ内のクラスター パラメーターを変更します。 |
| rds:ModifyDBInstance | 必要に応じて、パラメーターまたはオプション グループを割り当てるためにデータベースを変更します。 |
| rds:ModifyDBCluster | 必要に応じてクラスター パラメーター グループを割り当てるようにクラスターを変更します。 |
| rds:DescribeDBParameters | データベース グループ内のパラメーターについて説明します。 |
| rds:CreateDBClusterParameterGroup | クラスター パラメーター グループを作成します。 |
| rds:DescribeDBClusters | クラスターについて説明します。 |
| rds:DescribeDBClusterParameterGroups | クラスター パラメーター グループについて説明します。 |
| rds:DescribeOptionGroups | オプション グループについて説明します。 |
影響を受けるパラメータ グループとオプション グループの設定
オープン ソースのリレーショナル データベースに対して Defender を有効にすると、Defender for Cloud は RDS インスタンスの監査パラメーターを自動的に構成して、アクセス パターンを使用および分析します。 これらの設定を手動で変更する必要はありません。これらは参照用にここに記載されています
| タイプ | パラメーター | 値 |
|---|---|---|
| PostgreSQL と Aurora PostgreSQL | log_connections(ログ接続) | 1 |
| PostgreSQL と Aurora PostgreSQL | log_disconnections | 1 |
| Aurora MySQL クラスター パラメーター グループ | サーバー監査ログ記録 | 1 |
| Aurora MySQL クラスター パラメーター グループ | サーバー監査イベント (server_audit_events) | - 存在する場合、値を拡大して CONNECT、QUERY を含めます。 - 存在しない場合、値 CONNECT、QUERY を追加します。 |
| Aurora MySQL クラスター パラメーター グループ | server_audit_excl_users | 存在する場合、拡大して rdsadmin を含めます。 |
| Aurora MySQL クラスター パラメーター グループ | server_audit_incl_users | - 値と rdsadmin が包含の一部として存在する場合、SERVER_AUDIT_EXCL_USER 内には存在せず、包含の値は空です。 |
MySQL と MariaDB にはオプション グループが必要で、 MARIADB_AUDIT_PLUGINには次のオプションが必要です。
オプションが存在しない場合は、追加します。存在する場合は、必要に応じて値を展開します。
| オプション名 | 値 |
|---|---|
| SERVER_AUDIT_EVENTS | 存在する場合、値を拡大して CONNECT を含めます。 存在しない場合、値 CONNECT を追加します。 |
| SERVER_AUDIT_EXCL_USER | 存在する場合、拡大して rdsadmin を含めます。 |
| SERVER_AUDIT_INCL_USERS | 値と共に存在し、rdsadmin がインクルードの一部である場合、SERVER_AUDIT_EXCL_USERには存在せず、include の値は空です。 |
重要
これらの変更を適用するには、インスタンスの再起動が必要になる場合があります。
既定のパラメーター グループを使用している場合、Defender for Cloud では、必要な変更とプレフィックス defenderfordatabases*を含む新しいパラメーター グループが作成されます。
新しいパラメーター グループを作成するか、静的パラメーターを更新した場合、インスタンスを再起動するまで変更は有効になりません。
注
パラメーター グループが既に存在する場合は、それに応じて更新されます。
MARIADB_AUDIT_PLUGINは、MariaDB 10.2 以降、MySQL 8.0.25 以降の 8.0 バージョン、およびすべての MySQL 5.7 バージョンでサポートされています。Defender for Cloud が MySQL インスタンスの
MARIADB_AUDIT_PLUGINに加える変更は、次のメンテナンス期間中に適用されます。 詳細については、「 MySQL インスタンスのMARIADB_AUDIT_PLUGIN」を参照してください。