Delen via

AWS CloudTrail-logboeken integreren met Microsoft Defender for Cloud (preview)

Microsoft Defender voor Cloud kan AWS CloudTrail-beheergebeurtenissen verzamelen om inzicht te krijgen in identiteitsbewerkingen, wijzigingen in machtigingen en andere activiteiten op het besturingsvlak in uw AWS-omgevingen.

CloudTrail-opname voegt op activiteiten gebaseerde signalen toe aan de CIEM-mogelijkheden van Defender for Cloud, waardoor risicoanalyse van identiteiten en machtigingen niet alleen kan worden gebaseerd op geconfigureerde identiteitsrechten, maar ook op waargenomen gebruik.

CloudTrail-opname verbetert CIEM (Cloud Infrastructure Entitlement Management) door ongebruikte machtigingen, onjuist geconfigureerde rollen, slapende identiteiten en mogelijke escalatiepaden voor bevoegdheden te identificeren. Het biedt ook activiteitscontext die de detectie van configuratiedrift, beveiligingsaan aanbevelingen en analyse van aanvalspaden versterkt.

CloudTrail-opname is beschikbaar voor één AWS-account en AWS-organisaties die gebruikmaken van gecentraliseerde logboekregistratie.

Vereiste voorwaarden

Voordat u CloudTrail-opname inschakelt, moet u ervoor zorgen dat uw AWS-account het volgende heeft:

  • Defender CSPM-abonnement ingeschakeld voor het Azure-abonnement.

  • Machtiging voor toegang tot AWS CloudTrail.

  • Toegang tot de Amazon S3-bucket waarin CloudTrail-logboekbestanden worden opgeslagen.

  • Toegang tot de Amazon SQS-wachtrijmeldingen die aan die bucket zijn gekoppeld.

  • Toegang tot AWS KMS-sleutels als CloudTrail-logboeken zijn versleuteld.

  • Machtigingen voor het maken of wijzigen van CloudTrail-paden en vereiste resources bij het inrichten van een nieuw spoor.

  • CloudTrail geconfigureerd om beheeractiviteiten te registreren.

Opmerking

Microsoft Sentinel-gebruikers: Als u AWS CloudTrail-logboeken al naar Microsoft Sentinel streamt, kan het zijn dat voor het inschakelen van CloudTrail-opname in Defender for Cloud updates zijn vereist voor uw Sentinel-configuratie. Bekijk de bijgewerkte werkstroom om opnameconflicten te voorkomen door een Sentinel-verbonden AWS-account aan Defender for Cloud te koppelen.

CloudTrail-gegevensinvoer configureren in Microsoft Defender voor Cloud

Nadat uw AWS-account is verbonden:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar microsoft Defender voor Cloud>Environment-instellingen.

  3. Selecteer uw AWS-connector.

  4. Open Instellingen onder Bewakingsdekking.

  5. AWS CloudTrail-opname inschakelen (Preview). Hiermee worden CloudTrail-configuratieopties toegevoegd aan de installatiewerkstroom.

    Schermopname van de selectiepagina van het Defender for Cloud-plan voor een AWS-connector.

  6. Kies of u wilt integreren met een bestaande CloudTrail-trail of een nieuwe wilt maken:

    • Selecteer Handmatig routegegevens opgeven om een bestaand CloudTrail-spoor te gebruiken.

      1. Geef de Amazon S3-bucket-ARN en SQS-wachtrij-ARN op die aan de bestaande trail zijn gekoppeld.
      2. Implementeer of werk de CloudFormation-stack bij als u hierom wordt gevraagd.

      Opmerking

      Wanneer u een bestaand pad selecteert, voert Defender for Cloud een eenmalige verzameling van maximaal 90 dagen historische CloudTrail-beheergebeurtenissen uit. Als CloudTrail-opname is uitgeschakeld, worden de historische gegevens die tijdens dit proces worden verzameld, verwijderd. Door CloudTrail-opname opnieuw in te schakelen, wordt een nieuwe historische gegevensverzameling geactiveerd.

    • Selecteer Een nieuwe AWS CloudTrail maken om een nieuw pad in te richten.

      1. Implementeer de CloudFormation- of Terraform-sjabloon wanneer hierom wordt gevraagd.
      2. Nadat de implementatie is voltooid, zoekt u de SQS-wachtrij-ARN in de AWS-console.
      3. Ga terug naar Defender for Cloud en voer de SQS ARN in het veld SQS ARN in.

      Schermopname van de ingestie-instellingen voor AWS CloudTrail voor een AWS-connector in Defender for Cloud.

Hoe Defender voor Cloud Gebruikmaakt van CloudTrail-gegevens

Nadat u de configuratie hebt voltooid:

  • AWS CloudTrail registreert beheer gebeurtenissen van uw AWS-account.
  • Logboekbestanden worden geschreven naar een Amazon S3-bucket.
  • Amazon SQS verzendt meldingen wanneer er nieuwe logboeken beschikbaar zijn.
  • Defender for Cloud peilt de SQS-wachtrij om de logboekbestandverwijzingen op te halen.
  • Defender for Cloud verwerkt logboektelemetrie en verrijkt CIEM- en houdinginzichten.

U kunt CloudTrail-gebeurteniskiezers aanpassen om te wijzigen welke beheer gebeurtenissen worden vastgelegd.

CloudTrail-opname valideren

Ga als volgt te werk om te bevestigen dat CloudTrail-telemetrie naar Defender for Cloud wordt gestuurd:

  • Controleer of de S3-bucket Defender for Cloud-machtigingen verleent voor het lezen van logboekbestanden.
  • Zorg ervoor dat SQS-meldingen zijn geconfigureerd voor nieuwe logboekleveringen.
  • Controleer of IAM-rollen inderdaad toegang verlenen tot CloudTrail-objecten en versleutelde objecten.
  • Bekijk Defender for Cloud-aanbevelingen en identiteitsinzichten na de installatie.

Het kan even duren voordat signalen worden weergegeven, afhankelijk van de leveringsfrequentie en het gebeurtenisvolume van CloudTrail.

  • Last updated on