Udostępnij przez

Integrowanie dzienników usługi AWS CloudTrail z usługą Microsoft Defender for Cloud (wersja zapoznawcza)

Usługa Microsoft Defender for Cloud umożliwia zbieranie zdarzeń zarządzania AWS CloudTrail, aby zwiększyć widoczność operacji związanych z tożsamością, zmian uprawnień oraz innych działań w płaszczyźnie sterowania w środowiskach platformy AWS.

Pozyskiwanie danych w usłudze CloudTrail dodaje sygnały aktywności do funkcji CIEM usługi Defender for Cloud, umożliwiając analizę ryzyka związanego z tożsamością i uprawnieniami nie tylko na podstawie skonfigurowanych uprawnień, ale także na obserwowanym użyciu.

Przetwarzanie danych CloudTrail zwiększa zarządzanie uprawnieniami w chmurze (CIEM), umożliwiając zidentyfikowanie nieużywanych uprawnień, błędnie skonfigurowanych ról, nieaktywnych tożsamości i potencjalnych ścieżek eskalacji uprawnień. Zapewnia również kontekst aktywności, który ulepsza wykrywanie dryfu konfiguracji, rekomendacje dotyczące zabezpieczeń oraz analizę ścieżki ataku.

Pozyskiwanie danych w usłudze CloudTrail jest dostępne dla pojedynczych kont platformy AWS i organizacji platformy AWS korzystających ze scentralizowanego rejestrowania.

Wymagania wstępne

Przed włączeniem pozyskiwania w usłudze CloudTrail upewnij się, że twoje konto platformy AWS ma:

  • Plan CSPM programu Defender włączony w ramach subskrypcji platformy Azure.

  • Uprawnienie dostępu do usługi AWS CloudTrail.

  • Dostęp do zasobnika Amazon S3, który przechowuje pliki dziennika CloudTrail.

  • Dostęp do powiadomień kolejki Amazon SQS skojarzonych z tym bucketem.

  • Dostęp do kluczy usługi KMS platformy AWS , jeśli dzienniki cloudTrail są szyfrowane.

  • Uprawnienia do tworzenia lub modyfikowania ścieżek CloudTrail i wymaganych zasobów w przypadku tworzenia nowej ścieżki.

  • Usługa CloudTrail skonfigurowana do rejestrowania zdarzeń zarządzania.

Uwaga / Notatka

Użytkownicy usługi Microsoft Sentinel: Jeśli już przesyłasz strumieniowo dzienniki usługi AWS CloudTrail do usługi Microsoft Sentinel, włączenie pozyskiwania dzienników CloudTrail w usłudze Defender for Cloud może wymagać aktualizacji konfiguracji w usłudze Sentinel. Przejrzyj zaktualizowany przepływ pracy, aby uniknąć konfliktów integracji, wykonując czynności opisane w dokumencie Łączenie konta AWS połączonego z Sentinel z usługą Defender for Cloud.

Konfigurowanie pozyskiwania usługi CloudTrail w usłudze Microsoft Defender for Cloud

Po nawiązaniu połączenia konta platformy AWS:

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Microsoft Defender for Cloud>ustawień środowiska.

  3. Wybierz łącznik platformy AWS.

  4. W obszarze Pokrycie monitorowania otwórz pozycję Ustawienia.

  5. Włącz zbieranie w usłudze AWS CloudTrail (wersja zapoznawcza). Powoduje dodanie opcji konfiguracji CloudTrail do procesu konfiguracji.

    Zrzut ekranu przedstawiający stronę wyboru planu usługi Defender for Cloud dla łącznika platformy AWS.

  6. Wybierz, czy chcesz zintegrować z istniejącym szlakiem CloudTrail, czy utworzyć nowy:

    • Wybierz Ręcznie podaj szczegóły ścieżki aby użyć istniejącej ścieżki CloudTrail.

      1. Podaj ARN zasobnika Amazon S3 i ARN kolejki SQS skojarzonej z istniejącym śladem.
      2. Jeśli zostanie wyświetlony monit, wdróż lub zaktualizuj stos CloudFormation.

      Uwaga / Notatka

      Po wybraniu istniejącego szlaku usługa Defender for Cloud wykonuje jednorazową kolekcję do 90 dni historycznych zdarzeń zarządzania cloudTrail. Jeśli pozyskiwanie danych cloudTrail jest wyłączone, dane historyczne zebrane podczas tego procesu zostaną usunięte. Ponowne włączenie przyjmowania danych CloudTrail powoduje wyzwolenie nowego historycznego zbioru danych.

    • Wybierz pozycję Utwórz nową usługę AWS CloudTrail , aby aprowizować nowy szlak.

      1. Wdróż szablon CloudFormation lub Terraform po wyświetleniu monitu.
      2. Po ukończeniu wdrażania znajdź ARN kolejki SQS w konsoli AWS.
      3. Wróć do usługi Defender for Cloud i wprowadź wartość SQS ARN w polu SQS ARN.

      Zrzut ekranu przedstawiający ustawienia pozyskiwania usługi AWS CloudTrail dla łącznika platformy AWS w usłudze Defender for Cloud.

Jak usługa Defender for Cloud używa danych CloudTrail

Po zakończeniu konfiguracji:

  • Usługa AWS CloudTrail rejestruje zdarzenia zarządzania z konta platformy AWS.
  • Pliki dziennika są zapisywane w zasobniku amazon S3.
  • Usługa Amazon SQS wysyła powiadomienia, gdy są dostępne nowe dzienniki.
  • Usługa Defender for Cloud przepytuje kolejkę SQS, aby pobrać odwołania do plików dziennika.
  • Usługa Defender for Cloud przetwarza dane telemetryczne dzienników i wzbogaca CIEM oraz informacje o kondycji.

Można dostosować selektory zdarzeń CloudTrail, aby zmienić, które zdarzenia zarządzania są przechwytywane.

Weryfikacja rejestrowania w usłudze CloudTrail

Aby potwierdzić, że dane telemetryczne CloudTrail przepływają do usługi Defender for Cloud:

  • Sprawdź, czy zasobnik S3 przyznaje usłudze Defender for Cloud uprawnienie do odczytywania plików dziennika.
  • Upewnij się, że powiadomienia SQS są skonfigurowane dla nowych dostaw dzienników.
  • Upewnij się, że role IAM zezwalają na dostęp do artefaktów CloudTrail i zaszyfrowanych obiektów.
  • Zapoznaj się z zaleceniami usługi Defender for Cloud i szczegółowymi informacjami o tożsamościach po skonfigurowaniu.

Sygnały mogą się pojawić z opóźnieniem, w zależności od częstotliwości dostarczania przez CloudTrail oraz ilości zdarzeń.

Dalsze kroki

  • Last updated on