Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Defender for Cloud pomaga chronić obciążenia uruchomione w usługach Amazon Web Services (AWS). Aby ocenić zasoby platformy AWS i zalecenia dotyczące zabezpieczeń powierzchni, musisz połączyć konto platformy AWS z usługą Defender for Cloud. Łącznik zbiera sygnały konfiguracji i zabezpieczeń z usług AWS, umożliwiając usłudze Defender for Cloud analizowanie stanu, generowanie rekomendacji i generowanie alertów.
Więcej informacji można dowiedzieć się, oglądając wideo o nowym łączniku AWS w Defender dla Chmury z serii wideo Defender dla Chmury 'W Terenie'.
Ważne
Jeśli twoje konto platformy AWS jest już połączone z usługą Microsoft Sentinel, połączenie go z usługą Defender for Cloud może wymagać dodatkowej konfiguracji, aby uniknąć problemów z wdrażaniem lub pozyskiwaniem danych. Postępuj zgodnie ze wskazówkami w sekcji Łączenie konta AWS połączonego z Sentinel z Defender for Cloud.
Architektura uwierzytelniania
Po połączeniu konta AWS, Microsoft Defender for Cloud uwierzytelnia się w AWS, korzystając z federacyjnego zaufania i krótkotrwałych poświadczeń, bez przechowywania długoterminowych tajemnic.
Dowiedz się więcej o sposobie ustanawiania uwierzytelniania między Microsoft Entra ID a AWS, w tym rolami IAM i relacjami zaufania utworzonymi podczas procesu włączania.
Wymagania wstępne
Przed nawiązaniem połączenia z kontem platformy AWS upewnij się, że masz następujące elementy:
Subskrypcja platformy Microsoft Azure. Jeśli go nie masz, utwórz konto bezpłatnej subskrypcji.
Usługa Microsoft Defender for Cloud jest włączona w tej subskrypcji.
Dostęp do konta platformy AWS.
Uprawnienie do tworzenia zasobów na platformie Azure (współautor lub powyżej).
Podczas włączania określonych planów usługi Defender obowiązują dodatkowe wymagania. Zapoznaj się z wymaganiami dotyczącymi planu łącznika natywnego.
Uwaga
Łącznik platformy AWS nie jest dostępny w chmurach dla instytucji rządowych (Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet).
Wymagania dotyczące planu łącznika natywnego
Każdy plan usługi Defender ma określone wymagania dotyczące konfiguracji.
- Defender for Containers (Ochrona dla Kontenerów)
- Defender for SQL
- Defender dla baz danych typu open source (wersja zapoznawcza)
- Defender for Servers
- Defender CSPM
- Co najmniej jeden klaster Amazon EKS z dostępem do serwera interfejsu API Kubernetes. Jeśli go nie masz, utwórz nowy klaster EKS.
- Możliwość utworzenia kolejki Amazon SQS, strumienia dostarczania Kinesis Data Firehose i zasobnika Amazon S3 w tym samym regionie, co klaster.
Łączenie z kontem platformy AWS
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender for Cloud>Ustawienia środowiska.
Wybierz pozycję Dodaj środowisko>Amazon Web Services.
Wprowadź szczegóły konta platformy AWS, w tym region świadczenia usługi Azure, w którym zostanie utworzony zasób łącznika.
Użyj listy rozwijanej Regiony platformy AWS , aby wybrać regiony monitorów usługi Defender for Cloud. Regiony, które usuwasz, nie będą odbierać wywołań interfejsu API z usługi Defender for Cloud.
Wybierz interwał skanowania (4, 6, 12 lub 24 godziny).
Ten wybór definiuje standardowy interwał dla większości kontroli postawy. Niektóre moduły zbierające dane z stałymi interwałami są uruchamiane częściej, niezależnie od tego ustawienia:
Interwał skanowania Kolektory danych 1 godzina EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup 12 godz. EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration Wybierz pozycję Dalej: wybierz plany i wybierz plany usługi Defender, które chcesz włączyć.
Przejrzyj domyślne opcje planu, ponieważ niektóre plany mogą być włączane automatycznie w zależności od konfiguracji. Na przykład, plan Bazy danych rozszerza zakres usługi Defender for SQL na AWS EC2, RDS Custom for SQL Server oraz relacyjne bazy danych typu open source na RDS.
Każdy plan może wiązać się z opłatami. Dowiedz się więcej o cenach usługi Defender for Cloud.
Ważne
Aby przedstawić aktualne rekomendacje, usługa Defender CSPM wysyła zapytania do interfejsów API zasobów AWS kilka razy dziennie. Te wywołania interfejsu API tylko do odczytu nie generują opłat za platformę AWS. Jednak usługa CloudTrail może je rejestrować, jeśli włączysz rejestrowanie zdarzeń odczytu. Eksportowanie tych danych do zewnętrznych systemów SIEM może zwiększyć koszty pozyskiwania. W razie potrzeby filtruj wywołania tylko do odczytu z:
arn:aws:iam::<accountId>:role/CspmMonitorAwsWybierz pozycję Konfiguruj dostęp, a następnie wybierz:
- Dostęp domyślny: przyznaje uprawnienia wymagane dla bieżących i przyszłych możliwości.
- Najmniej uprzywilejowany dostęp: przyznaje tylko uprawnienia wymagane dzisiaj. Jeśli będzie potrzebny dodatkowy dostęp, możesz otrzymywać powiadomienia później.
Wybierz metodę wdrażania:
- AWS CloudFormation
- Terraform.
Uwaga
Podczas dołączania konta zarządzania usługa Defender for Cloud używa zestawów stosów AWS i automatycznie tworzy łączniki dla kont podrzędnych. Automatyczne aprowizowanie jest włączone dla nowo odkrytych kont.
Uwaga
Jeśli wybierzesz Konto zarządzania, aby utworzyć łącznik na koncie zarządzania, karta wprowadzania przy użyciu Terraform nie jest widoczna w interfejsie użytkownika. Dołączanie programu Terraform jest nadal obsługiwane. Aby uzyskać wskazówki, zobacz Dołączanie środowiska AWS/GCP do usługi Microsoft Defender for Cloud za pomocą narzędzia Terraform.
Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby wdrożyć szablon CloudFormation. Jeśli wybierzesz program Terraform, postępuj zgodnie z równoważnymi instrukcjami wdrażania podanymi w portalu.
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Utwórz.
Usługa Defender for Cloud rozpoczyna skanowanie zasobów platformy AWS. Zalecenia dotyczące zabezpieczeń są wyświetlane w ciągu kilku godzin.
Weryfikowanie kondycji łącznika
Aby potwierdzić, że łącznik platformy AWS działa prawidłowo:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender for Cloud>Ustawienia środowiska.
Znajdź konto platformy AWS i przejrzyj kolumnę Stan łączności , aby sprawdzić, czy połączenie jest w dobrej kondycji, czy ma problemy.
Wybierz wartość wyświetlaną w kolumnie Stan łączności , aby wyświetlić więcej szczegółów.
Strona Szczegóły środowiska zawiera listę wykrytych problemów z konfiguracją lub uprawnieniami wpływających na połączenie z kontem platformy AWS.
Jeśli występuje problem, możesz go wybrać, aby wyświetlić opis problemu i zalecane kroki korygowania. W niektórych przypadkach zostanie udostępniony skrypt korygowania, który pomoże rozwiązać ten problem.
Dowiedz się więcej na temat rozwiązywania problemów z łącznikami wielochmurowymi.
Wdrażanie szablonu CloudFormation na koncie platformy AWS
W ramach wdrażania, wdróż szablon CloudFormation wygenerowany:
- Jako Stack (pojedyncze konto)
- Jako StackSet (konto menedżerskie)
Opcje wdrażania szablonu
Adres URL usługi Amazon S3: przekaż pobrany szablon CloudFormation do własnego zasobnika S3 przy użyciu własnych konfiguracji zabezpieczeń. Podaj adres URL S3 w kreatorze wdrażania platformy AWS.
Przekaż plik szablonu: AWS automatycznie tworzy bucket S3 do przechowywania szablonu. Ta konfiguracja może wyzwolić
S3 buckets should require requests to use Secure Socket Layerrekomendację. Można to skorygować, stosując następującą politykę zasobnika:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"<S3_Bucket_ARN>",
"<S3_Bucket_ARN>/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Uwaga
Podczas uruchamiania zestawu StackSet cloudFormation podczas dołączania konta zarządzania platformy AWS może wystąpić następujący komunikat o błędzie: You must enable organizations access to operate a service managed stack set
Ten błąd wskazuje, że nie włączono zaufanego dostępu dla organizacji platformy AWS.
Aby skorygować ten komunikat o błędzie, strona CloudFormation StackSets zawiera monit z przyciskiem, który można wybrać, aby włączyć zaufany dostęp. Po włączeniu zaufanego dostępu należy ponownie uruchomić stos CloudFormation.
Włącz gromadzenie dzienników w usłudze AWS CloudTrail (wersja zapoznawcza)
Pozyskiwanie zdarzeń zarządzania w usłudze AWS CloudTrail może zwiększyć wgląd w tożsamość i konfigurację, dodając kontekst dla ocen CIEM, wskaźników ryzyka opartych na działaniach i wykrywania zmian konfiguracji.
Dowiedz się więcej na temat integrowania dzienników platformy AWS CloudTrail z usługą Microsoft Defender for Cloud (wersja zapoznawcza).Dowiedz się więcej o integracji dzienników platformy AWS CloudTrail z usługą Microsoft Defender for Cloud (wersja zapoznawcza).
Dowiedz się więcej
Zapoznaj się z następującymi blogami:
- Ignite 2021: Nowości Microsoft Defender dla Chmury
- Zarządzanie stanem zabezpieczeń i ochrona serwera dla platform AWS i GCP
Następne kroki
- Przypisz dostęp do właścicieli zadań.
- Chroń wszystkie zasoby przy użyciu Defender dla Chmury.
- Konfigurowanie maszyn lokalnych i projektów GCP.
- Uzyskaj odpowiedzi na często zadawane pytania dotyczące dołączania konta platformy AWS.
- Rozwiązywanie problemów z łącznikami wielochmurowymi.