Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O plano de bancos de dados relacionais do Defender para software livre no Microsoft Defender para Nuvem ajuda você a detectar e investigar atividades incomuns em seus bancos de dados rds do AWS. Esse plano dá suporte aos seguintes tipos de instância de banco de dados:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Este artigo explica como habilitar o Defender para bancos de dados relacionais de software livre no AWS para que você possa começar a receber alertas para atividades suspeitas.
Quando você habilita esse plano, o Defender para Nuvem também descobre dados confidenciais em sua conta do AWS e enriquece os insights de segurança com essas descobertas. Essa funcionalidade também está incluída no CSPM (Gerenciamento de Postura do Defender Cloud Security).
Saiba mais sobre este plano do Microsoft Defender em Visão geral do Microsoft Defender para bancos de dados relacionais de código aberto.
Pré-requisitos
Você precisa de uma assinatura do Microsoft Azure. Se não tiver uma, você poderá inscrever-se para obter uma assinatura gratuita.
Você deve habilitar o Microsoft Defender para Nuvem na sua assinatura do Azure.
Pelo menos uma conta AWS conectada com o acesso e as permissões necessários.
Disponibilidade da região: todas as regiões públicas da AWS (excluindo Tel Aviv, Milão, Jacarta, Espanha e Bahrein).
Habilitar o Defender para bancos de dados relacionais de código aberto
Entre no portal do Azure
Pesquise e selecione Microsoft Defender para Nuvem.
Selecione Configurações do ambiente.
Selecione a conta AWS relevante.
Localize o plano Bancos de Dados e selecione Configurações.
Alterne bancos de dados relacionais de código aberto para Ativado.
Observação
Ativar bancos de dados relacionais de software livre também habilita a descoberta de dados confidenciais, um recurso compartilhado com o Defender CSPM para recursos de RDS (serviço de banco de dados relacional).
Saiba mais sobre a descoberta de dados confidenciais em instâncias de RDS da AWS.
Selecione Configurar acesso.
Na seção de método de implantação, selecione Baixar.
Siga as instruções para atualizar o stack no AWS. Esse processo cria ou atualiza o modelo CloudFormation com as permissões necessárias.
Marque a caixa confirmando que o modelo CloudFormation foi atualizado no ambiente do AWS (Stack).
Selecione Revisar e gerar.
Examine as informações e selecione Atualizar.
Em seguida, o Defender para Nuvem atualiza automaticamente as configurações relevantes do parâmetro e do grupo de opções.
Permissões necessárias para a função DefenderForCloud-DataThreatProtectionDB
As permissões a seguir são necessárias para a função criada ou atualizada quando você baixa o modelo do CloudFormation e atualiza a pilha AWS. Essas permissões permitem que o Defender para Nuvem gerencie a configuração de auditoria e colete logs de atividade de banco de dados de suas instâncias de RDS do AWS.
| Permissão | Descrição |
|---|---|
| rds:AddTagsToResource | Adiciona tags em grupos de opções e parâmetros criados pelo plano. |
| rds:DescribeDBClusterParameters | Descreve os parâmetros dentro do grupo de clusters. |
| rds:CreateDBParameterGroup | Cria um grupo de parâmetros de banco de dados. |
| rds:ModifyOptionGroup | Modifica as opções dentro de um grupo de opções. |
| rds:DescribeDBLogFiles | Descreve os arquivos de log do banco de dados. |
| rds:DescribeDBParameterGroups | Descreve grupos de parâmetros de banco de dados. |
| rds:CreateOptionGroup | Cria um grupo de opções. |
| rds:ModifyDBParameterGroup | Modifica parâmetros dentro de grupos de parâmetros de banco de dados. |
| rds:DownloadDBLogFilePortion | Baixa partes do arquivo de log. |
| rds:DescribeDBInstances | Descreve instâncias de banco de dados. |
| rds:ModifyDBClusterParameterGroup | Altera os parâmetros do cluster dentro do grupo de parâmetros do cluster. |
| rds:ModifyDBInstance | Modifica bancos de dados para atribuir parâmetros ou grupos de opções conforme necessário. |
| rds:ModifyDBCluster | Modifica clusters para atribuir grupos de parâmetros de cluster conforme necessário. |
| rds:DescribeDBParameters | Descreve os parâmetros dentro do grupo de banco de dados. |
| rds:CreateDBClusterParameterGroup | Cria um grupo de parâmetros de cluster. |
| rds:DescribeDBClusters | Descreve clusters. |
| rds:DescribeDBClusterParameterGroups | Descreve grupos de parâmetros de cluster. |
| rds:DescribeOptionGroups | Descreve grupos de opções. |
Configurações de parâmetros e grupos de opções afetados
Quando você habilita o Defender para bancos de dados relacionais de software livre, o Defender para Nuvem configura automaticamente os parâmetros de auditoria em suas instâncias de RDS para consumir e analisar padrões de acesso. Você não precisa modificar essas configurações manualmente; eles estão listados aqui para referência
| Tipo | Parâmetro | Valor |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | registro_de_conexões | 1 |
| PostgreSQL e Aurora PostgreSQL | log_disconnections | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_logging | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | eventos_de_auditoria_do_servidor | – Se existir, expanda o valor para incluir CONNECT, QUERY, – Se não existir, adicione-o com o valor CONNECT, QUERY. |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_excl_users | Se existir, expanda-o para incluir rdsadmin. |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_incl_users | - Se existir com um valor e rdsadmin como parte dos incluídos, ele não estará presente em SERVER_AUDIT_EXCL_USER e o valor de inclusão estará vazio. |
Um grupo de opções é necessário para MySQL e MariaDB com as seguintes opções para o MARIADB_AUDIT_PLUGIN.
Se a opção não existir, adicione-a; se existir, expanda os valores conforme necessário.
| Nome da opção | Valor |
|---|---|
| EVENTOS_DE_AUDITORIA_DO_SERVIDOR | Se existir, expanda o valor para incluir CONNECT Se não existir, adicione-o com o valor CONNECT. |
| SERVER_AUDIT_EXCL_USER | Se existir, expanda-o para incluir rdsadmin. |
| SERVER_AUDIT_INCL_USERS | Se existir com um valor e rdsadmin for parte dos incluídos, ele não estará presente em SERVER_AUDIT_EXCL_USER e o valor de inclusão estará vazio. |
Importante
Talvez seja necessário reinicializar suas instâncias para aplicar essas alterações.
Se você estiver usando o grupo de parâmetros padrão, o Defender para Nuvem criará um novo grupo de parâmetros com as alterações necessárias e o prefixo defenderfordatabases*.
Se você criar um novo grupo de parâmetros ou atualizar parâmetros estáticos, as alterações não entrarão em vigor até que você reinicialize a instância.
Observação
Se já existir um grupo de parâmetros, ele será atualizado adequadamente.
MARIADB_AUDIT_PLUGINhá suporte no MariaDB 10.2 e superior, nas versões MySQL 8.0.25 e 8.0 mais altas e no All MySQL 5.7.As alterações feitas pelo Defender para Nuvem nas instâncias do
MARIADB_AUDIT_PLUGINMySQL são aplicadas durante a próxima janela de manutenção. Para obter mais informações, consulte MARIADB_AUDIT_PLUGIN para instâncias do MySQL.
Conteúdo relacionado
- O que tem suporte na Descoberta de Dados Confidenciais
- Descoberta de dados confidenciais em instâncias do AWS RDS