Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem pode coletar eventos de gerenciamento do AWS CloudTrail para aumentar a visibilidade das operações de identidade, das alterações de permissão e de outras atividades do plano de controle em seus ambientes do AWS.
A ingestão do CloudTrail adiciona sinais baseados em atividade aos recursos CIEM do Defender para Nuvem, permitindo que a análise de risco de identidade e permissão seja baseada não apenas em direitos de identidade configurados, mas também no uso observado.
A ingestão do CloudTrail aprimora o CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem) ajudando a identificar permissões não usadas, funções configuradas incorretamente, identidades inativas e possíveis caminhos de escalonamento de privilégios. Ele também fornece contexto de atividade que fortalece a detecção de descompasso de configuração, as recomendações de segurança e a análise do caminho de ataque.
A ingestão do CloudTrail está disponível para contas AWS individuais e organizações AWS que utilizam o registro em log centralizado.
Pré-requisitos
Antes de habilitar a ingestão do CloudTrail, verifique se sua conta do AWS tem:
O plano do Defender CSPM está habilitado na assinatura do Azure.
Permissão para acessar o AWS CloudTrail.
Acesso ao bucket do Amazon S3 que armazena arquivos de log do CloudTrail.
Acesso às notificações da fila do Amazon SQS associadas a esse bucket.
Acesso às chaves KMS do AWS se os logs do CloudTrail forem criptografados.
Permissões para criar ou modificar trilhas do CloudTrail e para os recursos necessários caso se providencie uma nova trilha.
CloudTrail configurado para registrar eventos de gerenciamento.
Observação
Usuários do Microsoft Sentinel: Se você já transmitir logs do AWS CloudTrail para o Microsoft Sentinel, habilitar a ingestão do CloudTrail no Defender para Nuvem pode exigir atualizações para a configuração do Sentinel. Examine o fluxo de trabalho atualizado para evitar conflitos de ingestão seguindo Conectar uma conta AWS conectada ao Sentinel no Defender para Nuvem.
Configurar a ingestão do CloudTrail no Microsoft Defender para Nuvem
Depois que sua conta do AWS estiver conectada:
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione o conector do AWS.
Em Monitoramento de cobertura, abra Configurações.
Habilitar a ingestão do CloudTrail do AWS (versão prévia). Isso adiciona opções de configuração do CloudTrail ao fluxo de trabalho de instalação.
Escolha se deseja integrar-se a uma trilha cloudtrail existente ou criar uma nova:
Selecione Fornecer manualmente detalhes de trilha para usar uma trilha CloudTrail existente.
- Forneça o ARN do bucket do Amazon S3 e o ARN da fila do SQS associados à trilha já existente.
- Se solicitado, implante ou atualize o CloudFormation stack.
Observação
Quando você seleciona uma trilha existente, o Defender para Nuvem executa uma coleção única de até 90 dias de eventos históricos de gerenciamento do CloudTrail. Se a ingestão do CloudTrail estiver desabilitada, os dados históricos coletados durante esse processo serão removidos. Habilitar novamente a ingestão do CloudTrail dispara uma nova coleção de dados históricos.
Selecione Criar um novo CloudTrail do AWS para provisionar uma nova trilha.
- Implante o modelo CloudFormation ou Terraform quando solicitado.
- Após a conclusão da implantação, localize o ARN da fila do SQS no console da AWS.
- Retorne ao Defender para Nuvem e insira o SQS ARN no campo SQS ARN .
Como o Defender para Nuvem usa dados do CloudTrail
Depois de concluir a configuração:
- O AWS CloudTrail registra eventos de gerenciamento de sua conta do AWS.
- Os arquivos de log são gravados em um bucket do Amazon S3.
- O Amazon SQS envia notificações quando novos logs estão disponíveis.
- O Defender para Nuvem sonda a fila do SQS para recuperar as referências de arquivo de log.
- O Defender para Nuvem processa a telemetria de log e aprimora o CIEM e os insights de postura.
Você pode personalizar seletores de eventos CloudTrail para alterar quais eventos de gerenciamento são capturados.
Validar a ingestão de dados do CloudTrail
Para confirmar se a telemetria do CloudTrail está sendo enviada para o Defender for Cloud:
- Verifique se o bucket S3 concede permissão ao Defender para Nuvem para ler arquivos de log.
- Verifique se as notificações do SQS estão configuradas para novas entregas de log.
- Confirme se as funções IAM permitem acesso a artefatos CloudTrail e objetos criptografados.
- Examine as recomendações do Defender para Nuvem e os insights de identidade após a instalação.
Os sinais podem levar tempo para aparecer dependendo da frequência de entrega do CloudTrail e do volume de eventos.
Próximas etapas
- Saiba mais sobre como monitorar recursos conectados do AWS.