Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O plano Defender para bases de dados relacionais open-source no Microsoft Defender for Cloud ajuda-o a detetar e investigar atividades invulgares nas suas bases de dados AWS RDS. Este plano suporta os seguintes tipos de instâncias de base de dados:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Este artigo explica como ativar o Defender para bases de dados relacionais open-source na AWS, para que possa começar a receber alertas de atividade suspeita.
Quando ativa este plano, o Defender for Cloud também descobre dados sensíveis na sua conta AWS e enriquece os insights de segurança com essas descobertas. Esta funcionalidade está também incluída no Defender Cloud Security Posture Management (CSPM).
Saiba mais sobre este plano do Microsoft Defender em Visão geral do Microsoft Defender para bancos de dados relacionais de código aberto.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se você não tiver uma, você pode se inscrever para uma assinatura gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Pelo menos uma conta da AWS conectada com o acesso e as permissões necessárias.
Disponibilidade da região: todas as regiões públicas da AWS (exceto Tel Aviv, Milão, Jacarta, Espanha e Bahrein).
Habilitar o Defender para bancos de dados relacionais de código aberto
Inicie sessão no portal do Azure
Procure e selecione Microsoft Defender para a Cloud.
Selecione Configurações do ambiente.
Selecione a conta do AWS relevante.
Localize o plano de Bases de Dados e selecione Definições.
Alterne bases de dados relacionais open-source para Ativado.
Nota
Ativar bases de dados relacionais de código aberto também permite a descoberta de dados sensíveis, uma funcionalidade partilhada com o Defender CSPM para recursos de serviços de base de dados relacionais (RDS).
Saiba mais sobre a descoberta de dados confidenciais em instâncias do AWS RDS.
Selecione Configurar acesso.
Na seção método de implantação, selecione Download.
Siga as instruções para atualizar a stack no AWS. Esse processo cria ou atualiza o modelo do CloudFormation com as permissões necessárias.
Assinale a caixa que confirma que o modelo CloudFormation foi atualizado no ambiente AWS (Stack).
Selecione Rever e gerar.
Veja a informação e selecione Atualizar.
O Defender for Cloud atualiza automaticamente os parâmetros relevantes e as definições do grupo de opções.
Permissões necessárias para a função DefenderForCloud-DataThreatProtectionDB
As seguintes permissões são necessárias para a função que é criada ou atualizada quando faz download do modelo do CloudFormation e atualiza a stack AWS. Estas permissões permitem ao Defender for Cloud gerir a configuração auditada e recolher registos de atividade na base de dados das suas instâncias AWS RDS.
| Permissão | Descrição |
|---|---|
| rds:AddTagsToResource | Adiciona etiquetas nos grupos de opções e parâmetros criados pelo plano. |
| rds:DescribeDBClusterParameters | Descreve parâmetros dentro do grupo cluster. |
| rds:CreateDBParameterGroup | Cria um grupo de parâmetros na base de dados. |
| rds:ModifyOptionGroup | Modifica opções dentro de um grupo de opções. |
| rds:DescribeDBLogFiles | Descreve ficheiros de registo da base de dados. |
| rds:DescribeDBParameterGroups | Descreve grupos de parâmetros da base de dados. |
| rds:CreateOptionGroup | Cria um grupo de opções. |
| rds:ModifyDBParameterGroup (ModificarGrupoDeParâmetrosDoBD) | Modifica parâmetros dentro dos grupos de parâmetros da base de dados. |
| rds:DownloadDBLogFilePortion | Descarrega porções de ficheiros de registo. |
| rds:DescribeDBInstances | Descreve instâncias de base de dados. |
| rds:ModifyDBClusterParameterGroup | Modifica os parâmetros do cluster dentro do grupo de parâmetros do cluster. |
| rds:ModifyDBInstance | Modifica bases de dados para atribuir grupos de parâmetros ou opções conforme necessário. |
| rds:ModifyDBCluster | Modifica clusters para atribuir grupos de parâmetros de cluster conforme necessário. |
| rds:DescribeDBParameters | Descreve parâmetros dentro do grupo da base de dados. |
| rds:CreateDBClusterParameterGroup | Cria um grupo de parâmetros de cluster. |
| rds:DescribeDBClusters | Descreve clusters. |
| rds:DescribeDBClusterParameterGroups | Descreve grupos de parâmetros de cluster. |
| rds:DescribeOptionGroups | Descreve grupos de opções. |
Configurações de parâmetros e grupos de opções afetados
Quando ativa o Defender para bases de dados relacionais open-source, o Defender for Cloud configura automaticamente os parâmetros de auditoria nas suas instâncias RDS para consumir e analisar padrões de acesso. Não precisas de modificar estas definições manualmente; Estão listados aqui para referência
| Tipo | Parâmetro | Valor |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | registar_conexões | 1 |
| PostgreSQL e Aurora PostgreSQL | registo_de_desconexões | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_logging | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | eventos_de_auditoria_do_servidor | - Se existir, expanda o valor para incluir CONNECT, QUERY, - Se não existir, adicione-o com o valor CONNECT, QUERY. |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_excl_users | Se existir, expanda-o para incluir rdsadmin. |
| Grupo de parâmetros de cluster do Aurora MySQL | auditoria_servidor_inclui_utilizadores | - Se ele existe com um valor e rdsadmin como parte dos incluídos, então eles não estão presentes em SERVER_AUDIT_EXCL_USER, e o valor de include está vazio. |
É necessário um grupo de opções para MySQL e MariaDB com as opções seguintes para o MARIADB_AUDIT_PLUGIN.
Se a opção não existir, adiciona-a; Se existir, expanda os valores conforme necessário.
| Nome da opção | Valor |
|---|---|
| SERVER_AUDIT_EVENTS | Se existir, expanda o valor para incluir CONNECT Se não existir, adicione-o com o valor CONNECT. |
| SERVER_AUDIT_EXCL_USER | Se existir, expanda-o para incluir rdsadmin. |
| SERVER_AUDIT_INCL_USERS | Se ele existe com um valor e rdsadmin faz parte do incluído, então ele não está presente em SERVER_AUDIT_EXCL_USER, e o valor de include está vazio. |
Importante
Pode ser necessário reiniciar as suas instâncias para aplicar estas alterações.
Se estiver a usar o grupo de parâmetros por defeito, o Defender for Cloud cria um novo grupo de parâmetros com as alterações necessárias e o prefixo defenderfordatabases*.
Se criares um novo grupo de parâmetros ou atualizares parâmetros estáticos, as alterações só entram em vigor quando reiniciares a instância.
Nota
Se um grupo de parâmetros já existir, será atualizado de acordo com as necessidades.
MARIADB_AUDIT_PLUGINé suportado em MariaDB 10.2 e versões superiores, MySQL 8.0.25 e versões superiores 8.0, e todas as versões MySQL 5.7.As alterações que o Defender for Cloud faz nas
MARIADB_AUDIT_PLUGINinstâncias do MySQL são aplicadas durante a próxima janela de manutenção. Para mais informações, veja MARIADB_AUDIT_PLUGIN para instâncias MySQL.
Conteúdos relacionados
- O que é suportado na Deteção de Dados Confidenciais?
- Deteção de dados confidenciais em instâncias AWS RDS