Partilhar via

Integrar os registos AWS CloudTrail com o Microsoft Defender for Cloud (Pré-visualização)

O Microsoft Defender for Cloud pode recolher eventos de gestão AWS CloudTrail para aumentar a visibilidade das operações de identidade, alterações de permissões e outras atividades no plano de controlo nos seus ambientes AWS.

A ingestão do CloudTrail adiciona sinais baseados em atividade às capacidades CIEM do Defender for Cloud, permitindo que a análise de risco de identidade e permissões se baseie não só em direitos de identidade configurados, mas também no uso observado.

A ingestão do CloudTrail melhora a Gestão de Direitos da Infraestrutura Cloud (CIEM) ao ajudar a identificar permissões não utilizadas, funções mal configuradas, identidades dormentes e potenciais caminhos de escalonamento de privilégios. Também fornece contexto de atividade que reforça a deteção de desvios de configuração, recomendações de segurança e análise do caminho de ataque.

A ingestão do CloudTrail está disponível para contas AWS individuais e organizações AWS que utilizam registo centralizado.

Pré-requisitos

Antes de ativar a ingestão do CloudTrail, certifique-se de que a sua conta AWS tem:

  • Plano Defender CSPM ativado na subscrição do Azure.

  • Permissão para aceder ao AWS CloudTrail.

  • Acesso ao bucket Amazon S3 que armazena ficheiros de registo do CloudTrail.

  • Acesso às notificações da fila Amazon SQS associadas a esse bucket.

  • Acesso às chaves AWS KMS se os registos CloudTrail estiverem encriptados.

  • Permissões para criar ou modificar trilhos do CloudTrail e recursos necessários para provisionar um novo trilho.

  • CloudTrail configurado para registar eventos de gestão.

Observação

Utilizadores do Microsoft Sentinel: Se já transmite registos AWS CloudTrail para o Microsoft Sentinel, ativar a ingestão do CloudTrail no Defender for Cloud pode exigir atualizações na configuração do Sentinel. Revise o fluxo de trabalho atualizado para evitar conflitos de ingestão seguindo Conecte uma conta AWS conectada ao Sentinel ao Defender for Cloud.

Configurar a ingestão do CloudTrail no Microsoft Defender for Cloud

Depois de a sua conta AWS estar ligada:

  1. Inicie sessão no portal Azure.

  2. Vá para Configurações do Microsoft Defender for Cloud>Environment.

  3. Selecione o seu conector AWS.

  4. Em Monitorizar cobertura, abra Definições.

  5. Ativar a ingestão do AWS CloudTrail (Versão de Pré-visualização). Isto adiciona opções de configuração do CloudTrail ao fluxo de trabalho de configuração.

    Captura de ecrã que mostra a página de seleção de planos do Defender for Cloud para um conector AWS.

  6. Escolha se quer integrar com um trilho CloudTrail existente ou criar um novo:

    • Selecionar Fornecer manualmente detalhes do trilho para usar um trilho CloudTrail existente.

      1. Forneça o ARN do bucket Amazon S3 e o ARN da fila SQS associados ao trail existente.
      2. Se solicitado, implemente ou atualize a pilha CloudFormation.

      Observação

      Quando seleciona uma trilha existente, o Defender for Cloud realiza uma recolha única de até 90 dias de eventos históricos de gestão de CloudTrail. Se a ingestão do CloudTrail for desativada, os dados históricos recolhidos durante este processo são removidos. Reativar a ingestão do CloudTrail desencadeia uma nova recolha de dados históricos.

    • Selecione Criar um novo AWS CloudTrail para provisionar um novo trilho.

      1. Implemente o modelo CloudFormation ou Terraform quando solicitado.
      2. Após a implementação concluída, localize o ARN da fila SQS na consola AWS.
      3. Volte ao Defender para o Cloud e introduza o SQS ARN no campo SQS ARN.

      Captura de ecrã que mostra as definições de ingestão AWS CloudTrail para um conector AWS no Defender for Cloud.

Como o Defender for Cloud utiliza os dados do CloudTrail

Depois de completar a configuração:

  • Registos de eventos de gestão do AWS CloudTrail na sua conta AWS.
  • Os ficheiros de registo são gravados num bucket Amazon S3.
  • A Amazon SQS envia notificações quando novos registos estão disponíveis.
  • O Defender for Cloud consulta a fila SQS para recuperar as referências aos ficheiros de log.
  • O Defender for Cloud processa a telemetria de registo e enriquece os insights de CIEM e de postura.

Pode personalizar os seletores de eventos do CloudTrail para alterar quais os eventos de gestão capturados.

Validar a ingestão do CloudTrail

Para confirmar que a telemetria do CloudTrail está a fluir para o Defender for Cloud:

  • Verifique se o bucket S3 concede permissão ao Defender for Cloud para ler ficheiros de log.
  • Garanta que as notificações SQS estão configuradas para novas entregas de registos.
  • Confirme que os papéis IAM permitem acesso a artefactos e objetos encriptados do CloudTrail.
  • Revise as recomendações do Defender para Cloud e perceções sobre a identidade após a configuração.

Os sinais podem demorar algum tempo a aparecer, dependendo da frequência de entrega do CloudTrail e do volume do evento.

Próximos passos

  • Last updated on