Partilhar via

Conectar contas da AWS ao Microsoft Defender for Cloud

O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho a correr na Amazon Web Services (AWS). Para avaliar os seus recursos AWS e obter recomendações de segurança, precisa de ligar a sua conta AWS ao Defender for Cloud. O conector recolhe sinais de configuração e segurança dos serviços da AWS. Ao utilizar esta informação, o Defender for Cloud pode analisar a postura, gerar recomendações e divulgar alertas.

Para mais informações, veja o vídeo sobre o novo conector AWS no Defender for Cloud da série de vídeos Defender for Cloud in the Field.

Captura de ecrã que mostra contas AWS listadas no painel de visão geral do Defender for Cloud.

Importante

Se já ligou a sua conta AWS ao Microsoft Sentinel, pode ser necessário fazer uma configuração extra ao ligá-la ao Defender for Cloud. Esta configuração extra previne problemas de implementação ou ingestão. Para mais informações, consulte Ligar uma conta AWS ligada ao Sentinel ao Defender for Cloud.

Arquitetura de autenticação

Quando liga uma conta AWS, o Microsoft Defender for Cloud autentica-se na AWS usando confiança federada e credenciais de curta duração, sem armazenar segredos duradouros.

Saiba mais sobre como a autenticação é estabelecida entre o Microsoft Entra ID e a AWS, incluindo os papéis IAM e as relações de confiança criadas durante a integração.

Pré-requisitos

Antes de ligar a sua conta AWS, certifique-se de que tem:

Requisitos adicionais aplicam-se ao ativar planos Defender específicos. Revê os requisitos do plano nativo de conectores.

Nota

O conector da AWS não está disponível nas nuvens governamentais nacionais (Azure Government, Microsoft Azure operado pela 21Vianet).

Requisitos do plano de conector nativo

Cada plano Defender tem requisitos específicos de configuração.

  • Pelo menos um cluster Amazon EKS com acesso ao servidor API Kubernetes. Se não tiveres um, cria um novo cluster EKS.
  • Capacidade para criar uma fila da Amazon SQS, um fluxo de entrega do Kinesis Data Firehose e um bucket da Amazon S3 na mesma região do cluster.

Ligar a conta AWS

  1. Entre no portal do Azure.

  2. Vá para Defender for Cloud>Configurações do Ambiente.

  3. Selecione Adicionar ambiente>Amazon Web Services.

    Captura de tela que mostra a conexão de uma conta da AWS a uma assinatura do Azure.

  4. Introduza os detalhes da conta AWS, incluindo a região Azure onde o recurso conector será criado.

    Captura de tela que mostra a guia para inserir detalhes da conta de uma conta da AWS.

    Utilize o menu dropdown das regiões AWS para selecionar as regiões que o Defender para Nuvem monitoriza. As regiões que desmarcar não recebem chamadas API do Defender for Cloud.

  5. Selecione um intervalo de varrimento (4, 6, 12 ou 24 horas).

    Esta seleção define o intervalo padrão para a maioria das verificações de postura. Alguns coletores de dados com intervalos fixos executam com mais frequência, independentemente desta definição:

    Intervalo de varredura Recolhedores de dados
    Uma hora EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
    12 horas EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

  6. Selecione Próximo: Selecione planos e escolha os planos Defender que pretende ativar.

    Revise as escolhas de planos padrão, pois alguns planos podem ser ativados automaticamente dependendo da sua configuração. Por exemplo, o plano de Bases de Dados estende a cobertura do Defender para SQL ao AWS EC2, RDS Custom for SQL Server e bases de dados relacionais open-source em RDS.

    Captura de ecrã que mostra o passo de seleção de planos para uma conta AWS.

    Cada plano pode acarretar encargos. Saiba mais sobre a fixação de preços do Defender for Cloud.

    Importante

    Para apresentar recomendações atualizadas, o Defender CSPM consulta as APIs dos recursos AWS várias vezes por dia. Estas chamadas de API apenas de leitura não acarretam custos na AWS. No entanto, se ativares o registo de eventos de leitura, o CloudTrail pode gravá-los. Exportar estes dados para sistemas SIEM externos pode aumentar os custos de ingestão. Se necessário, filtre chamadas apenas de leitura de:

    arn:aws:iam::<accountId>:role/CspmMonitorAws

  7. Selecione Configurar acesso e escolha:

    • Acesso padrão: Concede permissões necessárias para capacidades atuais e futuras.
    • Acesso com privilégio mínimo: Concede apenas as permissões necessárias hoje. Pode receber notificações se for necessário acesso adicional mais tarde.

  8. Selecione um método de implementação:

    • AWS CloudFormation
    • Terraforme.

    Captura de ecrã a mostrar a configuração do método de implementação.

    Nota

    Ao integrar uma conta de gestão, o Defender for Cloud utiliza AWS StackSets e cria automaticamente conectores para contas filhas. O autoprovisionamento está ativado para contas recém-descobertas.

    Nota

    Se selecionares Conta de Gestão para criar um conector para uma conta de gestão, o separador de integração através do Terraform não é visível na interface. A integração do Terraform ainda é suportada. Para orientação, consulte Integração do seu ambiente AWS/GCP com o Microsoft Defender para Cloud usando Terraform.

  9. Siga as instruções no ecrã para implementar o modelo CloudFormation. Se selecionar Terraform, siga as instruções equivalentes de implementação fornecidas no portal.

  10. Selecione Avançar: Revisar e gerar.

  11. Selecione Criar.

O Defender for Cloud começa a analisar os seus recursos AWS. As recomendações de segurança aparecem dentro de algumas horas. Após a integração, pode monitorizar a postura, alertas e inventário de recursos da AWS no Defender for Cloud. Para mais informações, consulte monitorizar os recursos conectados da AWS.

Validar a saúde do conector

Para confirmar se o seu conector AWS está a funcionar corretamente:

  1. Entre no portal do Azure.

  2. Vá para Defender for Cloud>Configurações do Ambiente.

  3. Localize a conta AWS e revise a coluna de estado de Conectividade para ver se a ligação está saudável ou tem problemas.

  4. Selecione o valor mostrado na coluna de estado de Conectividade para ver mais detalhes.

A página de detalhes do Ambiente lista quaisquer problemas de configuração ou permissões detetados que afetem a ligação à conta AWS.

Captura de ecrã da página de detalhes do ambiente no Microsoft Defender for Cloud mostrando o estado de conectividade de uma conta Amazon Web Services ligada.

Se houver algum problema, pode selecioná-lo para visualizar uma descrição do problema e os passos recomendados para remediação. Em alguns casos, é fornecido um script de remediação para ajudar a resolver o problema.

Saiba mais sobre a resolução de problemas de conectores multicloud.

Implante um modelo do CloudFormation em sua conta da AWS

Como parte da integração, implemente o modelo gerado do CloudFormation:

  • Como um Stack (conta única)
  • Como StackSet (conta de gestão)

Captura de ecrã a mostrar o assistente de implementação do modelo CloudFormation.

Opções de implementação de modelos

  • URL do Amazon S3: faça upload do modelo do CloudFormation baixado para seu próprio bucket do S3 com suas próprias configurações de segurança. Fornece a URL do S3 no assistente de implementação da AWS.

  • Carregar um ficheiro template: A AWS cria automaticamente um bucket S3 para armazenar o template. Esta configuração pode desencadear a S3 buckets should require requests to use Secure Socket Layer recomendação. Pode corrigi-lo aplicando a seguinte bucket policy:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Nota

Ao executar o CloudFormation StackSets ao integrar uma conta de gerenciamento da AWS, você pode encontrar a seguinte mensagem de erro: You must enable organizations access to operate a service managed stack set

Esta mensagem de erro indica que não ativou o acesso confiável para as Organizações AWS.

Para corrigir este erro, a página CloudFormation StackSets tem um prompt com um botão que pode selecionar para ativar o acesso confiável. Depois de o acesso confiável estar ativado, execute novamente a pilha CloudFormation.

Precisas de atualizar o modelo do CloudFormation?

Esta tabela ajuda-o a determinar se precisa de atualizar o modelo CloudFormation implementado na sua conta AWS.

Step Question Se SIM Se NÃO
1 Ativaste um novo plano Defender (por exemplo, CSPM, Bases de Dados, Defender para Containers)? Atualize o stack CloudFormation com o template mais recente. Vai para o Passo 2.
2 Está a modificar a configuração do plano (por exemplo, ativar o autoprovisionamento ou mudar a região)? Atualize a CloudFormation Stack com o template mais recente. Vai para o Passo 3.
3 A Microsoft lançou uma nova versão do modelo? (Por exemplo, suportar novas funcionalidades, corrigir bugs ou atualizar o tempo de execução) Atualize o CloudFormation Stack com o modelo mais recente. Vai para o Passo 4.
4 Está a experienciar errosde implementação 1 (por exemplo, erro de acesso negado, entidade já existente, tempo de execução Lambda)? Atualize o CloudFormation Stack com o modelo mais recente. Não é necessária atualização do modelo CloudFormation.

1 Se estiver a receber erros específicos, ou erros na implementação do modelo CloudFormation, consulte a tabela de resolução de erros do CloudFormation.

Ativar a ingestão de registos AWS CloudTrail (Pré-visualização)

A ingestão de eventos de gestão do AWS CloudTrail pode melhorar insights de identidade e configuração ao adicionar contexto para avaliações CIEM, indicadores de risco baseados em atividade e deteção de alterações de configuração.

Saiba mais sobre a integração dos registos AWS CloudTrail com o Microsoft Defender for Cloud (Pré-visualização).

Mais informações

Confira os seguintes blogs:

Próximos passos

  • Last updated on