Defender for Cloud Apps如何協助保護 Amazon Web Services (AWS) 環境

Amazon Web Services 是一家 IaaS 供應商，可讓您的組織在雲端託管和管理其整個工作負載。除了利用雲端基礎結構的好處外，您組織最關鍵的資產可能會面臨威脅。公開的資產包括具有潛在敏感資訊的儲存執行個體、操作某些最關鍵應用程式的運算資源、連接埠，以及可存取組織的虛擬私人網路。

將 AWS 連線到 Defender for Cloud Apps 可協助您監視管理和登入活動、通知可能的暴力破解攻擊、惡意使用特殊許可權使用者帳戶、異常刪除 VM 以及公開的儲存體貯體，以協助您保護資產並偵測潛在威脅。

主要威脅

濫用雲端資源
帳戶受損和內部威脅
資料外洩
資源配置錯誤，存取控制不足

Defender for Cloud Apps 如何協助保護您的環境

使用內建政策和政策範本控制 AWS

您可以使用下列內建原則範本來偵測潛在威脅並通知您：

類型	姓名
活動原則範本	管理員控制台登入失敗 CloudTrail 組態變更 EC2 執行個體組態變更 IAM 政策變更從有風險的 IP 位址登入網路存取控制清單 (ACL) 變更網路閘道變更 S3 儲存貯體活動安全性群組設定變更虛擬私人網路變更
內建異常偵測原則	來自匿名 IP 位址的活動來自不常使用國家/地區的活動。來自可疑 IP 位址的活動不可能的移動終止使用者 (執行的活動需要Microsoft Entra ID 作為 IdP) 多次失敗的登入嘗試異常的行政活動預覽) (異常的多個儲存體刪除活動多次刪除 VM 活動預覽) (異常的多個 VM 建立活動雲端資源 (預覽) 的異常區域
檔案原則範本	S3 儲存貯體可公開存取

如需有關建立政策的詳細資訊，請參閱建立政策。

自動化治理控制

除了監控潛在威脅之外，您還可以套用並自動化下列 AWS 治理動作，以修復偵測到的威脅：

類型	動作
使用者治理	- 通過Microsoft Entra ID) 通知用戶發出警報 ( - 要求使用者透過Microsoft Entra ID 重新登入 () - 透過Microsoft Entra ID 暫停使用者 ()
資料管理	- 將 S3 儲存貯體設為私有 - 移除 S3 儲存貯體的協作者

如需補救應用程式威脅的詳細資訊，請參閱控管連線的應用程式。

即時保護 AWS

檢閱我們封鎖和保護將敏感資料下載至未受管理或有風險裝置的最佳做法。

將 Amazon Web Services 連線至 Microsoft Defender for Cloud Apps

本節提供使用連接器 API 將現有的 Amazon Web Services (AWS) 帳戶連線至 Microsoft Defender for Cloud Apps 的指示。如需 Defender for Cloud Apps 如何保護 AWS 的相關資訊，請參閱保護 AWS。

您可以將 AWS 安全性稽核連線至 Defender for Cloud Apps 連線，以取得 AWS 應用程式使用情況的可見度和控制。

步驟 1：設定 Amazon Web Services 稽核

在 Amazon Web Services 主控台的 Security（安全性）、Identity & Compliance （身分識別合規性）下，選取 IAM。
選取 [ 使用者 ]，然後選取 [ 新增使用者]。
在 [詳細資料] 步驟中，提供 Defender for Cloud Apps 的新使用者名稱。請確定您在 [存取類型] 底下選取 [程式設計存取]，然後選取 [下一步許可權]。

在
選取 [直接附加現有原則]，然後選取 [ 建立原則]。
選取 JSON 索引標籤：

將下列指令碼貼到提供的區域中：

{
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

選取 [下一步：標籤]
選取 [下一步：檢閱]。
提供名稱，然後選取 建立原則。
返回 [新增使用者] 畫面，視需要重新整理清單，然後選取您建立的使用者，然後選取 [下一步：標籤]。
選取 [下一步：檢閱]。
如果所有詳細資料都正確無誤，請選取 [建立使用者]。
當您收到成功訊息時，請選取 [ 下載 .csv ] 以儲存新使用者認證的複本。您稍後會需要這些。

在在

注意事項

連線 AWS 後，您將在連線前 7 天收到事件。如果您剛啟用 CloudTrail，則會收到啟用 CloudTrail 時的事件。

步驟 2：將 Amazon Web Services 稽核連線至 Defender for Cloud Apps

在 Microsoft Defender 入口網站中，選取 [設定]。然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下，選取 [應用程式連接器]。
在 [應用程式連接器 ] 頁面中，若要提供 AWS 連接器登入資料，請執行下列其中一項：

對於新連接器
1. 選取 [+連線應用程式]，然後選取 [Amazon Web Services]。
2. 在下一個視窗中，提供連接器的名稱，然後選取 [ 下一步]。
3. 在 [連線 Amazon Web Services ] 頁面上，選取 [ 安全性稽核]，然後選取 [下一步]。
4. 在 [安全性稽核] 頁面上，將 .csv 檔案中的 [存取金鑰 ] 和 [秘密金鑰] 貼到相關欄位中，然後選取 [ 下一步]。
對於現有的連接器
1. 在連接器清單中，在顯示 AWS 連接器的資料列上，選取 [編輯設定]。
2. 在 [執行個體名稱] 和 [連線 Amazon Web Services ] 頁面上，選取 [ 下一步]。在 [安全性稽核] 頁面上，將 .csv 檔案中的 [存取金鑰 ] 和 [秘密金鑰] 貼到相關欄位中，然後選取 [ 下一步]。
在 Microsoft Defender 入口網站中，選取 [設定]。然後選擇 [雲端應用程式]。 在 [連線的應用程式] 底下，選取 [應用程式連接器]。 請確定已連線的應用程式連接器狀態為 [已連線]。