Connettere gli account AWS a Microsoft Defender per il cloud

Questo articolo illustra come connettere un singolo account Amazon Web Services (AWS) o un account di gestione AWS a Microsoft Defender per il cloud usando il connettore AWS nativo.

Dopo aver connesso l'account, Defender per il cloud individua le risorse AWS, valuta il comportamento di sicurezza e presenta raccomandazioni e avvisi di sicurezza.

Lo screenshot seguente mostra gli account AWS visualizzati nel dashboard di panoramica di Defender per il cloud:

Per altre informazioni, guardare il video Nuovo connettore AWS in Defender per il cloud della serie di video Defender per il cloud in the Field.

Nota

Se si ha un account AWS connesso a Microsoft Sentinel, non è possibile connetterlo a Defender per il cloud. Per assicurarsi che il connettore funzioni correttamente, seguire le istruzioni riportate in Connettere un account AWS connesso di Sentinel a Defender per il cloud.

Architettura di autenticazione

Quando si connette un account AWS, Microsoft Defender per il cloud esegue l'autenticazione a AWS usando credenziali federate di trust e di breve durata, senza archiviare segreti di lunga durata.

Altre informazioni su come viene stabilita l'autenticazione tra Microsoft Entra ID e AWS, inclusi i ruoli IAM e le relazioni di trust creati durante l'onboarding.

Prerequisiti

Prima di connettere l'account AWS, assicurarsi di avere:

Sottoscrizione Microsoft Azure. Se non ne hai uno, iscriviti per ottenere una sottoscrizione gratuita.
Microsoft Defender per Cloud attivato per la tua sottoscrizione di Azure.
Accesso a un account AWS.
Autorizzazione a livello di collaboratore per la sottoscrizione di Azure pertinente.
Per abilitare CIEM come parte di Defender CSPM, è necessario il ruolo di amministratore Security e l'autorizzazione Application.ReadWrite.All necessari per il tenant.

Quando si abilitano piani di Defender specifici, si applicano requisiti aggiuntivi. Esaminare i requisiti del piano del connettore nativo.

Nota

Il connettore AWS non è disponibile nei cloud nazionali per enti pubblici (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet).

Requisiti del piano del connettore nativo

Ogni piano di Defender ha requisiti di configurazione specifici.

Almeno un cluster Amazon EKS con accesso al server API Kubernetes. Se non ne possiedi uno, crea un nuovo cluster EKS.
Capacità di creare una coda Amazon SQS, un flusso di recapito Amazon Kinesis Data Firehose e un bucket Amazon S3 nella stessa regione del cluster.

Microsoft Defender per server abilitato nella sottoscrizione.
Un account AWS attivo con istanze EC2.
Azure Arc per i server installati nelle istanze EC2. Il provisioning automatico è consigliato e richiede il ruolo Owner nella sottoscrizione Azure.
Assicurarsi di soddisfare i requisiti di network per Azure Arc.
AWS SSM Agent installato con la policy AmazonSSMManagedInstanceCore. Se non è preinstallato, installarlo per Windows o Linux.

Nota

Se l'agente SSM è mancante o rimosso, il provisioning automatico di Arc non può continuare.
Il modello CloudFormation di onboarding crea anche un'analisi di automazione di 30 giorni che verifica che ogni istanza ec2 abbia il profilo IAM richiesto.

Le estensioni seguenti abilitate nei computer connessi ad Arc:
- Microsoft Defender per i punti finali
- Un soluzione di valutazione della vulnerabilità (TVM o Qualys)

Nota

L'agente Log Analytics è stato ritirato in agosto 2024. Le funzionalità che dipendono da esso passano all'integrazione di Defender per endpoint o all'analisi senza agente.
Altre informazioni sulle modifiche future.

Defender per server assegna tag di risorsa (AccountId, Cloud, InstanceId, MDFCSecurityConnector) per gestire il processo di provisioning automatico.

Nota

I rispettivi server Azure Arc per le istanze EC2 o le macchine virtuali GCP che non esistono più (e i rispettivi server Azure Arc con stato Disconnesso o Scaduto) vengono rimossi dopo sette giorni. Questa pulizia garantisce che solo i server con abilitazione di Arc attivi continuino a essere visualizzati in Defender per il cloud.

Connettere l'account AWS

Importante

Per l'onboarding degli account di gestione, usare solo l'account di gestione AWS. Gli account di amministratore delegato non sono supportati.

Per connettere l'ambiente AWS a Defender per il cloud usando un connettore nativo:

Accedere al portale Azure.
Passare a Defender per il cloud>Impostazioni ambiente.
Selezionare Aggiungi ambiente>Amazon Web Services.
Immettere un nome per il connettore.
In Onboard, selezionare il tipo di account:
- Account di gestione: crea un connettore per l'account di gestione AWS. Il provisioning automatico crea connettori per gli account membro rilevati e per quelli appena creati sotto l'account di gestione.
- Account singolo: crea un connettore per un singolo account AWS.
Selezionare le aree AWS che contengono risorse da proteggere Defender per il cloud. Tutte le aree sono selezionate per impostazione predefinita.
Selezionare la sottoscrizione in cui verrà creato il connettore di sicurezza.
Selezionare il gruppo di risorse in cui verrà creato il connettore di sicurezza.
Selezionare la posizione in cui verrà creato il connettore di sicurezza.
Selezionare un intervallo per analizzare l'ambiente AWS ogni 4, 6, 12 o 24 ore. Alcuni raccoglitori di dati funzionano con intervalli di scansione fissi e non sono influenzati dalle configurazioni di intervalli personalizzati.
Inserisci il ID dell'account AWS.
Solo account di gestione: Se necessario, immettere gli ID account AWS da escludere, separati da virgole.
Selezionare Avanti: Seleziona piani.
Scegliere i piani di Defender da abilitare.

Nota

Ogni piano potrebbe comportare addebiti. Altre informazioni sui prezzi Defender per il cloud.

Importante

Per presentare lo stato corrente delle raccomandazioni, il piano Microsoft Defender Cloud Security Posture Management esegue una query sulle API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano addebiti, ma vengono registrati in CloudTrail se si abilita un trail per gli eventi di lettura.

La documentazione di AWS spiega che non sono previsti costi aggiuntivi per mantenere un unico percorso. Se si esportano i dati da AWS, ad esempio in un sistema SIEM esterno, questo aumento del volume di chiamate potrebbe anche aumentare i costi di inserimento. In questi casi, è consigliabile filtrare le chiamate di sola lettura dall'utente di Defender per il cloud o dal ruolo ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. Si tratta del nome del ruolo predefinito. Confermare il nome del ruolo configurato nell'account.
(Facoltativo) Configurare le diverse configurazioni del piano.
Defender CSPM include due opzioni di piano: Foundational CSPM, incluso nella sottoscrizione Defender per il cloud e abilitato per impostazione predefinita, e Defender CSPM, ovvero il piano a pagamento.

Per abilitare o disabilitare funzionalità specifiche del piano, selezionare Impostazioni, attivare o disattivare le funzionalità su Sì e selezionare Salva.

Altre informazioni sulla disponibilità e le funzionalità del piano di Defender CSPM.

Defender per i server riduce i rischi di sicurezza e l'esposizione per i computer. Protegge Windows e i computer Linux e fornisce raccomandazioni, informazioni dettagliate sul comportamento e protezione dalle minacce.

Per abilitare o disabilitare funzionalità specifiche del piano, selezionare Impostazioni, attivare o disattivare le funzionalità su Sì e selezionare Salva.

Altre informazioni su Defender per server.

Defender per SQL nei computer ti aiuta a proteggere i carichi di lavoro di SQL Server eseguiti su istanze EC2 e RDS Custom per SQL Server. Fornisce informazioni dettagliate sulla protezione dalle minacce e sulla sicurezza per le distribuzioni di SQL Server supportate nell'ambiente AWS.

Per abilitare o disabilitare funzionalità specifiche del piano, selezionare Impostazioni, attivare o disattivare le funzionalità su Sì e selezionare Salva.

Altre informazioni su Microsoft Defender for i server SQL nei computer.

Defender per i database relazionali open source consente di rilevare e analizzare attività insolite nei database di AWS Relational Database Service (RDS). Fornisce informazioni dettagliate sulla protezione dalle minacce e sulla sicurezza per motori supportati, ad esempio Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL e MariaDB.

Per abilitare o disabilitare funzionalità specifiche del piano, selezionare Impostazioni, attivare o disattivare le funzionalità su Sì e selezionare Salva.

Altre informazioni su Defender per database relazionali open source.

Defender per contenitori è una soluzione nativa del cloud che protegge gli asset in contenitori, inclusi cluster Kubernetes, nodi, carichi di lavoro, registri e immagini in ambienti multicloud e locali.

Per abilitare o disabilitare funzionalità specifiche del piano, selezionare Impostazioni, attivare o disattivare le funzionalità su Sì e selezionare Salva.

Altre informazioni su Defender per contenitori.
Nota

Se si torna ad abilitare o disabilitare le funzionalità del piano, potrebbe essere necessario aggiornare il modello CloudFormation nell'account AWS. Per determinare se è necessario aggiornarlo, vedere Aggiornare il modello CloudFormation.
Selezionare Configura accesso.
Selezionare il tipo di autorizzazioni:
- Accesso predefinito: concede le autorizzazioni necessarie per le funzionalità correnti e future.
- Accesso con privilegi minimi: concede solo le autorizzazioni necessarie oggi. È possibile ricevere notifiche se è necessario un accesso aggiuntivo in un secondo momento.
Selezionare un metodo di distribuzione:
- AWS CloudFormation
- Terraform
Seguire le istruzioni visualizzate per il metodo di distribuzione selezionato per completare le dipendenze necessarie in AWS.

Nota

Se si seleziona Account di gestione, la scheda per l'onboarding tramite Terraform non è visibile nell'interfaccia utente. L'onboarding di Terraform è ancora supportato. Per indicazioni, vedere Onboarding dell'ambiente AWS/GCP in Microsoft Defender per il cloud con Terraform.

Se si esegue la distribuzione con CloudFormation, scegliere una delle opzioni di modello seguenti:
- URL di Amazon S3: caricare il modello CloudFormation scaricato nel bucket S3 con le proprie configurazioni di sicurezza. Specificare l'URL S3 nella distribuzione guidata di AWS.
- Caricare un file modello: AWS crea automaticamente un bucket S3 per archiviare il modello. Questa configurazione potrebbe attivare la S3 buckets should require requests to use Secure Socket Layer raccomandazione. È possibile correggerlo applicando i criteri bucket seguenti:
```
{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}
```
Importante

Quando si esegue CloudFormation StackSet per un account di gestione AWS, è possibile che venga visualizzato il messaggio di errore seguente:

You must enable organizations access to operate a service managed stack set

Questo errore indica che l'accesso attendibile per le organizzazioni AWS non è abilitato.

Per correggere questo errore, passare alla pagina CloudFormation StackSets e selezionare il prompt per abilitare l'accesso attendibile. Dopo aver abilitato l'accesso attendibile, eseguire di nuovo il modello CloudFormation.
Selezionare Avanti: Esamina e genera.
Selezionare Crea.

Defender per il cloud avvia l'analisi delle risorse AWS. Le raccomandazioni sulla sicurezza vengono visualizzate entro poche ore. Dopo l'onboarding, è possibile monitorare il comportamento, gli avvisi e l'inventario delle risorse di AWS in Defender per il cloud.

Aggiornare il modello CloudFormation

Aggiorna il modello di CloudFormation distribuito nel tuo account AWS quando cambiano le autorizzazioni o le risorse richieste da Defender per il cloud.

Quando aggiornare il modello

Aggiornare il modello nei casi seguenti:

È stato abilitato un nuovo piano di Defender, ad esempio Defender CSPM, Defender per database o Defender per contenitori.
Hai modificato la configurazione del piano, ad esempio abilitando il provisioning automatico o cambiando le regioni selezionate.
Microsoft rilasciato una nuova versione del modello, ad esempio una versione che supporta nuove funzionalità, corregge i bug o aggiorna il runtime.
Si riscontrano errori di distribuzione, ad esempio AccessDenied, EntityAlreadyExists, o errori di runtime di Lambda. Per errori specifici o errori di distribuzione del modello CloudFormation, vedere la tabella di risoluzione degli errori CloudFormation.

Aggiornare il modello

In Defender per il cloud generare o scaricare il modello CloudFormation più recente per il connettore AWS.
In AWS CloudFormation aggiornare lo stack esistente creato per il connettore Defender per il cloud.
Sostituire il modello esistente con il file modello aggiornato o con l'URL amazon S3 per il modello aggiornato.
Mantenere i dettagli e i parametri dello stack esistenti, a meno che Defender per il cloud non fornisca valori aggiornati.
Esaminare le modifiche, confermare le modifiche alle risorse IAM se richiesto e aggiornare lo stack.

Informazioni su come aggiornare gli stack direttamente in AWS CloudFormation.

Convalidare l'integrità del connettore

Per verificare che il connettore AWS funzioni correttamente:

Accedere al portale Azure.
Passare a Defender per il cloud>Impostazioni ambiente.
Individuare l'account AWS ed esaminare la colonna Stato connettività per verificare se la connessione è integra o presenta problemi.
Selezionare il valore visualizzato nella colonna Stato connettività per visualizzare altri dettagli.

Nella pagina Dei dettagli dell'ambiente sono elencati eventuali problemi di configurazione o autorizzazione rilevati che interessano la connessione all'account AWS.

Se è presente un problema, è possibile selezionarlo per visualizzare una descrizione del problema e i passaggi consigliati per la correzione. In alcuni casi viene fornito uno script di correzione per risolvere il problema.

Altre informazioni sulla risoluzione dei problemi relativi ai connettori multicloud.

Visualizzare la copertura corrente

Defender per il cloud consente l'accesso a cartelle di lavoro tramite Azure cartelle di lavoro. Le cartelle di lavoro sono report personalizzabili che forniscono informazioni dettagliate sul comportamento di sicurezza.

La cartella di lavoro di copertura ti aiuta a comprendere la copertura attuale mostrando quali piani sono attivati sui tuoi abbonamenti e risorse.

Abilitare l'inserimento dei log di AWS CloudTrail (anteprima)

L'inserimento di eventi di gestione di AWS CloudTrail può migliorare le informazioni dettagliate sulle identità e sulla configurazione aggiungendo il contesto per le valutazioni CIEM, gli indicatori di rischio basati sulle attività e il rilevamento delle modifiche alla configurazione.

Altre informazioni sull’integrazione dei log di AWS CloudTrail con Microsoft Defender per il cloud (anteprima).

Altre informazioni

Vedere i blog seguenti:

Passaggi successivi

Assegnare l'accesso ai proprietari del carico di lavoro.
Proteggere tutte le risorse con Defender per il cloud.
Configurare i computer locali e i progetti GCP.
Ottenere risposte a domande comuni sull'onboarding dell'account AWS.
Risolvere i problemi relativi ai connettori multi-cloud.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-06-04

Connettere gli account AWS a Microsoft Defender per il cloud

Architettura di autenticazione

Prerequisiti

Requisiti del piano del connettore nativo

Connettere l'account AWS

Aggiornare il modello CloudFormation

Quando aggiornare il modello

Aggiornare il modello

Convalidare l'integrità del connettore

Visualizzare la copertura corrente

Abilitare l'inserimento dei log di AWS CloudTrail (anteprima)

Altre informazioni

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive