Поделиться через

Подключение учетных записей AWS к Microsoft Defender для облака

Microsoft Defender для облака помогает защитить рабочие нагрузки, работающие в Amazon Web Services (AWS). Чтобы оценить ресурсы AWS и получить рекомендации по безопасности, необходимо подключить учетную запись AWS к Defender для облака. Соединитель собирает сигналы конфигурации и безопасности из служб AWS. Используя эти сведения, Defender for Cloud может анализировать состояние, создавать рекомендации и выводить оповещения.

Дополнительные сведения см. в видео Новый соединитель AWS в Defender для облака из серии видео Defender для облака на практике.

Снимок экрана, на котором показаны учетные записи AWS на обзорной панели мониторинга Defender for Cloud.

Внимание

Если вы уже подключили вашу учетную запись AWS к Microsoft Sentinel, при подключении ее к Defender для облака может потребоваться дополнительная настройка. Эта дополнительная конфигурация предотвращает проблемы с развертыванием или импортом. Дополнительные сведения см. в статье "Подключение подключенной учетной записи AWS Sentinel к Defender для облака".

Архитектура проверки подлинности

При подключении учетной записи AWS Microsoft Defender для облака проходит проверку подлинности в AWS с помощью федеративного доверия и краткосрочных учетных данных без хранения долгосрочных секретов.

Узнайте больше о том, как выполняется проверка подлинности между идентификатором Microsoft Entra и AWS, включая роли IAM и отношения доверия, созданные во время подключения.

Необходимые компоненты

Перед подключением учетной записи AWS убедитесь, что у вас есть:

Дополнительные требования применяются при включении конкретных планов Defender. Изучите требования к плану нативного соединителя.

Примечание.

Коннектор AWS недоступен в облачных сервисах национального правительства (Azure Government, Microsoft Azure, обслуживаемый компанией 21Vianet).

Требования к плану собственного соединителя

Каждый план Defender имеет определенные требования к настройке.

  • По крайней мере один кластер Amazon EKS с доступом к серверу API Kubernetes. Если у вас его нет, создайте новый кластер EKS.
  • Емкость для создания очереди Amazon SQS, потока доставки Kinesis Data Firehose и контейнера Amazon S3 в том же регионе, что и кластер.

Подключение к учетной записи AWS

  1. Войдите на портал Azure.

  2. Перейдите к параметрам Defender для облака> Environment.

  3. Выберите Добавление среды>Amazon Web Services.

    Снимок экрана: подключение учетной записи AWS к подписке Azure.

  4. Введите сведения об учетной записи AWS, включая регион Azure, в котором будет создан ресурс соединителя.

    Снимок экрана: вкладка для ввода сведений об учетной записи AWS.

    Используйте раскрывающийся список регионов AWS , чтобы выбрать регионы Defender для облачных мониторов. Регионы, которые вы снимаете с выбора, не получают вызовы API от Defender для облачных служб.

  5. Выберите интервал сканирования (4, 6, 12 или 24 часа).

    Этот выбор определяет стандартный интервал для большинства проверок осанки. Некоторые сборщики данных с фиксированными интервалами работают чаще, вне зависимости от заданного параметра.

    Интервал сканирования Сборщики данных
    1 ч EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
    12 часов EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

  6. Нажмите кнопку "Далее": выберите планы и выберите планы Defender, которые вы хотите включить.

    Просмотрите выбор плана по умолчанию, так как некоторые планы могут быть включены автоматически в зависимости от конфигурации. Например, план баз данных расширяет охват Defender для SQL до AWS EC2, RDS Custom for SQL Server и реляционных баз данных с открытым исходным кодом в RDS.

    Снимок экрана: шаг выбора плана для учетной записи AWS.

    Каждый план может взимать плату. Дополнительные сведения о ценах на Defender для облака.

    Внимание

    Чтобы представить актуальные рекомендации, Defender CSPM несколько раз в день обращается к ресурсам API AWS. Вызовы API, доступные только для чтения, не приводят к начислению платы в AWS. Однако если включить ведение журнала событий чтения, CloudTrail может записать их. Экспорт этих данных во внешние системы SIEM может увеличить затраты на обработку данных. При необходимости отфильтруйте вызовы только для чтения:

    arn:aws:iam::<accountId>:role/CspmMonitorAws

  7. Выберите Настроить доступ, затем выберите:

    • Доступ по умолчанию: предоставляет разрешения, необходимые для текущих и будущих возможностей.
    • Минимальный доступ к привилегиям: предоставляет только необходимые сегодня разрешения. Вы можете получать уведомления, если требуется дополнительный доступ позже.

  8. Выберите метод развертывания:

    • AWS CloudFormation
    • Terraform.

    Снимок экрана: конфигурация метода развертывания.

    Примечание.

    При подключении учетной записи управления Defender для облака использует AWS StackSets и автоматически создает соединители для дочерних учетных записей. Автоматическая подготовка включена для вновь обнаруженных учетных записей.

    Примечание.

    Если выбрать учетную запись управления, чтобы создать соединитель для учетной записи управления, вкладка для настройки с помощью Terraform не отображается в интерфейсе пользователя. Подключение Terraform по-прежнему поддерживается. Дополнительные сведения см. в разделе "Подключение среды AWS/GCP к Microsoft Defender для облака" с помощью Terraform.

  9. Следуйте инструкциям на экране, чтобы развернуть шаблон CloudFormation. Если выбрать Terraform, следуйте эквивалентным инструкциям по развертыванию, указанным на портале.

  10. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  11. Нажмите кнопку создания.

Defender для облака начинает сканирование ресурсов AWS. Рекомендации по безопасности отображаются в течение нескольких часов. После подключения вы можете отслеживать состояние AWS, оповещения и инвентаризацию ресурсов в Defender для облака. Дополнительные сведения см. в разделе мониторинга подключенных ресурсов AWS.

Проверка работоспособности соединителя

Чтобы убедиться, что соединитель AWS работает правильно:

  1. Войдите на портал Azure.

  2. Перейдите к параметрам Defender для облака> Environment.

  3. Найдите учетную запись AWS и просмотрите столбец состояния подключения , чтобы узнать, является ли подключение работоспособным или имеет проблемы.

  4. Выберите значение, показанное в столбце состояния подключения , чтобы просмотреть дополнительные сведения.

На странице сведений о среде перечислены обнаруженные проблемы конфигурации или разрешения, влияющие на подключение к учетной записи AWS.

Снимок экрана: страница сведений о среде в Microsoft Defender для облака с состоянием подключения для подключенной учетной записи Amazon Web Services.

Если проблема присутствует, ее можно выбрать, чтобы просмотреть описание проблемы и рекомендуемые действия по исправлению. В некоторых случаях скрипт исправления предоставляется для устранения проблемы.

Дополнительные сведения об устранении неполадок соединителей с несколькими облаками.

Развертывание шаблона CloudFormation в учетной записи AWS

В рамках подключения разверните созданный шаблон CloudFormation:

  • Как Stack (отдельная учетная запись)
  • Как StackSet (учетная запись управления)

Снимок экрана: мастер развертывания шаблона CloudFormation.

Параметры развертывания шаблона

  • URL-адрес Amazon S3: отправьте скачанный шаблон CloudFormation в собственный контейнер S3 с собственными конфигурациями безопасности. Укажите URL-адрес S3 в мастере развертывания AWS.

  • Отправка файла шаблона: AWS автоматически создает контейнер S3 для хранения шаблона. Эта конфигурация может активировать рекомендацию S3 buckets should require requests to use Secure Socket Layer . Ее можно исправить, применяя следующую политику корзины:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Примечание.

При подключении учетной записи управления AWS при подключении учетной записи управления AWS может возникнуть следующее сообщение об ошибке: You must enable organizations access to operate a service managed stack set

Это сообщение об ошибке указывает, что вы не активируете доверенный доступ для организаций AWS.

Чтобы устранить эту ошибку, на странице CloudFormation StackSets есть запрос с кнопкой, которую можно выбрать, чтобы включить доверенный доступ. После включения доверенного доступа снова запустите CloudFormation Stack.

Необходимо ли обновить шаблон CloudFormation?

Эта таблица помогает определить, нужно ли обновить шаблон CloudFormation, развернутый в учетной записи AWS.

Step Question Если ДА Если НЕТ
1 Вы включили новый план Defender (например, CSPM, Базы данных, Defender для контейнеров)? Обновите CloudFormation Stack с помощью последнего шаблона. Перейдите к шагу 2.
2 Вы изменяете конфигурацию плана (например, включив автоматическое выделение ресурсов или изменив регион)? Обновите CloudFormation Stack с помощью последнего шаблона. Перейдите к шагу 3.
3 Выпустила ли Корпорация Майкрософт новую версию шаблона? (Например, поддержка новых функций, исправление ошибок или обновление среды выполнения) Обновите CloudFormation Stack с помощью последнего шаблона. Перейдите к шагу 4.
4 Возникают ли ошибки развертывания1 (например, ошибка "Отказано в доступе", сущность уже существует, среда выполнения Lambda)? Обновите CloudFormation Stack с помощью последнего шаблона. Обновление шаблона CloudFormation не требуется.

1 Если вы получаете определенные ошибки или ошибки при развертывании шаблона CloudFormation, обратитесь к таблице разрешения ошибок CloudFormation.

Включить прием логов AWS CloudTrail (предварительная версия)

Прием событий управления AWS CloudTrail может улучшить понимание идентификации и конфигурации, добавив контекст для оценки CIEM, индикаторов риска на основе активности и обнаружения изменений конфигурации.

Узнайте больше об интеграции журналов AWS CloudTrail с Microsoft Defender для облака (предварительная версия).

Подробнее

Ознакомьтесь со следующими блогами:

Следующие шаги

  • Last updated on