Подключение учетных записей AWS к Microsoft Defender для облака

В этой статье показано, как подключить одну учетную запись Amazon Web Services (AWS) или учетную запись управления AWS к Microsoft Defender для облака с помощью собственного соединителя AWS.

После подключения учетной записи Defender для облака обнаруживает ресурсы AWS, оценивает состояние безопасности и предоставляет рекомендации по безопасности и оповещения.

На следующем снимке экрана показаны учетные записи AWS, отображаемые на панели мониторинга обзора Defender для облака:

Снимок экрана, на котором показаны учетные записи AWS на обзорной панели мониторинга Defender для облака.

Дополнительные сведения см. в видео Новый соединитель AWS в Defender для облака из серии видео Defender для облака на практике.

Note

Если у вас есть учетная запись AWS, подключенная к Microsoft Sentinel, вы не можете подключить ее к Defender для облака. Чтобы убедиться, что соединитель работает правильно, следуйте инструкциям по подключению подключенной учетной записи AWS Sentinel к Defender для облака.

Архитектура проверки подлинности

При подключении учетной записи AWS Microsoft Defender для облака аутентифицируется в AWS, используя федеративное доверие и краткосрочные учетные данные, не сохраняя долгосрочные секреты.

Узнайте больше о том, как устанавливается проверка подлинности между Microsoft Entra ID и AWS, включая роли IAM и отношения доверия, создаваемые в процессе подключения.

Необходимые условия

Перед подключением учетной записи AWS убедитесь, что у вас есть:

Дополнительные требования применяются при активации определённых планов Defender. Изучите требования к плану нативного соединителя.

Note

Коннектор AWS недоступен в облачных сервисах национального правительства (Azure для государственных организаций, Microsoft Azure, обслуживаемый компанией 21Vianet).

Требования к плану встроенного соединителя

Каждый план Defender имеет определенные требования к настройке.

  • По крайней мере один кластер Amazon EKS с доступом к серверу API Kubernetes. Если у вас его нет, создайте новый кластер EKS.
  • Емкость для создания очереди Amazon SQS, потока доставки Kinesis Data Firehose и контейнера Amazon S3 в том же регионе, что и кластер.

Подключение к учетной записи AWS

Important

Для подключения учетной записи управления используйте только учетную запись управления AWS. Делегированные учетные записи администратора не поддерживаются.

Чтобы подключить среду AWS к Defender для облака с помощью собственного соединителя:

  1. Войдите на портал Azure.

  2. Перейдите в раздел Defender для облака>Настройки среды.

  3. Выберите Добáвить среду>Amazon Web Services.

    Скриншот, который показывает подключение учетной записи AWS к подписке Azure.

  4. Введите имя соединителя.

  5. Для подключения выберите тип учетной записи:

    • Учетная запись управления: создает соединитель для учетной записи управления AWS. Автоматическая настройка создает коннекторы для обнаруженных дочерних учетных записей и новых учетных записей, созданных под учетной записью управления.
    • Отдельная учетная запись: создает соединитель для одной учетной записи AWS.
  6. Выберите регионы AWS которые содержат ресурсы, которые необходимо защитить Defender для облака. Все регионы выбраны по умолчанию.

  7. Выберите подписку , в которой будет создан соединитель безопасности.

  8. Выберите группу ресурсов , в которой будет создан соединитель безопасности.

  9. Выберите расположение , в котором будет создан соединитель безопасности.

  10. Выберите интервал для сканирования среды AWS каждые 4, 6, 12 или 24 часа. Некоторые сборщики данных выполняются с фиксированными интервалами сканирования и не подвержены влиянию пользовательских конфигураций интервалов.

  11. Введите идентификатор учетной записи AWS.

  12. Только учетная запись управления: При необходимости введите идентификаторы учетных записей AWS, чтобы исключить их, разделенные запятыми.

    Снимок экрана: вкладка для ввода сведений об учетной записи AWS.

  13. Выберите Далее: выбор планов.

  14. Выберите планы Defender, которые вы хотите включить.

    Note

    Каждый план может взимать плату. Дополнительные сведения о ценах Defender для облака.

    Снимок экрана: шаг выбора плана для учетной записи AWS.

    Important

    Чтобы представить текущее состояние рекомендаций, план Управления состоянием безопасности облака Microsoft Defender запрашивает API ресурсов AWS несколько раз в день. Эти вызовы API только для чтения не несут никаких расходов, но они зарегистрированы в CloudTrail, если вы включите трассу для событий чтения.

    Документация AWS объясняет, что за сохранение одного следа не взимается дополнительная плата. Если вы экспортируете данные из AWS, например во внешнюю систему SIEM, это увеличение объема вызовов также может увеличить затраты на прием. В таких случаях рекомендуется отфильтровать вызовы с доступом только для чтения из роли пользователя Defender для облака или роли ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. Это имя роли по умолчанию. Подтвердите имя роли, настроенную в вашей учетной записи.

  15. (Необязательно) Настройте различные конфигурации плана.

    Defender для контейнеров — это облачное решение, которое защищает контейнерные ресурсы, включая кластеры Kubernetes, узлы, рабочие нагрузки, реестры и образы, в нескольких облаках и локальных средах.

    Чтобы включить или отключить определенные функции плана, выберите "Параметры", переключите компоненты на "Вкл ." и нажмите кнопку "Сохранить".

    Снимок экрана с выбором плана Defender for Containers для среды AWS.

    Дополнительные сведения о Defender for Containers.

    Note

    Если вы вернеесь к включению или отключению функций плана, может потребоваться обновить шаблон CloudFormation в учетной записи AWS. Чтобы определить, нужно ли обновить его, см. раздел "Обновление шаблона CloudFormation".

  16. Выберите "Настроить доступ".

  17. Выберите тип разрешений:

    • Доступ по умолчанию: предоставляет разрешения, необходимые для текущих и будущих возможностей.
    • Минимальный доступ к привилегиям: предоставляет только необходимые сегодня разрешения. Вы можете получать уведомления, если требуется дополнительный доступ позже.
  18. Выберите метод развертывания:

    • AWS CloudFormation

    • Terraform

      Снимок экрана: конфигурация метода развертывания.

  19. Следуйте инструкциям на экране для выбранного метода развертывания, чтобы завершить необходимые зависимости в AWS.

    Note

    Если выбрать учетную запись управления, вкладка для подключения с помощью Terraform не отображается в пользовательском интерфейсе. Подключение Terraform по-прежнему поддерживается. Инструкции см. в разделе Подключение среды AWS/GCP к Microsoft Defender для облака с помощью Terraform.

    При развертывании с помощью CloudFormation выберите один из следующих вариантов шаблона:

    • URL-адрес Amazon S3: отправьте скачанный шаблон CloudFormation в собственный контейнер S3 с собственными конфигурациями безопасности. Укажите URL-адрес S3 в мастере развертывания AWS.

    • Отправка файла шаблона: AWS автоматически создает контейнер S3 для хранения шаблона. Эта конфигурация может активировать рекомендацию S3 buckets should require requests to use Secure Socket Layer . Ее можно исправить, применяя следующую политику корзины:

      {
        "Id": "ExamplePolicy",
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
              "<S3_Bucket_ARN>",
              "<S3_Bucket_ARN>/*"
            ],
            "Condition": {
              "Bool": {
                "aws:SecureTransport": "false"
              }
            },
            "Principal": "*"
          }
        ]
      }
      

    Important

    При запуске CloudFormation StackSet для учетной записи управления AWS может возникнуть следующее сообщение об ошибке:

    You must enable organizations access to operate a service managed stack set

    Эта ошибка означает, что доверенный доступ для организаций AWS не включен.

    Чтобы устранить эту ошибку, перейдите на страницу CloudFormation StackSets и выберите вариант, чтобы включить доверенный доступ. После включения доверенного доступа снова запустите шаблон CloudFormation.

  20. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  21. Нажмите кнопку "Создать".

Defender для облака начинает сканирование ресурсов AWS. Рекомендации по безопасности отображаются в течение нескольких часов. После подключения вы можете отслеживать состояние AWS, оповещения и инвентаризацию ресурсов в Defender для облака.

Обновление шаблона CloudFormation

Обновите шаблон CloudFormation, развернутый в вашей учетной записи AWS, если изменяются разрешения или ресурсы, необходимые для Defender для облака.

Когда следует обновить шаблон

Обновите шаблон в следующих случаях:

  • Вы включили новый план Defender, например Defender CSPM, Defender для баз данных или Defender для контейнеров.
  • Вы изменили конфигурацию плана, например включение автоматической подготовки или изменение выбранных регионов.
  • Microsoft выпустила новую версию шаблона, например версию, которая поддерживает новые функции, исправляет ошибки или обновляет среду выполнения.
  • У вас возникают ошибки развертывания, такие как AccessDenied, EntityAlreadyExists или ошибки среды выполнения Lambda. Сведения об определенных ошибках или ошибках развертывания шаблона CloudFormation см. в таблице разрешения ошибок CloudFormation.

Обновление шаблона

  1. В Defender для облака создайте или скачайте последний шаблон CloudFormation для соединителя AWS.

  2. В AWS CloudFormation обновите существующий стек, созданный для соединителя Defender для облака.

  3. Замените существующий шаблон обновленным файлом шаблона или URL-адресом Amazon S3 для обновленного шаблона.

  4. Сохраняйте существующие сведения и параметры стека, если Defender для облака не предоставляет обновленные значения.

  5. Проверьте изменения, подтвердите изменения ресурсов IAM при появлении запроса и обновите стек.

Узнайте, как обновлять стеки непосредственно в AWS CloudFormation.

Проверка работоспособности соединителя

Чтобы убедиться, что соединитель AWS работает правильно:

  1. Войдите на портал Azure.

  2. Перейдите в раздел Defender для облака>Настройки среды.

  3. Найдите учетную запись AWS и просмотрите столбец состояния подключения , чтобы узнать, является ли подключение работоспособным или имеет проблемы.

  4. Выберите значение, показанное в столбце состояния подключения , чтобы просмотреть дополнительные сведения.

На странице сведений о среде перечислены обнаруженные проблемы конфигурации или разрешения, влияющие на подключение к учетной записи AWS.

Скриншот страницы с деталями окружения в Microsoft Defender для облака, показывающий статус подключения учетной записи Amazon Web Services.

Если проблема присутствует, ее можно выбрать, чтобы просмотреть описание проблемы и рекомендуемые действия по исправлению. В некоторых случаях скрипт исправления предоставляется для устранения проблемы.

Дополнительные сведения об устранении неполадок соединителей с несколькими облаками.

Просмотр текущего покрытия

Защитник для облака предоставляет доступ к рабочим тетрадям через рабочие тетради Azure. Рабочие тетради — это настраиваемые отчеты, предоставляющие аналитические сведения о положении дел в безопасности.

Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.

Включить прием логов AWS CloudTrail (предварительная версия)

Прием событий управления AWS CloudTrail может улучшить понимание идентификации и конфигурации, добавив контекст для оценки CIEM, индикаторов риска на основе активности и обнаружения изменений конфигурации.

Узнайте больше об интеграции журналов AWS CloudTrail с Microsoft Defender для облака (предварительная версия).

Ознакомьтесь со следующими блогами:

Дальнейшие действия