Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt

Amazon Web Services ist ein IaaS-Anbieter, mit dem Ihre Organisation ihre gesamten Workloads in der Cloud hosten und verwalten kann. Die Nutzung der Infrastruktur in der Cloud hat jedoch die Kehrseite, dass kritische Ressourcen Ihrer Organisation Bedrohungen ausgesetzt sein können. Anfällige Ressourcen sind Speicherinstanzen mit potenziell vertraulichen Informationen, Computerressourcen, die einige Ihrer wichtigsten Anwendungen, Ports und virtuellen privaten Netzwerke betreiben, die den Zugriff auf Ihre Organisation ermöglichen.

Durch die Verbindung von AWS mit Defender for Cloud Apps können Sie Ihre Ressourcen sichern und potenzielle Bedrohungen erkennen, indem Sie administrative und Anmeldeaktivitäten überwachen und über mögliche Brute-Force-Angriffe, die böswillige Verwendung eines privilegierten Benutzerkontos, ungewöhnliche Löschungen von VMs und öffentlich verfügbare gemachte Speicherbuckets benachrichtigen.

Größte Bedrohungen

  • Missbrauch von Cloudressourcen
  • Kompromittierte Konten und Insiderbedrohungen
  • Datenlecks
  • Fehlkonfiguration von Ressourcen und unzureichende Zugriffssteuerung

So hilft Ihnen Defender for Cloud Apps beim Schutz Ihrer Umgebung

Steuern von AWS mit integrierten Richtlinien und Richtlinienvorlagen

Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu melden:

type Name
Aktivitätsrichtlinienvorlage Fehler bei der Anmeldung über die Verwaltungskonsole
Änderungen der CloudTrail-Konfiguration
EC2-Instanzkonfigurationsänderungen
IAM-Richtlinienänderungen
Anmeldung von einer riskanten IP-Adresse
Änderungen an der Zugriffssteuerungsliste (ACL) für das Netzwerk
Änderungen am Netzwerkgateway
S3 Eimer Aktivität
Konfigurationsänderungen bei Sicherheitsgruppen
Änderungen am virtuellen privaten Netzwerk
Integrierte Anomalieerkennungsrichtlinie Aktivitäten von anonymen IP-Adressen
Aktivität aus selten verwendetem Land
Aktivität von verdächtigen IP-Adressen
Unmöglicher Ortswechsel
Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP)
Mehrere fehlerhafte Anmeldeversuche
Ungewöhnliche Administratoraktivitäten
Mehrere ungewöhnliche Löschaktivitäten im Speicher (Vorschau)
Mehrere Aktivitäten zum Löschen von VMs
Mehrere ungewöhnliche VM-Erstellungsaktivitäten (Vorschau)
Ungewöhnliche Region für Cloudressource (Vorschau)
Dateirichtlinienvorlage S3-Bucket ist öffentlich zugänglich

Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.

Automatisieren von Governance-Kontrollen

Neben der Überwachung potenzieller Bedrohungen können Sie die folgenden AWS-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:

type Aktion
Benutzer-Governance – Mitteilen des Benutzers über die Benachrichtigung (über Microsoft Entra-ID)
– Benutzer müssen sich erneut anmelden (über Microsoft Entra-ID)
– Benutzer sperren (über Microsoft Entra-ID)
Datengovernance - Einen S3-Bucket auf privat setzen
- Zugriff eines Mitarbeiters auf einen S3-Bucket aufheben

Weitere Informationen zum Beheben von Bedrohungen aus Apps finden Sie unter Verwalten verbundener Apps.

Echtzeitschutz von AWS

Überprüfen Sie unsere bewährten Methoden zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.

Verbinden von Amazon Web Services mit Microsoft Defender for Cloud Apps

Dieser Abschnitt enthält Anweisungen für die Verbindung Ihres bestehenden Amazon Web Services (AWS)-Kontos mit Microsoft Defender for Cloud Apps unter Verwendung der Connector-APIs. Informationen darüber, wie Defender for Cloud Apps AWS schützt, finden Sie unter Schutz von AWS.

Sie können die AWS-Sicherheitsüberwachung mit Defender for Cloud Apps verbinden, um erhöhte Sichtbarkeit und Kontrolle über die Nutzung von AWS-Apps zu erhalten.

Schritt 1: Konfigurieren der Amazon Web Services-Überwachung

  1. Wählen Sie in Ihrer Amazon Web Services-Konsole unter Sicherheit, Identität & Compliance den Eintrag IAM.

    AWS Identität und Zugriff.

  2. Wählen Sie Benutzer und dann Benutzer hinzufügen.

    AWS-Benutzer.

  3. Geben Sie beim Schritt Details einen neuen Benutzernamen für Defender for Cloud Apps an. Vergewissern Sie sich, dass Sie unter Zugriffsart Programmatischen Zugriff und Nächste Berechtigungen auswählen.

    Benutzer in AWS anlegen.

  4. Wählen Sie Vorhandene Richtlinien direkt anfügen und dann Richtlinie erstellen.

    Fügen Sie bestehende Richtlinien hinzu.

  5. Wählen Sie die Registerkarte JSON:

    Registerkarte AWS JSON.

  6. Fügen Sie das folgende Skript in den zur Verfügung gestellten Bereich ein:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Klicken Sie auf Weiter: Tags.

    AWS-Code.

  8. Klicken Sie auf Weiter: Review (Weiter: Überprüfen).

    Tags hinzufügen (optional).

  9. Geben Sie einen Namen ein, und wählen Sie Richtlinie erstellen.

    Geben Sie den Namen der AWS-Richtlinie an.

  10. Aktualisieren Sie auf dem Bildschirm Benutzer hinzufügen bei Bedarf die Liste, und wählen Sie den/die Benutzer*in aus, den/die Sie erstellt haben. Klicken Sie anschließend auf Weiter: Tags.

    Vorhandene Richtlinie in AWS anhängen.

  11. Klicken Sie auf Weiter: Review (Weiter: Überprüfen).

  12. Wenn alle Informationen richtig sind, klicken Sie auf Benutzer erstellen.

    Benutzerberechtigungen in AWS.

  13. Wenn Sie die Meldung erhalten, dass der Vorgang erfolgreich war, klicken Sie auf CSV herunterladen, um eine Kopie der neuen Benutzeranmeldeinformationen zu speichern. Sie benötigen sie später.

    Csv in AWS herunterladen.

    Hinweis

    Nachdem Sie eine Verbindung mit AWS hergestellt haben, empfangen Sie die Ereignisse der letzten sieben Tage vor der Verbindungsherstellung. Wenn Sie CloudTrail gerade aktiviert haben, empfangen Sie die Ereignisse ab dem Zeitpunkt, an dem Sie CloudTrail aktiviert haben.

Schritt 2: Verbinden der Amazon Web Services-Überwachung mit Defender for Cloud Apps

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors.

  2. Führen Sie auf der Seite App-Connectors eine der folgenden Aktionen aus, um die Anmeldedaten des AWS-Connectors bereitzustellen:

    Neuer Connector

    1. Wählen Sie +App verbinden, gefolgt von Amazon Web Services.

      AWS-Auditing verbinden.

    2. Geben Sie dem Connector im nächsten Fenster einen Namen, und wählen Sie Weiter.

      Name des AWS-Auditing-Connectors.

    3. Wählen Sie auf der Seite Amazon Web Services verbinden die Sicherheitsüberwachung und dann Weiter.

    4. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.

      Verbinden Sie die AWS-App-Sicherheitsprüfung für den neuen Connector.

    Bestehender Connector

    1. Wählen Sie in der Liste der Connectors in der Zeile, in der der AWS-Connector angezeigt wird, die Option Einstellungen bearbeiten.

      Screenshot der Seite „Connected Apps“ mit dem Link „Security Auditing bearbeiten“.

    2. Wählen Sie auf den Seiten Instanzname und Amazon Web Services verbinden die Option Weiter. Fügen Sie auf der Seite Sicherheitsüberwachung den Zugriffsschlüssel und den geheimen Schlüssel aus der CSV-Datei in die entsprechenden Felder ein, und wählen Sie Weiter.

      Verbinden Sie die AWS-App-Sicherheitsprüfung für den bestehenden Connector.

  3. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors. Stellen Sie sicher, dass der Status des verbundenen App-Connectors Verbunden lautet.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.