Come Defender per il cloud App consente di proteggere l'ambiente Amazon Web Services (AWS)

Amazon Web Services è un provider IaaS che consente all'organizzazione di ospitare e gestire l'intero carico di lavoro nel cloud. Oltre ai vantaggi derivanti dall'uso dell'infrastruttura nel cloud, gli asset più critici dell'organizzazione possono essere esposti alle minacce. Gli asset esposti includono istanze di archiviazione con informazioni potenzialmente riservate, risorse di calcolo che gestiscono alcune delle applicazioni, porte e reti private virtuali più critiche che consentono l'accesso all'organizzazione.

Connessione aws per Defender per il cloud app consente di proteggere gli asset e rilevare potenziali minacce monitorando le attività amministrative e di accesso, notificando possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi, eliminazioni insolite delle macchine virtuali e bucket di archiviazione esposti pubblicamente.

Principali minacce

  • Uso improprio delle risorse cloud
  • Account compromessi e minacce interne
  • Perdita di dati
  • Configurazione errata delle risorse e controllo di accesso insufficiente

Come le app Defender per il cloud aiutano a proteggere l'ambiente

Controllare AWS con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type Nome
Modello di criteri attività Amministrazione errori di accesso alla console
Modifiche alla configurazione di CloudTrail
Modifiche alla configurazione dell'istanza EC2
Modifiche ai criteri IAM
Logon from a risky IP address (Accesso da indirizzo IP rischioso)
Modifiche all'elenco di controllo di accesso alla rete
Modifiche del gateway di rete
Attività bucket S3
Modifiche alla configurazione del gruppo di sicurezza
Modifiche alla rete privata virtuale
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da un paese non frequente
Attività da indirizzi IP sospetti
Comunicazione impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Più tentativi di accesso non riusciti
Attività amministrative insolite
Attività insolite di eliminazione di più risorse di archiviazione (anteprima)
Più attività di eliminazione di VM
Attività insolite di creazione di più macchine virtuali (anteprima)
Area insolita per la risorsa cloud (anteprima)
Modello di criteri file Il bucket S3 è accessibile pubblicamente

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance AWS seguenti per correggere le minacce rilevate:

Type Azione
Governance dell'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID)
- Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)
Governance dei dati - Rendere privato un bucket S3
- Rimuovere un collaboratore per un bucket S3

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere AWS in tempo reale

Esaminare le procedure consigliate per bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connessione Amazon Web Services per Microsoft Defender per il cloud App

Questa sezione fornisce istruzioni per connettere l'account Amazon Web Services (AWS) esistente alle app di Microsoft Defender per il cloud usando le API del connettore. Per informazioni su come Defender per il cloud App protegge AWS, vedere Proteggere AWS.

È possibile connettere il controllo di AWS Security alle connessioni Defender per il cloud App per ottenere visibilità e controllo sull'uso delle app AWS.

Passaggio 1: Configurare il controllo di Amazon Web Services

  1. Nella console di Amazon Web Services, in Sicurezza, Identità e conformità selezionare IAM.

    Identità e accesso di AWS.

  2. Selezionare Utenti e quindi Aggiungi utente.

    Utenti AWS.

  3. Nel passaggio Dettagli specificare un nuovo nome utente per Defender per il cloud App. Assicurarsi che in Tipo di accesso selezionare Accesso a livello di codice e selezionare Autorizzazioni successive.

    Creare un utente in AWS.

  4. Selezionare Collega direttamente i criteri esistenti e quindi Crea criterio.

    Allegare i criteri esistenti.

  5. Selezionare la scheda JSON :

    Scheda AWS JSON.

  6. Copiare e incollare lo script seguente nell'area apposita:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Selezionare Avanti: Tag

    Codice AWS.

  8. Selezionare Successivo: Revisione.

    Aggiungere tag (facoltativo).

  9. Specificare un nome e selezionare Crea criterio.

    Specificare il nome dei criteri AWS.

  10. Nella schermata Aggiungi utente aggiornare l'elenco, se necessario, e selezionare l'utente creato e selezionare Avanti: Tag.

    Collegare i criteri esistenti in AWS.

  11. Selezionare Successivo: Revisione.

  12. Se tutti i dettagli sono corretti, selezionare Crea utente.

    Autorizzazioni utente in AWS.

  13. Quando viene visualizzato il messaggio di operazione riuscita, selezionare Scarica .csv per salvare una copia delle credenziali del nuovo utente. Questi elementi saranno necessari in un secondo momento.

    Scaricare csv in AWS.

    Nota

    Dopo la connessione di AWS si riceveranno gli eventi dei sette giorni precedenti alla connessione. Se è stato appena abilitato CloudTrail, si riceveranno gli eventi dal momento in cui è stato abilitato CloudTrail.

Passaggio 2: Connessione controllo di Amazon Web Services per Defender per il cloud Apps

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.

  2. Nella pagina Connettore app s eseguire una delle operazioni seguenti per fornire le credenziali del connettore AWS:

    Per un nuovo connettore

    1. Selezionare +Connessione un'app, seguita da Amazon Web Services.

      connettere il controllo AWS.

    2. Nella finestra successiva specificare un nome per il connettore e quindi selezionare Avanti.

      Nome del connettore di controllo AWS.

    3. Nella pagina Connessione Amazon Web Services selezionare Controllo della sicurezza e quindi selezionare Avanti.

    4. Nella pagina Controllo della sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connessione controllo di AWS app security per il nuovo connettore.

    Per un connettore esistente

    1. Nell'elenco dei connettori, nella riga in cui viene visualizzato il connettore AWS selezionare Modifica impostazioni.

      Screenshot della pagina app Connessione, che mostra il collegamento Modifica controllo sicurezza.

    2. Nelle pagine Nome istanza e Connessione Amazon Web Services selezionare Avanti. Nella pagina Controllo della sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connessione controllo della sicurezza delle app AWS per il connettore esistente.

  3. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.