Como o Defender para Aplicativos de Nuvem ajuda a proteger o ambiente da Amazon Web Services (AWS).

A Amazon Web Services é um provedor de IaaS que permite à sua organização hospedar e gerenciar todas as cargas de trabalho na nuvem. Com os benefícios de aproveitar a infraestrutura na nuvem, os ativos mais críticos da organização podem estar expostos a ameaças. Os ativos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam alguns dos seus aplicativos mais críticos, portas e redes virtuais privadas que permitem o acesso à sua organização.

Conectar a AWS ao Defender para Aplicativos de Nuvem ajuda a proteger seus ativos e detectar potenciais ameaças ao monitorar atividades administrativas e de login, notificando sobre possíveis ataques de força bruta, uso mal-intencionado de uma conta de usuário privilegiada, exclusões incomuns de VMs e buckets de armazenamento expostos publicamente.

Principais ameaças

  • Abuso de recursos de nuvem
  • Contas comprometidas e ameaças internas
  • Vazamento de dados
  • Configuração incorreta de recursos e controle de acesso insuficiente

Como o Defender para Aplicativos de Nuvem ajuda a proteger seu ambiente

Controle a AWS com políticas internas e modelos de políticas

Use os seguintes modelos de política internos para detectar e notificar sobre possíveis ameaças:

Tipo Nome
Modelo de política de atividades Falhas de credenciais no console de administração
Alterações na configuração do CloudTrail
Alterações na configuração da instância do EC2
Alterações na política do IAM
Logon de um endereço IP com risco
Alterações na lista de controle de acesso (ACL) à rede
Alterações no gateway de rede
Atividade do bucket do S3
Alterações na configuração do grupo de segurança
Alterações na rede virtual privada
Política interna de detecção de anomalias Atividade de endereços IP anônimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagem impossível
Atividade executada pelo usuário encerrado (requer Microsoft Entra ID como IdP)
Várias tentativas de logon com falha
Atividades administrativas incomuns
Várias atividades incomuns de exclusão de armazenamento (preview)
Várias atividades de exclusão de VM
Várias atividades incomuns de criação de VM (preview)
Região incomum para recurso de nuvem (preview)
Modelo de política de arquivos O bucket do S3 é acessível publicamente

Para obter mais informações sobre como criar políticas, confira Criar uma política.

Automatize os controles de governança

Além de monitorar possíveis ameaças, você pode aplicar e automatizar as seguintes ações de governança da AWS para corrigir as ameaças detectadas:

Tipo Ação
Governança de usuário - Notificar o usuário em alerta (via Microsoft Entra ID)
- Exigir que o usuário inicie a sessão novamente (via Microsoft Entra ID)
- Suspender usuário (via Microsoft Entra ID)
Governança de dados - Tornar um bucket do S3 privado
- Remover um colaborador de um bucket do S3

Para obter mais informações sobre como corrigir ameaças de aplicativos, confira Controlando aplicativos conectados.

Proteja a AWS em tempo real

Revise nossas melhores práticas para bloquear e proteger o download de dados confidenciais para dispositivos não gerenciados ou arriscados.

Conectar a Amazon Web Services ao Microsoft Defender para Aplicativos de Nuvem

Esta seção fornece instruções para conectar sua conta da AWS (Amazon Web Services) existente ao Microsoft Defender para Aplicativos de Nuvem usando as APIs do conector. Para obter informações sobre como o Defender para Aplicativos de Nuvem protege a AWS, confira Proteja a AWS.

Conecte a auditoria de segurança da AWS às conexões do Defender para Aplicativos de Nuvem para obter visibilidade e controle sobre o uso do aplicativo da AWS.

Etapa 1: configurar a auditoria da Amazon Web Services

  1. No console do Amazon Web Services, em Segurança, Identidade & Conformidade, selecione IAM.

    Identidade e acesso da AWS.

  2. Selecione Usuários e, em seguida, selecione Adicionar usuários.

    Usuários da AWS.

  3. Na etapa Detalhes, forneça um novo nome de usuário para o Defender para Aplicativos de Nuvem. Em Tipo de acesso, certifique-se de selecionar Acesso programático e selecione Próximas Permissões.

    Criar usuário na AWS.

  4. Selecione Anexar as políticas existentes diretamente e clique em Criar política.

    Anexar políticas existentes.

  5. Escolha a guia JSON:

    Guia AWS JSON.

  6. Cole o seguinte script na área fornecida:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  7. Selecione Avançar: Marcas

    Código da AWS.

  8. Selecione Avançar: Análise.

    Adicionar marcas (opcional).

  9. Forneça um Nome e clique em Criar política.

    Forneça o nome da política da AWS.

  10. De volta à tela Adicionar usuário, atualize a lista se necessário, selecione o usuário que você criou e clique em Próxima Revisão.

    Anexe a política existente na AWS.

  11. Selecione Avançar: Análise.

  12. Se todos os detalhes estiverem corretos, clique em Criar usuário.

    Permissões de usuário na AWS.

  13. Quando você receber a mensagem de êxito, clique em Baixar .csv para salvar uma cópia das credenciais do novo usuário, elas serão necessárias posteriormente. Você precisará deles mais tarde.

    Faça o download do csv na AWS.

    Observação

    Depois de conectar o AWS, você receberá eventos por sete dias antes da conexão. Se você acabou de habilitar o CloudTrail, nesse caso, você receberá eventos a partir do momento em que habilitou o CloudTrail.

Etapa 2: conectar a auditoria da Amazon Web Services ao Defender para Aplicativos de Nuvem

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos.

  2. Na página Conectores de aplicativos, para fornecer as credenciais do conector da AWS, siga um dos procedimentos a seguir.

    Para criar um conector

    1. Selecione +Conectar um aplicativo e Amazon Web Services.

      conectar a auditoria da AWS.

    2. Na próxima janela, forneça um nome para o conector e selecione Avançar.

      Nome do conector de auditoria da AWS.

    3. Na página Conectar Amazon Web Services, selecione Auditoria de segurança e clique em Avançar.

    4. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do arquivo .csv nos campos relevantes e selecione Avançar.

      Conecte a auditoria de segurança de aplicativos da AWS para um novo conector.

    Para usar um conector existente

    1. Na lista de conectores, na linha em que o conector da AWS aparece, selecione Editar configurações.

      Captura de tela da página Aplicativos Conectados, mostrando o link Editar Auditoria de Segurança.

    2. Nas páginas Nome da instância e Conectar Amazon Web Services, selecione Avançar. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do arquivo .csv nos campos relevantes e selecione Avançar.

      Conecte a auditoria de segurança de aplicativos da AWS para um conector existente.

  3. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Aplicativos conectados, selecione Conectores de aplicativos. Verifique se o status do Conector de Aplicativos conectado está como Conectado.

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.