Partilhar via

Conectar contas da AWS ao Microsoft Defender for Cloud

O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho a correr na Amazon Web Services (AWS). Para avaliar os seus recursos AWS e trazer à tona recomendações de segurança, deve ligar a sua conta AWS ao Defender for Cloud. O conector recolhe sinais de configuração e segurança dos serviços AWS, permitindo ao Defender for Cloud analisar posturas, gerar recomendações e divulgar alertas.

Você pode saber mais assistindo ao vídeo Novo conector da AWS no Defender for Cloud da série de vídeos Defender for Cloud in the Field .

Captura de ecrã que mostra contas AWS listadas no painel de visão geral do Defender for Cloud.

Importante

Se a sua conta AWS já estiver ligada ao Microsoft Sentinel, ligá-la ao Defender for Cloud pode exigir uma configuração adicional para evitar problemas de implementação ou ingestão. Siga as orientações em Ligue uma conta AWS ligada ao Sentinel ao Defender for Cloud.

Pré-requisitos

Antes de ligar a sua conta AWS, certifique-se de que tem:

Requisitos adicionais aplicam-se ao ativar planos Defender específicos. Revê os requisitos do plano nativo de conectores.

Nota

O conector da AWS não está disponível nas nuvens governamentais nacionais (Azure Government, Microsoft Azure operado pela 21Vianet).

Requisitos do plano de conector nativo

Cada plano Defender tem requisitos específicos de configuração.

  • Pelo menos um cluster Amazon EKS com acesso ao servidor API Kubernetes. Se não tiveres um, cria um novo cluster EKS.
  • Capacidade para criar uma fila da Amazon SQS, um fluxo de entrega do Kinesis Data Firehose e um bucket da Amazon S3 na mesma região do cluster.

Ligar a conta AWS

  1. Entre no portal do Azure.

  2. Vá para Defender for Cloud>Configurações do Ambiente.

  3. Selecione Adicionar ambiente>Amazon Web Services.

    Captura de tela que mostra a conexão de uma conta da AWS a uma assinatura do Azure.

  4. Introduza os detalhes da conta AWS, incluindo a região Azure onde o recurso conector será criado.

    Captura de tela que mostra a guia para inserir detalhes da conta de uma conta da AWS.

    Utilize o menu dropdown das regiões AWS para selecionar as regiões que o Defender para Nuvem monitoriza. As regiões que desmarcar não receberão chamadas API do Defender for Cloud.

  5. Selecione um intervalo de varrimento (4, 6, 12 ou 24 horas).

    Esta seleção define o intervalo padrão para a maioria das verificações de postura. Alguns coletores de dados com intervalos fixos executam com mais frequência, independentemente desta definição:

    Intervalo de varredura Recolhedores de dados
    Uma hora EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
    12 horas EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

  6. Selecione Próximo: Selecione planos e escolha os planos Defender que pretende ativar.

    Revise as escolhas de planos padrão, pois alguns planos podem ser ativados automaticamente dependendo da sua configuração. Por exemplo, o plano de Bases de Dados estende a cobertura do Defender para SQL ao AWS EC2, RDS Custom for SQL Server e bases de dados relacionais open-source em RDS.

    Captura de ecrã que mostra o passo de seleção de planos para uma conta AWS.

    Cada plano pode acarretar encargos. Saiba mais sobre a fixação de preços do Defender for Cloud.

    Importante

    Para apresentar recomendações atualizadas, o Defender CSPM consulta as APIs dos recursos AWS várias vezes por dia. Estas chamadas de API apenas de leitura não acarretam custos na AWS. No entanto, o CloudTrail pode gravá-los se ativar o registo de eventos de leitura. Exportar estes dados para sistemas SIEM externos pode aumentar os custos de ingestão. Se necessário, filtre chamadas apenas de leitura de:

    arn:aws:iam::<accountId>:role/CspmMonitorAws

  7. Selecione Configurar acesso e escolha:

    • Acesso padrão: Concede permissões necessárias para capacidades atuais e futuras.
    • Acesso com privilégio mínimo: Concede apenas as permissões necessárias hoje. Pode receber notificações caso seja necessário acesso adicional mais tarde.

  8. Selecione um método de implementação:

    • AWS CloudFormation
    • Terraforme.

    Captura de ecrã a mostrar a configuração do método de implementação.

    Nota

    Ao integrar uma conta de gestão, o Defender for Cloud utiliza AWS StackSets e cria automaticamente conectores para contas filhas. O autoprovisionamento está ativado para contas recém-descobertas.

    Nota

    Se selecionar Conta de Gestão para criar um conector para uma conta de gestão, o separador para integração com o Terraform não ficará visível na interface. A integração do Terraform ainda é suportada. Para orientação, consulte Integração do seu ambiente AWS/GCP com o Microsoft Defender para Cloud usando Terraform.

  9. Siga as instruções no ecrã para implementar o modelo CloudFormation. Se selecionar Terraform, siga as instruções equivalentes de implementação fornecidas no portal.

  10. Selecione Avançar: Revisar e gerar.

  11. Selecione Criar.

O Defender for Cloud começa a analisar os seus recursos AWS. As recomendações de segurança aparecem dentro de algumas horas. Pode monitorizar a postura da AWS, os alertas e o inventário de recursos no Defender for Cloud após a integração. Saiba mais sobre a monitorização de recursos AWS conectados.

Implante um modelo do CloudFormation em sua conta da AWS

Como parte da integração, implemente o modelo gerado do CloudFormation:

  • Como um Stack (conta única)
  • Como StackSet (conta de gestão)

Captura de ecrã a mostrar o assistente de implementação do modelo CloudFormation.

Opções de implementação de modelos

  • URL do Amazon S3: faça upload do modelo do CloudFormation baixado para seu próprio bucket do S3 com suas próprias configurações de segurança. Fornece a URL do S3 no assistente de implementação da AWS.

  • Carregar um ficheiro template: A AWS cria automaticamente um bucket S3 para armazenar o template. Esta configuração pode desencadear a S3 buckets should require requests to use Secure Socket Layer recomendação. Pode remediá-lo aplicando a seguinte política de bucket:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Nota

Ao executar o CloudFormation StackSets ao integrar uma conta de gerenciamento da AWS, você pode encontrar a seguinte mensagem de erro: You must enable organizations access to operate a service managed stack set

Esse erro indica que você não habilitou o acesso confiável para o AWS Organizations.

Para corrigir essa mensagem de erro, sua página CloudFormation StackSets tem um prompt com um botão que você pode selecionar para habilitar o acesso confiável. Depois que o acesso confiável estiver habilitado, o CloudFormation Stack deve ser executado novamente.

Ativar a ingestão de registos AWS CloudTrail (Pré-visualização)

A ingestão de eventos de gestão do AWS CloudTrail pode melhorar insights de identidade e configuração ao adicionar contexto para avaliações CIEM, indicadores de risco baseados em atividade e deteção de alterações de configuração.

Saiba mais sobre a integração dos registos AWS CloudTrail com o Microsoft Defender for Cloud (Pré-visualização).

Mais informações

Confira os seguintes blogs:

Próximos passos

  • Last updated on