Condividi tramite

Come Defender for Cloud Apps aiuta a proteggere l'ambiente Amazon Web Services (AWS)

  • Articolo

Amazon Web Services è un provider IaaS che consente all'organizzazione di ospitare e gestire l'intero carico di lavoro nel cloud. Oltre ai vantaggi offerti dall'uso dell'infrastruttura nel cloud, gli asset più critici dell'organizzazione possono essere esposti alle minacce. Gli asset esposti includono istanze di archiviazione con informazioni potenzialmente sensibili, risorse di calcolo che gestiscono alcune delle applicazioni, porte e reti private virtuali più critiche che consentono l'accesso all'organizzazione.

La connessione di AWS a Defender for Cloud Apps consente di proteggere gli asset e rilevare potenziali minacce monitorando le attività amministrative e di accesso, notificando possibili attacchi di forza bruta, uso dannoso di un account utente con privilegi, eliminazioni insolite di macchine virtuali e bucket di archiviazione esposti pubblicamente.

Minacce principali

  • Uso improprio delle risorse cloud
  • Account compromessi e minacce Insider
  • Perdita di dati
  • Configurazione errata delle risorse e controllo di accesso insufficiente

Come Defender for Cloud Apps aiuta a proteggere l'ambiente

Controllare AWS con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e inviare notifiche sulle potenziali minacce:

Tipo Nome
Modello di criteri attività Amministrazione errori di accesso alla console
Modifiche alla configurazione di CloudTrail
Modifiche alla configurazione dell'istanza EC2
Modifiche ai criteri IAM
Accesso da un indirizzo IP rischioso
Modifiche all'elenco di controllo di accesso di rete
Modifiche del gateway di rete
Attività bucket S3
Modifiche alla configurazione del gruppo di sicurezza
Modifiche alla rete privata virtuale
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da Paesi poco frequenti
Attività da indirizzi IP sospetti
Viaggio impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Molteplici tentativi di accesso non riusciti
Attività amministrative insolite
Attività insolite di eliminazione di più risorse di archiviazione (anteprima)
Molteplici attività di eliminazione di macchine virtuali
Attività insolite di creazione di più macchine virtuali (anteprima)
Area insolita per la risorsa cloud (anteprima)
Modello di criteri file Il bucket S3 è accessibile pubblicamente

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance AWS seguenti per correggere le minacce rilevate:

Tipo Azione
Governance degli utenti - Notifica all'utente in caso di avviso (tramite Microsoft Entra ID)
- Richiedere all'utente di eseguire di nuovo l'accesso (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)
Governance dei dati - Rendere privato un bucket S3
- Rimuovere un collaboratore per un bucket S3

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere AWS in tempo reale

Esaminare le procedure consigliate per bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connettere Amazon Web Services a Microsoft Defender for Cloud Apps

Questa sezione fornisce istruzioni per la connessione dell'account Amazon Web Services (AWS) esistente a Microsoft Defender for Cloud Apps usando le API del connettore. Per informazioni su come Defender for Cloud Apps protegge AWS, vedere Proteggere AWS.

È possibile connettere il controllo di AWS Security alle connessioni Defender for Cloud Apps per ottenere visibilità e controllare l'uso delle app AWS.

Passaggio 1: Configurare il controllo di Amazon Web Services

  1. Nella console di Amazon Web Services, in Sicurezza, Identità & Conformità selezionare IAM.

    Identità e accesso di AWS.

  2. Selezionare Utenti e quindi Aggiungi utente.

    Utenti AWS.

  3. Nel passaggio Dettagli specificare un nuovo nome utente per Defender for Cloud Apps. Assicurarsi che in Tipo di accesso selezionare Accesso a livello di codice e selezionare Autorizzazioni successive.

    Creare un utente in AWS.

  4. Selezionare Collega direttamente i criteri esistenti e quindi Crea criterio.

    Collegare i criteri esistenti.

  5. Selezionare la scheda JSON :

    Scheda AWS JSON.

  6. Incollare lo script seguente nell'area specificata:

    {
  "Version" : "2012-10-17",
  "Statement" : [{
      "Action" : [
        "cloudtrail:DescribeTrails",
        "cloudtrail:LookupEvents",
        "cloudtrail:GetTrailStatus",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "iam:List*",
        "iam:Get*",
        "s3:ListAllMyBuckets",
        "s3:PutBucketAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
 }

  7. Selezionare Avanti: Tag

    Codice AWS.

  8. Selezionare Avanti: Rivedi.

    Aggiungere tag (facoltativo).

  9. Specificare un nome e selezionare Crea criterio.

    Specificare il nome dei criteri AWS.

  10. Tornare alla schermata Aggiungi utente, aggiornare l'elenco , se necessario, selezionare l'utente creato e selezionare Avanti: Tag.

    Collegare i criteri esistenti in AWS.

  11. Selezionare Avanti: Rivedi.

  12. Se tutti i dettagli sono corretti, selezionare Crea utente.

    Autorizzazioni utente in AWS.

  13. Quando viene visualizzato il messaggio di esito positivo, selezionare Scarica .csv per salvare una copia delle credenziali del nuovo utente. Saranno necessari in un secondo momento.

    Scaricare csv in AWS.

    Nota

    Dopo aver connesso AWS, si riceveranno eventi per sette giorni prima della connessione. Se CloudTrail è stato appena abilitato, si riceveranno eventi dal momento in cui è stato abilitato CloudTrail.

Passaggio 2: Connettere il controllo di Amazon Web Services a Defender for Cloud Apps

  1. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app.

  2. Nella pagina Connettori di app , per fornire le credenziali del connettore AWS, eseguire una delle operazioni seguenti:

    Per un nuovo connettore

    1. Selezionare l'app +Connetti, seguita da Amazon Web Services.

      connettere il controllo AWS.

    2. Nella finestra successiva specificare un nome per il connettore e quindi selezionare Avanti.

      Nome del connettore di controllo AWS.

    3. Nella pagina Connetti Amazon Web Services selezionare Controllo di sicurezza e quindi selezionare Avanti.

    4. Nella pagina Controllo di sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connettere il controllo della sicurezza delle app AWS per il nuovo connettore.

    Per un connettore esistente

    1. Nell'elenco dei connettori selezionare Modifica impostazioni nella riga in cui viene visualizzato il connettore AWS.

      Screenshot della pagina App connesse che mostra il collegamento Modifica controllo sicurezza.

    2. Nelle pagine Nome istanza e Connetti Amazon Web Services selezionare Avanti. Nella pagina Controllo di sicurezza incollare la chiave di accesso e la chiave privata dal file .csv nei campi pertinenti e selezionare Avanti.

      Connettere il controllo della sicurezza delle app AWS per il connettore esistente.

  3. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Assicurarsi che lo stato del connettore app connesso sia Connesso.

Passaggi successivi

Controllare le app cloud con i criteri

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.