Conectar ambientes de nuvem híbrida e de multinuvem ao Microsoft Defender para Nuvem

  • 7 minutos

Conectar ambientes de nuvem híbrida e multinuvem ao Microsoft Defender para Nuvem é crucial para manter uma postura de segurança unificada em diversos cenários de TI. Com os servidores habilitados para Azure Arc para computadores que não sejam do Azure, o Naive Cloud Connector e o Classic Connector, você pode estender os recursos do Microsoft Defender para Nuvem para recursos que não sejam do Azure. Essa integração permite que você monitore, detecte e responda a ameaças à segurança de forma abrangente. Aqui, fornecemos uma visão geral informativa do processo, juntamente com requisitos detalhados para uma conexão bem-sucedida.

Conectar seus computadores não Azure ao Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem pode monitorar a postura de segurança de computadores não Azure, mas antes é necessário conectá-los ao Azure.

Você pode conectar seus computadores não Azure de qualquer uma das seguintes maneiras:

  • Integrar com o Azure Arc:
    • Usando servidores habilitados para o Azure Arc (recomendado)
    • Usando o Portal do Azure
  • Integração direta com o Microsoft Defender para Ponto de Extremidade

Conectar computadores locais usando o Azure Arc

Um computador que tenha servidores habilitados para o Azure Arc torna-se um recurso do Azure. Ao instalar o agente do Log Analytics nele, ele aparece no Defender para Nuvem com recomendações semelhantes às de seus outros recursos do Azure.

Os servidores habilitados para o Azure Arc fornecem recursos aprimorados, como a habilitação de políticas de configuração de convidados no computador e a simplificação da implantação com outros serviços do Azure. Para obter uma visão geral dos benefícios dos servidores habilitados para o Azure Arc, consulte as Operações de nuvem com suporte.

Para implantar o Azure Arc em um computador, siga as instruções em Início Rápido: Conectar computadores híbridos com servidores habilitados para o Azure Arc.

Para implantar o Azure Arc em vários computadores em escala, siga as instruções em Conectar computadores híbridos ao Azure em escala.

As ferramentas do Defender para Nuvem para implantar automaticamente o agente do Log Analytics funcionam com computadores que executam o Azure Arc. No entanto, esse recurso está atualmente em versão prévia. Ao conectar computadores usando o Azure Arc, use a recomendação relevante do Defender para Nuvem para implantar o agente e se beneficiar de toda a gama de proteções que o Defender para Nuvem oferece:

  • O agente do Log Analytics deve ser instalado nos seus computadores do Azure Arc baseados em Linux
  • O agente do Log Analytics deve ser instalado nos seus computadores do Azure Arc baseados em Windows

Conectar sua conta da AWS ao Microsoft Defender para Nuvem

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança da nuvem devem fazer o mesmo. O Microsoft Defender para Nuvem ajuda a proteger cargas de trabalho no Amazon Web Services (AWS), mas você precisa configurar a conexão entre eles e o Defender para Nuvem.

Se você estiver conectando uma conta do AWS à qual se conectou anteriormente usando o conector clássico, remova-a primeiro. Usar uma conta do AWS conectada pelos conectores clássico e nativo pode produzir recomendações duplicadas.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa:

  • Uma assinatura do Microsoft Azure. Se não tiver uma assinatura do Azure, você poderá inscrever-se gratuitamente.
  • Configuração do Microsoft Defender para Nuvem na sua assinatura do Azure.
  • Acesso a uma conta AWS.
  • Permissão Colaborador para a assinatura relevante do Azure e permissão Administrator na conta do AWS.

Defender para Contêineres

Se você escolher o plano Microsoft Defender para Contêineres, precisará:

  • Pelo menos um cluster do Amazon EKS com permissão para acessar o servidor da API do Kubernetes do EKS.
  • A capacidade de recurso para criar uma nova fila do serviço de fila única (SQS) da Amazon, o fluxo de entrega do Kinesis Data Firehose e o bucket do Amazon S3 na região do cluster.

Defender para SQL

Se você escolher o plano Microsoft Defender para SQL, precisará:

  • O Microsoft Defender para SQL habilitado na sua assinatura. Saiba como proteger seus bancos de dados.
  • Uma conta ativa do AWS, com instâncias EC2 executando o SQL Server ou o Serviço de Banco de Dados Relacional (RDS) Personalizado para SQL Server.
  • O Azure Arc para servidores instalados em suas instâncias do EC2 ou o RDS Custom para SQL Server.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias de EC2 existentes e futuras. Para ativar o provisionamento automático do Azure Arc, você precisa da permissão de Proprietário na assinatura relevante do Azure.

O Gerenciador de Sistema AWS (SSM) gerencia o provisionamento automático usando o Agente SSM. Algumas imagens de Computadores da Amazon já têm o agente SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente SSM, instale-o usando estas instruções da Amazon: Instalar o SSM Agent em um ambiente híbrido e multinuvem (Windows).

Certifique-se de que seu Agente SSM tenha a política gerenciada AmazonSSMManagedInstanceCore. Ele habilita a funcionalidade principal para o serviço AWS Systems Manager.

Habilite essas outras extensões nos computadores conectados ao Azure Arc:

  • Microsoft Defender para ponto de extremidade
  • Uma solução de avaliação de vulnerabilidade (Gerenciamento de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em computadores conectados ao Azure Arc ou no agente do Azure Monitor

Verifique se o workspace do Log Analytics selecionado tem a solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas do AWS e os projetos do Google Cloud Platform (GCP) na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

Defender para Servidores

Se você escolher o plano Microsoft Defender para Servidores, precisará:

  • O Microsoft Defender para Servidores foi habilitado na sua assinatura. Saiba como habilitar planos em Habilitar recursos de segurança aprimorados.
  • Uma conta AWS ativa, com instâncias do EC2.
  • Azure Arc para servidores instalado em suas instâncias do EC2.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias de EC2 existentes e futuras. Para ativar o provisionamento automático do Azure Arc, você precisa da permissão de Proprietário na assinatura relevante do Azure.

O Gerenciador de Sistemas AWS gerencia o provisionamento automático usando o Agente SSM. Algumas imagens de Computadores da Amazon já têm o agente SSM pré-instalado. Se suas instâncias do EC2 não tiverem o SSM Agent, instale-o usando uma das seguintes instruções da Amazon:

  • Instale o Agente SSM em um ambiente híbrido e multinuvem (Windows)
  • Instalar o Agente SSM em um ambiente híbrido e multinuvem (Linux)

Certifique-se de que o Agente SSM tenha a política gerenciada AmazonSSMManagedInstanceCore, que habilita a funcionalidade principal do serviço AWS Systems Manager.

Se você quiser instalar manualmente o Azure Arc em suas instâncias EC2 existentes e futuras, use a recomendação As instâncias do EC2 devem estar conectadas ao Azure Arc para identificar instâncias que não têm o Azure Arc instalado.

Habilite essas outras extensões nos computadores conectados ao Azure Arc:

  • Microsoft Defender para ponto de extremidade
  • Uma solução de avaliação de vulnerabilidade (Gerenciamento de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em computadores conectados ao Azure Arc ou no agente do Azure Monitor

Verifique se o workspace do Log Analytics selecionado tem a solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas do AWS e projetos do GCP na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

O Defender para Servidores atribui tags aos recursos do AWS para gerenciar o processo de provisionamento automático. Essas marcas devem ser atribuídas corretamente aos seus recursos para que o Defender para Nuvem possa gerenciá-las: AccountId, Cloud, InstanceId e MDFCSecurityConnector.

GPSN do Defender

Se você escolher o plano de GPSN do Microsoft Defender, você precisará:

  • Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
  • Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
  • Conectar seus computadores não Azure, contas do AWS.
  • Para ter acesso a todos os recursos disponíveis no plano de CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.