Editar

Partilhar via

Soluções de segurança do Azure para AWS

Azure
Microsoft Sentinel
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Este guia mostra como o Microsoft Defender for Cloud Apps e o Microsoft Sentinel podem ajudar a proteger e proteger o acesso e os ambientes da conta da Amazon Web Services (AWS).

As organizações da AWS que usam o Microsoft Entra ID para Microsoft 365 ou a proteção de identidade e acesso da nuvem híbrida podem implantar rápida e facilmente o Microsoft Entra ID para contas da AWS, muitas vezes sem custo adicional.

Arquitetura

Este diagrama resume como as instalações da AWS podem se beneficiar dos principais componentes de segurança da Microsoft:

Architecture diagram that shows the benefits of implementing Azure security for AWS.

Transfira um ficheiro PowerPoint desta arquitetura.

Fluxo de trabalho

  • O Microsoft Entra ID fornece logon único centralizado (SSO) e autenticação forte por meio da autenticação multifator e do recurso de acesso condicional. O Microsoft Entra ID oferece suporte a identidades baseadas em funções da AWS e autorização para acesso a recursos da AWS. Para obter mais informações e instruções detalhadas, consulte Gerenciamento de identidade e acesso do Microsoft Entra para AWS. O Microsoft Entra Permissions Management é um produto de gerenciamento de direitos de infraestrutura em nuvem (CIEM) que oferece visibilidade e controle abrangentes sobre permissões para qualquer identidade ou recurso da AWS. Você pode usar o Gerenciamento de Permissões do Microsoft Entra para:

    • Obtenha uma visão multidimensional do seu risco avaliando identidades, permissões e recursos.
    • Automatize a aplicação da política de privilégios mínimos em toda a sua infraestrutura multicloud.
    • Use a deteção de anomalias e discrepâncias para evitar violações de dados causadas por uso indevido e exploração maliciosa de permissões.

    Para obter mais informações e instruções detalhadas de integração, consulte Integrar uma conta da Amazon Web Services (AWS).

  • Defender para aplicativos na nuvem:

    • Integra-se com o recurso de Acesso Condicional do Microsoft Entra para impor restrições adicionais.
    • Ajuda a monitorizar e proteger as sessões após o início de sessão.
    • Usa a análise de comportamento do usuário (UBA) e outras APIs da AWS para monitorar sessões e usuários e oferecer suporte à proteção de informações.

  • O Microsoft Defender for Cloud exibe recomendações de segurança da AWS no portal do Defender for Cloud junto com as recomendações do Azure. O Defender for Cloud oferece mais de 160 recomendações prontas para uso para serviços de infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS). Ele também oferece suporte para padrões regulatórios, incluindo os padrões Center for Internet Security (CIS) e do setor de cartões de pagamento (PCI), e para o padrão AWS Foundational Security Best Practices. O Defender for Cloud também fornece proteção de carga de trabalho na nuvem (CWP) para clusters do Amazon EKS, instâncias do AWS EC2 e servidores SQL executados no AWS EC2.

  • O Microsoft Sentinel integra-se ao Defender for Cloud Apps e à AWS para detetar e responder automaticamente a ameaças. O Microsoft Sentinel monitora o ambiente da AWS em busca de configurações incorretas, malware em potencial e ameaças avançadas a identidades, dispositivos, aplicativos e dados da AWS.

Componentes

Defender for Cloud Apps para visibilidade e controlo

Quando vários usuários ou funções fazem alterações administrativas, uma consequência pode ser o desvio da configuração da arquitetura e dos padrões de segurança pretendidos. As normas de segurança também podem mudar ao longo do tempo. O pessoal de segurança deve detetar constantemente e consistentemente novos riscos, avaliar as opções de mitigação e atualizar a arquitetura de segurança para evitar possíveis violações. O gerenciamento de segurança em vários ambientes de nuvem pública e infraestrutura privada pode se tornar oneroso.

O Defender for Cloud Apps é uma plataforma de agente de segurança de acesso à nuvem (CASB) com recursos de gerenciamento de postura de segurança na nuvem (CSPM). O Defender for Cloud Apps pode se conectar a vários serviços e aplicativos de nuvem para coletar logs de segurança, monitorar o comportamento do usuário e impor restrições que as próprias plataformas podem não oferecer.

O Defender for Cloud Apps oferece vários recursos que podem ser integrados à AWS para obter benefícios imediatos:

  • O conector do aplicativo Defender for Cloud Apps usa várias APIs da AWS, incluindo UBA, para pesquisar problemas de configuração e ameaças na plataforma da AWS.
  • O AWS Access Controls pode impor restrições de login baseadas em aplicativos, dispositivos, endereços IP, locais, ISPs registrados e atributos de usuário específicos.
  • Os controles de sessão para AWS bloqueiam possíveis uploads ou downloads de malware com base no Microsoft Defender Threat Intelligence ou na inspeção de conteúdo em tempo real.
  • Os controles de sessão também podem usar inspeção de conteúdo em tempo real e deteção de dados confidenciais para impor regras de prevenção de perda de dados (DLP) que impedem operações de corte, cópia, colagem ou impressão.

O Defender for Cloud Apps está disponível de forma autónoma ou como parte do Microsoft Enterprise Mobility + Security E5, que inclui o Microsoft Entra ID P2. Para obter informações sobre preços e licenciamento, consulte Opções de preços do Enterprise Mobility + Security.

Defender for Cloud para plataformas CSPM e CWP (CWPP)

Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo. O Defender for Cloud ajuda a proteger cargas de trabalho no Azure, AWS e Google Cloud Platform (GCP).

O Defender for Cloud fornece uma conexão sem agente à sua conta da AWS. O Defender for Cloud também oferece planos para proteger seus recursos da AWS:

Microsoft Sentinel para deteção avançada de ameaças

As ameaças podem vir de uma ampla gama de dispositivos, aplicativos, locais e tipos de usuários. A DLP requer a inspeção do conteúdo durante o upload ou download, porque a revisão post-mortem pode ser tarde demais. A AWS não tem recursos nativos para gerenciamento de dispositivos e aplicativos, acesso condicional baseado em risco, controles baseados em sessão ou UBA em linha.

É fundamental que as soluções de segurança reduzam a complexidade e ofereçam proteção abrangente, independentemente de os recursos estarem em ambientes multicloud, locais ou híbridos. O Defender for Cloud fornece CSPM e CWP. O Defender for Cloud identifica pontos fracos de configuração na AWS para ajudar a fortalecer sua postura geral de segurança. Ele também ajuda a fornecer proteção contra ameaças para clusters Linux do Amazon EKS, instâncias do AWS EC2 e servidores SQL no AWS EC2.

O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR) que centraliza e coordena a automação de deteção e resposta a ameaças para operações de segurança modernas. O Microsoft Sentinel pode monitorar contas da AWS para comparar eventos em vários firewalls, dispositivos de rede e servidores. O Microsoft Sentinel combina dados de monitoramento com inteligência de ameaças, regras de análise e aprendizado de máquina para descobrir e responder a técnicas avançadas de ataque.

Você pode conectar a AWS e o Defender for Cloud Apps ao Microsoft Sentinel. Em seguida, você pode ver alertas do Defender for Cloud Apps e executar verificações adicionais de ameaças que usam vários feeds do Defender Threat Intelligence. O Microsoft Sentinel pode iniciar uma resposta coordenada fora do Defender for Cloud Apps. O Microsoft Sentinel também pode se integrar a soluções de gerenciamento de serviços de TI (ITSM) e reter dados a longo prazo para fins de conformidade.

Detalhes do cenário

A Microsoft oferece várias soluções de segurança que podem ajudar a proteger contas e ambientes da AWS.

Outros componentes de segurança da Microsoft podem ser integrados ao Microsoft Entra ID para fornecer segurança adicional para contas da AWS:

  • O Defender for Cloud Apps faz backup do Microsoft Entra ID com proteção de sessão e monitoramento do comportamento do usuário.
  • O Defender for Cloud oferece proteção contra ameaças para cargas de trabalho da AWS. Ele também ajuda a fortalecer proativamente a segurança para ambientes da AWS e usa uma abordagem sem agente para se conectar a esses ambientes.
  • O Microsoft Sentinel integra-se ao Microsoft Entra ID e ao Defender for Cloud Apps para detetar e responder automaticamente a ameaças contra ambientes AWS.

Essas soluções de segurança da Microsoft são extensíveis e oferecem vários níveis de proteção. Você pode implementar uma ou mais dessas soluções junto com outros tipos de proteção para uma arquitetura de segurança total que ajuda a proteger implantações atuais e futuras da AWS.

Potenciais casos de utilização

Este artigo fornece aos arquitetos de identidade, administradores e analistas de segurança da AWS informações imediatas e orientações detalhadas para a implantação de várias soluções de segurança da Microsoft.

Recomendações

Tenha em mente os seguintes pontos ao desenvolver uma solução de segurança.

Recomendações de segurança

Os seguintes princípios e diretrizes são importantes para qualquer solução de segurança na nuvem:

  • Certifique-se de que a organização possa monitorar, detetar e proteger automaticamente o acesso programático e do usuário em ambientes de nuvem.
  • Analise continuamente as contas correntes para garantir a governança e o controle de identidade e permissão.
  • Siga os princípios de privilégios mínimos e confiança zero. Certifique-se de que os utilizadores podem aceder apenas aos recursos específicos de que necessitam, a partir de dispositivos fidedignos e localizações conhecidas. Reduza as permissões de cada administrador e desenvolvedor para fornecer apenas os direitos necessários para a função que desempenham. Reveja regularmente.
  • Monitore continuamente as alterações na configuração da plataforma, especialmente se elas oferecerem oportunidades de escalonamento de privilégios ou persistência de ataques.
  • Impeça a exfiltração não autorizada de dados inspecionando e controlando ativamente o conteúdo.
  • Aproveite as soluções que você já pode possuir, como o Microsoft Entra ID P2, que podem aumentar a segurança sem custos adicionais.

Segurança básica da conta da AWS

Para garantir a higiene básica de segurança para contas e recursos da AWS:

  • Analise as orientações de segurança da AWS em Melhores práticas para proteger contas e recursos da AWS.
  • Reduza o risco de upload e download de malware e outros conteúdos mal-intencionados inspecionando ativamente todas as transferências de dados por meio do Console de Gerenciamento da AWS. O conteúdo que você carrega ou baixa diretamente para recursos dentro da plataforma da AWS, como servidores web ou bancos de dados, pode precisar de proteção adicional.
  • Considere proteger o acesso a outros recursos, incluindo:
    • Recursos criados na conta da AWS.
    • Plataformas de carga de trabalho específicas, como Windows Server, Linux Server ou contêineres.
    • Dispositivos que administradores e desenvolvedores usam para acessar o Console de Gerenciamento da AWS.

Implementar este cenário

Siga as etapas nas seções a seguir para implementar uma solução de segurança.

Planear e preparar

Para se preparar para a implantação de soluções de segurança do Azure, revise e registre as informações atuais da conta AWS e Microsoft Entra. Se você tiver implantado mais de uma conta da AWS, repita essas etapas para cada conta.

  1. No Console de gerenciamento de faturamento da AWS, registre as seguintes informações atuais da conta da AWS:

    • ID da conta da AWS, um identificador exclusivo
    • Nome da conta ou usuário root
    • Método de pagamento, atribuído a um cartão de crédito ou a um contrato de faturação da empresa
    • Contatos alternativos que têm acesso às informações da conta da AWS
    • Perguntas de segurança, atualizadas e gravadas com segurança para acesso de emergência
    • Regiões da AWS habilitadas ou desabilitadas para conformidade com a política de segurança de dados

  2. No portal do Azure, revise o locatário do Microsoft Entra:

    • Avalie as informações do locatário para ver se o locatário tem uma licença do Microsoft Entra ID P1 ou P2. Uma licença P2 fornece recursos avançados de gerenciamento de identidades do Microsoft Entra.
    • Avalie os aplicativos corporativos para ver se algum aplicativo existente usa o tipo de aplicativo da AWS, conforme mostrado na http://aws.amazon.com/ coluna URL da página inicial.

Implantar aplicativos do Defender for Cloud

Depois de implantar o gerenciamento central e a autenticação forte exigidos pelo gerenciamento moderno de identidade e acesso, você pode implementar o Defender for Cloud Apps para:

  • Colete dados de segurança e realize deteções de ameaças para contas da AWS.
  • Implemente controles avançados para reduzir riscos e evitar a perda de dados.

Para implantar o Defender for Cloud Apps:

  1. Adicione um conector de aplicativo do Defender for Cloud Apps para AWS.
  2. Configure as políticas de monitoramento do Defender for Cloud Apps para atividades da AWS.
  3. Crie um aplicativo corporativo para SSO para AWS.
  4. Crie um aplicativo de controle de aplicativo de acesso condicional no Defender for Cloud Apps.
  5. Configure políticas de sessão do Microsoft Entra para atividades da AWS.
  6. Teste as políticas do Defender for Cloud Apps para AWS.

Adicionar um conector de aplicativo da AWS

  1. No portal do Defender for Cloud Apps, expanda Investigar e selecione Aplicativos conectados.

  2. Na página Conectores de aplicativos, selecione o sinal de adição (+) e, em seguida, selecione Amazon Web Services na lista.

  3. Use um nome exclusivo para o conector. No nome, inclua um identificador para a empresa e uma conta específica da AWS, por exemplo , Contoso-AWS-Account1.

  4. Siga as instruções em Conectar a AWS ao Microsoft Defender for Cloud Apps para criar um usuário apropriado do AWS identity and access management (IAM).

    1. Defina uma política para permissões restritas.
    2. Crie uma conta de serviço para usar essas permissões em nome do serviço Defender for Cloud Apps.
    3. Forneça as credenciais para o conector do aplicativo.

O tempo necessário para estabelecer a conexão inicial depende dos tamanhos de log da conta da AWS. Quando a conexão estiver concluída, você verá uma confirmação de conexão:

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

Configurar políticas de monitoramento do Defender for Cloud Apps para atividades da AWS

Depois de ativar o conector do aplicativo, o Defender for Cloud Apps mostra novos modelos e opções no construtor de configurações de políticas. Você pode criar políticas diretamente dos modelos e modificá-las de acordo com suas necessidades. Você também pode desenvolver uma política sem usar os modelos.

Para implementar políticas usando os modelos:

  1. Na janela de navegação esquerda do Defender for Cloud Apps, expanda Controle e selecione Modelos.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. Pesquise aws e analise os modelos de políticas disponíveis para a AWS.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. Para usar um modelo, selecione o sinal de adição (+) à direita do item de modelo.

  4. Cada tipo de política tem opções diferentes. Revise as definições de configuração e salve a política. Repita esta etapa para cada modelo.

    Screenshot of the Create file policy page, with various options visible.

    Para usar políticas de arquivos, verifique se a configuração de monitoramento de arquivos está ativada nas configurações do Defender for Cloud Apps:

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

À medida que o Defender for Cloud Apps deteta alertas, apresenta-os na página Alertas no portal do Defender for Cloud Apps:

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

Criar um aplicativo corporativo para SSO para AWS

Siga as instruções em Tutorial: Integração do logon único (SSO) do Microsoft Entra com o logon único da AWS para criar um aplicativo corporativo para SSO na AWS. Aqui está um resumo do procedimento:

  1. Adicione o AWS SSO da galeria.
  2. Configure e teste o Microsoft Entra SSO para AWS SSO:
    1. Configure Microsoft Entra SSO.
    2. Configure AWS SSO.
    3. Crie um usuário de teste do AWS SSO.
    4. Teste SSO.

Criar um aplicativo de controle de aplicativo de acesso condicional no Defender for Cloud Apps

  1. Aceda ao portal do Defender for Cloud Apps, selecione Investigar e, em seguida, selecione Aplicações ligadas.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. Selecione Aplicações de Controlo de Aplicações de Acesso Condicional e, em seguida, selecione Adicionar.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. Na caixa Pesquisar um aplicativo, digite Amazon Web Services e selecione o aplicativo. Selecione Iniciar assistente.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. Selecione Preencher dados manualmente. Insira o valor de URL do serviço ao consumidor de asserção mostrado na captura de tela a seguir e selecione Avançar.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. Na página seguinte, ignore as etapas de configuração externa. Selecione Seguinte.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. Selecione Preencher dados manualmente e siga as seguintes etapas para inserir os dados:

    1. Em URL do serviço de logon único, insira o valor do URL de login para o aplicativo corporativo que você criou para a AWS.
    2. Em Carregar certificado SAML do provedor de identidade, selecione Procurar.
    3. Localize o certificado para o aplicativo empresarial que você criou.
    4. Transfira o certificado para o dispositivo local e, em seguida, carregue-o para o assistente.
    5. Selecione Seguinte.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. Na página seguinte, ignore as etapas de configuração externa. Selecione Seguinte.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. Na página seguinte, ignore as etapas de configuração externa. Selecione Concluir.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. Na página seguinte, ignore as etapas Verificar suas configurações . Selecione Fechar.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

Configurar políticas de sessão do Microsoft Entra para atividades da AWS

As políticas de sessão são uma combinação poderosa de políticas de Acesso Condicional do Microsoft Entra e o recurso de proxy reverso do Defender for Cloud Apps. Essas políticas fornecem monitoramento e controle de comportamento suspeito em tempo real.

  1. No Microsoft Entra ID, crie uma nova política de acesso condicional com as seguintes configurações:

    • Em Nome, insira Console da AWS – Controles de sessão.
    • Em Usuários e Grupos, selecione os dois grupos de funções criados anteriormente:
      • AWS-Account1-Administradores
      • AWS-Account1-Developers
    • Em Aplicativos ou ações na nuvem, selecione o aplicativo corporativo criado anteriormente, como Contoso-AWS-Account 1.
    • Em Sessão, selecione Usar Controle de Aplicativo de Acesso Condicional.

  2. Em Ativar política, selecione Ativado.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. Selecione Criar.

Depois de criar a política de acesso condicional do Microsoft Entra, configure uma política de sessão do Defender for Cloud Apps para controlar o comportamento do usuário durante as sessões da AWS.

  1. No portal do Defender for Cloud Apps, expanda Controle e selecione Políticas.

  2. Na página Políticas, selecione Criar política e, em seguida, selecione Política de sessão na lista.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. Na página Criar política de sessão, em Modelo de política, selecione Bloquear carregamento de malware potencial (com base no Microsoft Threat Intelligence).

  4. Em Atividades correspondentes a todos os itens a seguir, modifique o filtro de atividade para incluir App, equals e Amazon Web Services. Remova a seleção de dispositivo padrão.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. Reveja as outras definições e, em seguida, selecione Criar.

Políticas do Test Defender for Cloud Apps para AWS

Teste todas as políticas regularmente para garantir que elas ainda são eficazes e relevantes. Aqui estão alguns testes recomendados:

  • Alterações na política do IAM: essa política é acionada sempre que você tenta modificar as configurações no AWS IAM. Por exemplo, quando você segue o procedimento mais adiante nesta seção de implantação para criar uma nova política e conta do IAM, você vê um alerta.

  • Falhas de entrada no console: qualquer tentativa falhada de entrar em uma das contas de teste aciona essa política. Os detalhes do alerta mostram que a tentativa veio de um dos datacenters regionais do Azure.

  • Política de atividade do bucket do S3: ao tentar criar uma nova conta de armazenamento do AWS S3 e defini-la para estar disponível publicamente, você aciona essa política.

  • Política de deteção de malware: Se você configurar a deteção de malware como uma política de sessão, poderá testá-la seguindo estas etapas:

    1. Descarregue um ficheiro de teste seguro do Instituto Europeu de Investigação Antivírus Informática (EICAR).
    2. Tente fazer upload desse arquivo para uma conta de armazenamento do AWS S3.

    A política bloqueia imediatamente a tentativa de upload e um alerta aparece no portal do Defender for Cloud Apps.

Implantar o Defender for Cloud

Você pode usar um conector de nuvem nativo para conectar uma conta da AWS ao Defender for Cloud. O conector fornece uma conexão sem agente para sua conta da AWS. Você pode usar essa conexão para coletar recomendações do CSPM. Usando os planos do Defender for Cloud, você pode proteger seus recursos da AWS com CWP.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

Para proteger seus recursos baseados na AWS, siga estas etapas, que as seções a seguir descrevem em detalhes:

  1. Conecte uma conta da AWS.
  2. Monitore a AWS.

Ligar a conta AWS

Para conectar sua conta da AWS ao Defender for Cloud usando um conector nativo, siga estas etapas:

  1. Analise os pré-requisitos para conectar uma conta da AWS. Certifique-se de completá-los antes de prosseguir.

  2. Se você tiver conectores clássicos, remova-os seguindo as etapas em Remover conectores clássicos. O uso dos conectores clássicos e nativos pode produzir recomendações duplicadas.

  3. Inicie sessão no portal do Azure.

  4. Selecione Microsoft Defender for Cloud e, em seguida, selecione Configurações de ambiente.

  5. Selecione Adicionar ambiente>Amazon Web Services.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. Insira os detalhes da conta da AWS, incluindo o local de armazenamento do recurso do conector. Opcionalmente, selecione Conta de gerenciamento para criar um conector para uma conta de gerenciamento . Os conectores são criados para cada conta de membro descoberta na conta de gerenciamento fornecida. O provisionamento automático está ativado para todas as contas recém-integradas.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. Selecione Próximo: Selecione planos.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. Por padrão, o plano de servidores está ativado. Essa configuração é necessária para estender a cobertura do Defender for Servers ao seu AWS EC2. Certifique-se de que cumpriu os requisitos de rede para o Azure Arc. Opcionalmente, para editar a configuração, selecione Configurar.

  9. Por padrão, o plano de contêineres está ativado. Essa configuração é necessária para ter a proteção do Defender for Containers para seus clusters do AWS EKS. Certifique-se de que cumpriu os requisitos de rede para o plano Defender for Containers. Opcionalmente, para editar a configuração, selecione Configurar. Se você desabilitar essa configuração, o recurso de deteção de ameaças para o plano de controle será desativado. Para exibir uma lista de recursos, consulte Disponibilidade de recursos do Defender for Containers.

  10. Por padrão, o plano de bancos de dados está ativado. Essa configuração é necessária para estender a cobertura do Defender for SQL para o AWS EC2 e o RDS Custom for SQL Server. Opcionalmente, para editar a configuração, selecione Configurar. Recomendamos que você use a configuração padrão.

  11. Selecione Next: Configure access.

  12. Faça o download do modelo CloudFormation.

  13. Siga as instruções na tela para usar o modelo do CloudFormation baixado para criar a pilha na AWS. Se você integrar uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e como StackSet. Os conectores são criados para as contas de membros dentro de 24 horas após a integração.

  14. Selecione Seguinte: rever e gerar.

  15. Selecione Criar.

O Defender for Cloud começa imediatamente a verificar seus recursos da AWS. Dentro de algumas horas, você verá recomendações de segurança. Para obter uma lista de todas as recomendações que o Defender for Cloud pode fornecer para recursos da AWS, consulte Recomendações de segurança para recursos da AWS - um guia de referência.

Monitore seus recursos da AWS

A página de recomendações de segurança do Defender for Cloud exibe seus recursos da AWS. Você pode usar o filtro de ambientes para aproveitar os recursos de multicloud do Defender for Cloud, como exibir as recomendações para recursos do Azure, AWS e GCP juntos.

Para visualizar todas as recomendações ativas para seus recursos por tipo de recurso, use a página de inventário de ativos do Defender for Cloud. Defina o filtro para exibir o tipo de recurso da AWS em que você está interessado.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Implantar o Microsoft Sentinel

Se você conectar uma conta da AWS e o Defender for Cloud Apps ao Microsoft Sentinel, poderá usar recursos de monitoramento que comparam eventos em vários firewalls, dispositivos de rede e servidores.

Habilite o conector da AWS do Microsoft Sentinel

Depois de habilitar o conector Microsoft Sentinel para AWS, você pode monitorar incidentes e ingestão de dados da AWS.

Assim como na configuração do Defender for Cloud Apps, essa conexão requer a configuração do AWS IAM para fornecer credenciais e permissões.

  1. No AWS IAM, siga as etapas em Conectar o Microsoft Sentinel ao AWS CloudTrail.

  2. Para concluir a configuração no portal do Azure, em Conectores de dados do Microsoft Sentinel>, selecione o conector Amazon Web Services.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. Selecione Abrir página do conector.

  4. Em Configuração, insira o valor ARN da função da configuração do AWS IAM no campo Função a ser adicionada e selecione Adicionar.

  5. Selecione Próximas etapas e, em seguida, selecione Atividades de rede da AWS e Atividades do usuário da AWS para monitorar.

  6. Em Modelos analíticos relevantes, selecione Criar regra ao lado dos modelos analíticos da AWS que você deseja ativar.

  7. Configure cada regra e selecione Criar.

A tabela a seguir mostra os modelos de regras disponíveis para verificar comportamentos de entidades da AWS e indicadores de ameaça. Os nomes das regras descrevem sua finalidade e as fontes de dados potenciais listam as fontes de dados que cada regra pode usar.

Nome do modelo analítico Origens de dados
IP IRIDIUM conhecido DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
Política de administrador completa criada e, em seguida, anexada a funções, usuários ou grupos AWS
Inícios de sessão do AzureAD com falhas, mas início de sessão com êxito na Consola do AWS ID do Microsoft Entra, AWS
Falha nos logons do Console AWS, mas logon bem-sucedido no AzureAD ID do Microsoft Entra, AWS
Autenticação multifator desabilitada para um usuário ID do Microsoft Entra, AWS
Alterações nas configurações de entrada e saída do AWS Security Group AWS
Monitore o abuso ou sequestro de credenciais da AWS AWS
Alterações nos grupos de segurança do AWS Elastic Load Balancer AWS
Alterações nas configurações da Amazon VPC AWS
Novo UserAgent observado nas últimas 24 horas Microsoft 365, Azure Monitor, AWS
Faça login no Console de Gerenciamento da AWS sem autenticação multifator AWS
Alterações nas instâncias do AWS RDS Database voltadas para a Internet AWS
Alterações feitas nos logs do AWS CloudTrail AWS
O Defender Threat Intelligence mapeia a entidade IP para o AWS CloudTrail Plataformas de inteligência de ameaças do Defender, AWS

Os modelos ativados têm um indicador IN USE na página de detalhes do conector.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

Monitore incidentes da AWS

O Microsoft Sentinel cria incidentes com base nas análises e deteções que você ativa. Cada incidente pode incluir um ou mais eventos, o que reduz o número total de investigações necessárias para detetar e responder a ameaças potenciais.

O Microsoft Sentinel mostra incidentes que o Defender for Cloud Apps gera, se estiver conectado, e incidentes que o Microsoft Sentinel cria. A coluna Nomes de produtos mostra a origem do incidente.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

Verificar a ingestão de dados

Verifique se os dados são ingeridos continuamente no Microsoft Sentinel visualizando regularmente os detalhes do conector. O gráfico a seguir mostra uma nova conexão.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

Se o conector parar de ingerir dados e o valor do gráfico de linhas cair, verifique as credenciais que você usa para se conectar à conta da AWS. Verifique também se o AWS CloudTrail ainda pode coletar os eventos.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelo seguinte colaborador.

Autor principal:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos