Habilitar o Defender para bancos de dados relacionais de código aberto na AWS (Visualização)
O Microsoft Defender for Cloud deteta atividades anômalas em seu ambiente da AWS, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados para os seguintes tipos de instância do RDS:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Para receber alertas do plano Microsoft Defender, você precisa seguir as instruções nesta página para habilitar o Defender para bancos de dados relacionais de código aberto na AWS.
O plano Defender para bancos de dados relacionais de código aberto na AWS também inclui a capacidade de descobrir dados confidenciais em sua conta e enriquecer a experiência do Defender for Cloud com as descobertas. Este recurso também está incluído no Defender CSPM.
Saiba mais sobre este plano do Microsoft Defender em Visão geral do Microsoft Defender para bancos de dados relacionais de código aberto.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Pelo menos uma conta da AWS conectada com o acesso e as permissões necessárias.
Disponibilidade da região: todas as regiões públicas da AWS (exceto Tel Aviv, Milão, Jacarta, Espanha e Bahrein).
Habilitar o Defender para bancos de dados relacionais de código aberto
Inicie sessão no portal do Azure
Procure e selecione Microsoft Defender para a Cloud.
Selecione Configurações do ambiente.
Selecione a conta da AWS relevante.
Localize o plano Bancos de dados e selecione Configurações.
Alterne bancos de dados de relacionamento de código aberto para Ativado.
Nota
Alternar os bancos de dados relacionais de código aberto para ativado também permitirá a descoberta de dados confidenciais ativada, que é um recurso compartilhado com a descoberta de dados confidenciais do Defender CSPM para o serviço de banco de dados de relação (RDS).
Saiba mais sobre a descoberta de dados confidenciais em instâncias do AWS RDS.
Selecione Configurar acesso.
Na seção método de implantação, selecione Download.
Siga a pilha de atualizações nas instruções da AWS. Esse processo criará ou atualizará o modelo do CloudFormation com as permissões necessárias.
Marque a caixa confirmando que o modelo do CloudFormation foi atualizado no ambiente da AWS (Stack).
Selecione Rever e gerar.
Revise as informações apresentadas e selecione Atualizar.
O Defender for Cloud fará alterações automáticas nas configurações do seu parameter e grupo de opções.
Permissões necessárias para a função DefenderForCloud-DataThreatProtectionDB
A tabela a seguir mostra uma lista das permissões necessárias que foram dadas à função que foi criada ou atualizada quando você baixou o modelo do CloudFormation e atualizou o AWS Stack.
| Permissão adicionada | Description |
|---|---|
| rds:AddTagsToResource | Para adicionar tag no grupo de opções e no parameter group criados |
| rds:DescribeDBClusterParameters | descrever os parâmetros dentro do grupo de clusters |
| rds:CreateDBParameterGroup | Criar parameter group de banco de dados |
| rds:ModifyOptionGroup | modificar opção dentro do grupo de opções |
| rds:DescribeDBLogFiles | descrever o arquivo de log |
| rds:DescribeDBParameterGroups | descrever o parameter group do banco de dados |
| rds:CreateOptionGroup | Criar grupo de opções |
| rds:ModifyDBParameterGroup | modificar parâmetro dentro do parameter group de bancos de dados |
| rds:DownloadDBLogFilePortion | baixar arquivo de log |
| rds:DescribeDBInstances | descrever a base de dados |
| rds:ModifyDBClusterParameterGroup | Modificar parâmetro de cluster dentro do parameter group de cluster |
| rds:ModifyDBInstance | Modificar bancos de dados para atribuir parameter group ou option group, se necessário |
| rds:ModifyDBCluster | Modificar o cluster para atribuir o parameter group do cluster, se necessário |
| rds:DescribeDBParameters | descrever os parâmetros dentro do grupo de banco de dados |
| rds:CreateDBClusterParameterGroup | Criar grupo de parâmetros de cluster |
| rds:DescribeDBClusters | descrever o cluster |
| rds:DescribeDBClusterParameterGroups | descrever o parameter group do cluster |
| rds:DescribeOptionGroups | descrever o grupo de opções |
Configurações de parâmetros e grupos de opções afetados
Quando você habilita o Defender para bancos de dados relacionais de código aberto em suas instâncias RDS, o Defender for Cloud habilita automaticamente a auditoria usando logs de auditoria para poder consumir e analisar padrões de acesso ao seu banco de dados.
Cada sistema de gerenciamento de banco de dados relacional ou tipo de serviço tem suas próprias configurações. A tabela a seguir descreve as configurações afetadas pelo Defender for Cloud (não é necessário definir manualmente essas configurações, isso é fornecido como referência).
| Type | Parâmetro | Value |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL e Aurora PostgreSQL | log_disconnections | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_logging | 1 |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_events | - Se existir, expanda o valor para incluir CONNECT, QUERY, - Se não existir, adicione-o com o valor CONNECT, QUERY. |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_excl_users | Se existir, expanda-o para incluir rdsadmin. |
| Grupo de parâmetros de cluster do Aurora MySQL | server_audit_incl_users | - Se ele existir com um valor e rdsadmin como parte do include, então ele não estará presente em SERVER_AUDIT_EXCL_USER, e o valor de include está vazio. |
Um grupo de opções é necessário para MySQL e MariaDB com as seguintes opções para o MARIADB_AUDIT_PLUGIN (Se a opção não existir, adicione a opção. Se a opção existir, expanda os valores na opção):
| Nome da opção | Value |
|---|---|
| SERVER_AUDIT_EVENTS | Se existir, expanda o valor para incluir CONNECT Se não existir, adicione-o com o valor CONNECT. |
| SERVER_AUDIT_EXCL_USER | Se existir, expanda-o para incluir rdsadmin. |
| SERVER_AUDIT_INCL_USERS | Se ele existir com um valor e rdsadmin fizer parte do include, ele não estará presente no SERVER_AUDIT_EXCL_USER e o valor de include estará vazio. |
Importante
Talvez seja necessário reinicializar as instâncias para aplicar as alterações.
Se você estiver usando o parameter group padrão, será criado um novo parameter group que inclui as alterações de parâmetros necessárias com o prefixo defenderfordatabases*.
Se um novo parameter group foi criado ou se os parâmetros estáticos foram atualizados, eles não terão efeito até que a instância seja reinicializada.
Nota
Se já existir um parameter group, este será atualizado em conformidade.
MARIADB_AUDIT_PLUGIN é suportado nas versões MariaDB 10.2 e superior, MySQL 8.0.25 e superior 8.0 e todas as versões do MySQL 5.7.
As alterações no MARIADB_AUDIT_PLUGIN para instâncias do MySQL são adicionadas à próxima janela de manutenção.
Conteúdos relacionados
- O que é suportado na Descoberta de Dados Confidenciais.
- Descoberta de dados confidenciais em instâncias do AWS RDS.