Defender for Cloud Apps如何帮助保护 Amazon Web Services (AWS) 环境

Amazon Web Services 是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负载。 除了在云中使用基础结构的好处外,组织最关键的资产还可能面临威胁。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序的计算资源、端口以及允许访问组织的虚拟专用网络。

通过监视管理和登录活动、对可能的暴力攻击发出通知、恶意使用特权用户帐户、异常删除虚拟机 (VM) 以及公开的存储桶,将 AWS 连接到 Defender for Cloud Apps 可帮助你保护资产并检测潜在威胁。

主要威胁

将 AWS 连接到Defender for Cloud Apps有助于检测和响应以下威胁:

  • 滥用云资源
  • 泄露的帐户和内部威胁
  • 数据泄漏
  • 资源配置错误和访问控制不足

Defender for Cloud Apps如何帮助保护环境

Defender for Cloud Apps通过以下方式帮助保护 AWS 环境:

使用内置策略和策略模板控制 AWS

可以使用以下内置策略模板来检测潜在威胁并通知你:

重要

文件策略将于 2027 年 1 月 6 日停用。 若要维护此应用的基于文件的数据保护,请迁移到 Microsoft Purview DLP 或自动标记策略

类型 名称
活动策略模板 管理员控制台登录失败
EC2 实例配置更改
IAM 策略更改
从有风险的 IP 地址登录
网络访问控制列表 (ACL) 更改
网络网关更改
S3 存储桶活动
安全组配置更改
虚拟专用网络更改
内置异常检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
已终止用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
多个失败登录尝试
异常管理活动
文件策略模板 S3 存储桶可公开访问

有关创建策略的详细信息,请参阅 创建策略

自动化治理控制

除了监视潜在威胁之外,还可以应用并自动执行以下 AWS 治理操作来修正检测到的威胁:

类型 操作
用户治理 - 在发出警报时通过 Microsoft Entra ID 通知用户
- 要求用户通过Microsoft Entra ID) 重新登录 (
- 暂停用户(通过 Microsoft Entra ID)
数据治理 - 将 S3 存储桶设为专用
- 删除 S3 存储桶的协作者

有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用

实时保护 AWS

查看有关阻止和保护将敏感数据下载到非托管或有风险设备的最佳做法。

将 Amazon Web Services 连接到Microsoft Defender for Cloud Apps

使用连接器 API 将现有的 Amazon Web Services (AWS) 帐户连接到Microsoft Defender for Cloud Apps。 有关 Defender for Cloud Apps 如何保护 AWS 的信息,请参阅保护 AWS

可以将 AWS 安全审核连接到Defender for Cloud Apps连接,以便了解和控制 AWS 应用的使用情况。

步骤 1:配置 AWS 审计

若要为Defender for Cloud Apps配置 AWS 审核,请执行以下步骤:

  1. 登录到 Amazon Web Services 控制台

  2. 为Defender for Cloud Apps添加新用户,并授予用户编程访问权限

  3. 选择“ 创建策略 ”,并输入新策略的名称。

  4. 选择“ JSON ”选项卡并粘贴以下脚本:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  5. 选择“ 下载 .csv ”以保存新用户凭据的副本。 稍后会用到它们。

    注意

    连接 AWS 后,你将接收连接前 7 天内的事件。 如果刚刚启用 CloudTrail,则会收到启用 CloudTrail 时的事件。

步骤 2:将 Amazon Web Services 审核连接到Defender for Cloud Apps

若要将 AWS 审核连接到Defender for Cloud Apps,请完成以下步骤:

  1. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。

  2. “应用连接器 ”页中,若要提供 AWS 连接器凭据,请执行以下操作之一:

对于新连接器

  1. 选择 “+连接应用”,然后选择 “Amazon Web Services”。

    屏幕截图显示了在Microsoft Defender门户中查找“+连接应用”按钮的位置。

  2. 在下一个窗口中,提供连接器的名称,然后选择“ 下一步”。

    显示如何为新的 AWS 连接器添加实例名称的屏幕截图。

  3. “连接 Amazon Web Services ”页上,选择“ 安全审核”,然后选择“ 下一步”。

  4. “安全审核”页上,将 .csv 文件中 的访问密钥密钥 粘贴到相关字段中,然后选择“ 下一步”。

    显示 AWS 应用安全审核页的屏幕截图,以及输入访问密钥和密钥的位置。

对于现有连接器

  1. 在连接器列表中,在 AWS 连接器所在的行上,选择 “编辑设置”。

  2. “实例名称 ”和 “连接 Amazon Web Services ”页上,选择“ 下一步”。 在 “安全审核”页上,将 .csv 文件中 的访问密钥密钥 粘贴到相关字段中,然后选择“ 下一步”。

    显示 AWS 应用安全审核页的屏幕截图,以及输入访问密钥和密钥的位置。

  3. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。

后续步骤