Aktivieren von Defender für relationale Open-Source-Datenbanken in Amazon Web Services (AWS)

Von Bedeutung

Am 1. Juni 2026 erreichte Microsoft Defender für Open-Source-Relationaldatenbanken für AWS RDS die allgemeine Verfügbarkeit, und die Abrechnung begann. Wenn Sie den Plan vor dem 1. Juni 2026 aktiviert hatten, erhalten Sie weiterhin Datenbank-Bedrohungsschutz und vertrauliche Datenermittlungsfunktionen für unterstützte AWS RDS-Datenbanken. Es ist keine Aktion erforderlich, wenn Sie den Schutz aktiviert lassen möchten. Befolgen Sie zum Deaktivieren des Plans die Anweisungen unter "Deaktivieren des Plans".

Der Defender für den Plan für relationale Open-Source-Datenbanken in Microsoft Defender for Cloud hilft Ihnen, ungewöhnliche Aktivitäten in Ihren RDS-Datenbanken (AWS Relational Database Service) zu erkennen und zu untersuchen. Dieser Plan unterstützt die folgenden Datenbankinstanztypen:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

In diesem Artikel wird erläutert, wie Sie Defender für relationale Open-Source-Datenbanken auf AWS aktivieren, damit Sie mit dem Empfangen von Warnungen für verdächtige Aktivitäten beginnen können.

Wenn Sie diesen Plan aktivieren, entdeckt Defender für Cloud auch vertrauliche Daten in Ihrem AWS-Konto und erweitert Sicherheitseinblicke mit diesen Erkenntnissen. Diese Funktion ist auch in Defender Cloud Security Posture Management (CSPM) enthalten.

Erfahren Sie mehr über diesen Microsoft Defender Plan in Overview von Microsoft Defender für relationale Open Source-Datenbanken.

Voraussetzungen

  • Sie benötigen ein Microsoft Azure -Abonnement. Wenn Sie kein Abonnement haben, können Sie sich für ein kostenloses Abonnement registrieren.

  • Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

  • Mindestens ein verbundenes AWS-Konto mit erforderlichem Zugriff und erforderlichen Berechtigungen.

  • Verfügbarkeit der Region: Alle öffentlichen AWS-Regionen (ausgenommen Tel Aviv, Mailand, Jakarta, Spanien und Bahrain).

Aktivieren von Defender für relationale Open-Source-Datenbanken

So aktivieren Sie Defender für relationale Open-Source-Datenbanken in AWS:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender for Cloud, und wählen Sie es aus.

  3. Wählen Sie Umgebungseinstellungen.

  4. Wählen Sie das entsprechende AWS-Konto aus.

  5. Suchen Sie den Datenbankplan , und wählen Sie "Einstellungen" aus.

    Screenshot der Seite mit den AWS-Umgebungseinstellungen, auf der gezeigt wird, wo Einstellungen ausgewählt werden sollen.

  6. Schalten Sie relationale Open-Source-Datenbanken auf Ein.

    Screenshot, der zeigt, wie Sie den Schutz relationaler Open-Source-Datenbanken aktivieren.

    Note

    Das Aktivieren relationaler Open-Source-Datenbanken ermöglicht auch die Erkennung sensibler Daten, eine Funktion, die mit Defender CSPM für RDS-Ressourcen gemeinsam ist.

    Screenshot: Seite „Einstellungen“ für Defender CSPM und aktivierte Ermittlung vertraulicher Daten für die geschützten Ressourcen

    Weitere Informationen finden Sie unter Entdecken und Scannen von AWS RDS-Instanzen.

  7. Wählen Sie Zugriff konfigurieren aus.

  8. Wählen Sie im Abschnitt „Bereitstellungsmethode“ die Option Herunterladen aus.

  9. Befolgen Sie die Anweisungen zum Aktualisieren des Stapels in AWS. Dieser Vorgang erstellt oder aktualisiert die CloudFormation-Vorlage mit den erforderlichen Berechtigungen.

  10. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass die CloudFormation-Vorlage in Ihrer AWS-Umgebung (Stack) aktualisiert wurde.

  11. Wählen Sie Überprüfen und Erstellen aus.

  12. Überprüfen Sie die Informationen, und wählen Sie "Aktualisieren" aus.

Defender für Cloud aktualisiert dann automatisch die relevanten Parameter- und Optionsgruppeneinstellungen.

Erforderliche Berechtigungen für DefenderForCloud-DataThreatProtectionDB Rolle

Die folgenden Berechtigungen sind für die Rolle erforderlich, die erstellt oder aktualisiert wird, wenn Sie die CloudFormation-Vorlage herunterladen und den AWS-Stapel aktualisieren. Diese Berechtigungen ermöglichen Defender for Cloud das Konfigurieren von Überwachungs- und Sammeln von Datenbankaktivitätsprotokollen aus Ihren AWS RDS-Instanzen.

Erlaubnis Description
rds:AddTagsToResource Fügt Tags zu Options- und Parametergruppen hinzu, die vom Plan erstellt wurden.
rds:DescribeDBClusterParameters Beschreibt Parameter innerhalb der Clustergruppe.
rds:CreateDBParameterGroup Erstellt eine Datenbankparametergruppe.
rds:ModifyOptionGroup Ändert Optionen innerhalb einer Optionsgruppe.
rds:DescribeDBLogFiles Beschreibt Datenbankprotokolldateien.
rds:DescribeDBParameterGroups Beschreibt Datenbankparametergruppen.
rds:CreateOptionGroup Erstellt eine Optionsgruppe.
rds:ModifyDBParameterGroup Ändert Parameter innerhalb von Datenbankparametergruppen.
rds:DownloadDBLogFilePortion Lädt Protokolldateiabschnitte herunter.
rds:DescribeDBInstances Beschreibt Datenbankinstanzen.
rds:ModifyDBClusterParameterGroup Ändert Clusterparameter innerhalb der Clusterparametergruppe.
rds:ModifyDBInstance Ändert Datenbanken so, dass bei Bedarf Parameter- oder Optionsgruppen zugewiesen werden.
rds:ModifyDBCluster Ändert Cluster so, dass bei Bedarf Clusterparametergruppen zugewiesen werden.
rds:DescribeDBParameters Beschreibt Parameter innerhalb der Datenbankgruppe.
rds:CreateDBClusterParameterGroup Erstellt eine Clusterparametergruppe.
rds:DescribeDBClusters Beschreibt Cluster.
rds:DescribeDBClusterParameterGroups Beschreibt Clusterparametergruppen.
rds:DescribeOptionGroups Beschreibt Optionsgruppen.

Betroffene Parameter- und Optionsgruppeneinstellungen

Wenn Sie Defender für relationale Open-Source-Datenbanken aktivieren, konfiguriert Defender für Cloud automatisch Überwachungsparameter in Ihren RDS-Instanzen, um Zugriffsmuster zu nutzen und zu analysieren. Sie müssen diese Einstellungen nicht manuell ändern. Sie werden hier zur Referenz aufgeführt.

Type Parameter Value
PostgreSQL und Aurora PostgreSQL Verbindungen protokollieren 1
PostgreSQL und Aurora PostgreSQL Trennungen protokollieren 1
Aurora MySQL-Clusterparametergruppe Server-Prüfprotokollierung 1
Aurora MySQL-Clusterparametergruppe Server-Audit-Ereignisse - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT, QUERY aufzunehmen.
- Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT, QUERY hinzu.
Aurora MySQL-Clusterparametergruppe server_audit_excl_users Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen.
Aurora MySQL-Clusterparametergruppe server_audit_incl_users Wenn diese Einstellung vorhanden ist und rdsadmin enthält, entfernen Sie rdsadmin aus SERVER_AUDIT_EXCL_USER, und lassen Sie diese Einstellung leer.

Für MySQL und MariaDB ist eine Optionsgruppe mit den folgenden Optionen für die MARIADB_AUDIT_PLUGIN erforderlich.

Wenn die Option nicht vorhanden ist, fügen Sie sie hinzu. falls vorhanden, erweitern Sie die Werte nach Bedarf.

Optionsname Value
SERVER_AUDIT_EVENTS - Falls der Parameter vorhanden ist, erweitern Sie den Wert, um CONNECT aufzunehmen.
- Falls der Parameter nicht vorhanden ist, fügen Sie ihn mit dem Wert CONNECT hinzu.
SERVER_AUDIT_EXCL_USER Wenn der Parameter vorhanden ist, erweitern Sie ihn, um „rdsadmin“ einzuschließen.
SERVER_AUDIT_INCL_USERS Wenn diese Einstellung vorhanden ist und rdsadmin enthält, entfernen Sie rdsadmin aus SERVER_AUDIT_EXCL_USER, und lassen Sie diese Einstellung leer.

Von Bedeutung

Möglicherweise müssen Sie Ihre Instanzen neu starten, um diese Änderungen anzuwenden.

Wenn Sie die Standardparametergruppe verwenden, erstellt Defender für Cloud eine neue Parametergruppe mit den erforderlichen Änderungen und dem Präfix defenderfordatabases*.

Wenn Sie eine neue Parametergruppe erstellen oder statische Parameter aktualisieren, werden die Änderungen erst wirksam, wenn Sie die Instanz neu starten.

Note

  • Wenn bereits eine Parametergruppe vorhanden ist, Defender for Cloud sie aktualisiert.

  • MARIADB_AUDIT_PLUGIN wird in MariaDB 10.2 und höher, MySQL 8.0.25 und höher und allen MySQL 5.7-Versionen unterstützt.

  • Änderungen, die Defender für Cloud an den MARIADB_AUDIT_PLUGIN MySQL-Instanzen vornimmt, werden während des nächsten Wartungsfensters angewendet. Weitere Informationen finden Sie unter MARIADB_AUDIT_PLUGIN für MySQL-Instanzen.

Deaktivieren des Plans

So deaktivieren Sie Defender für relationale Open-Source-Datenbanken in AWS RDS:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud>Umgebungseinstellungen und wählen Sie sie aus.

  3. Wählen Sie das entsprechende AWS-Konto aus.

  4. Suchen Sie den Datenbankplan, und wählen Sie "Einstellungen" aus.

  5. Umschalten von relationalen Open Source-Datenbanken auf "Aus".

  6. Wählen Sie Speichern aus.

Nächster Schritt