Verbinden von AWS-Konten mit Microsoft Defender for Cloud

In diesem Artikel erfahren Sie, wie Sie ein einzelnes Aws-Konto (Amazon Web Services) oder AWS-Verwaltungskonto mit Microsoft Defender for Cloud mithilfe des nativen AWS-Connectors verbinden.

Nachdem Sie das Konto verbunden haben, ermittelt Defender for Cloud AWS-Ressourcen, bewertet den Sicherheitsstatus und zeigt Sicherheitsempfehlungen und Warnungen an.

Der folgende Screenshot zeigt AWS-Konten, die im Übersichtsdashboard Defender for Cloud angezeigt werden:

Screenshot mit AWS-Konten, die im Übersichtsdashboard von Defender for Cloud aufgeführt sind.

Für weitere Informationen sehen Sie sich das Video Neuer AWS-Connector in Defender for Cloud aus der Videoreihe Defender for Cloud in the Field an.

Note

Wenn Sie über ein AWS-Konto verfügen, das mit Microsoft Sentinel verbunden ist, können Sie es nicht mit Defender for Cloud verbinden. Um sicherzustellen, dass der Connector ordnungsgemäß funktioniert, befolgen Sie die Anweisungen unter Connect eines mit Sentinel verbundenen AWS-Kontos mit Defender for Cloud.

Authentifizierungsarchitektur

Wenn Sie ein AWS-Konto verbinden, authentifiziert sich Microsoft Defender für Cloud bei AWS mithilfe von Verbundvertrauens- und kurzlebigen Anmeldeinformationen, ohne langlebige Geheimnisse zu speichern.

Erfahren Sie mehr darüber, wie die Authentifizierung zwischen Microsoft Entra ID und AWS erfolgt, einschließlich der während der Onboarding-Phase erstellten IAM-Rollen und Vertrauensbeziehungen.

Voraussetzungen

Bevor Sie Ihr AWS-Konto verbinden, stellen Sie sicher, dass Sie folgendes haben:

Zusätzliche Anforderungen gelten beim Aktivieren bestimmter Defender-Pläne. Überprüfen Sie die Anforderungen des systemeigenen Connectorplans.

Note

Der AWS-Connector ist in den nationalen Regierungsclouds nicht verfügbar (Azure Government, Microsoft Azure, betrieben von 21Vianet).

Anforderungen an den nativen Connector-Plan

Jeder Defender-Plan hat bestimmte Setupanforderungen.

  • Mindestens ein Amazon EKS-Cluster mit Zugriff auf den Kubernetes-API-Server. Wenn Sie keinen haben, erstellen Sie einen neuen EKS-Cluster.
  • Kapazität zum Erstellen einer Amazon SQS-Warteschlange, eines Kinesis Data Firehose-Übermittlungsstreams und eines Amazon S3-Buckets in derselben Region wie der Cluster.

Herstellen einer Verbindung mit Ihrem AWS-Konto

Important

Verwenden Sie für das Onboarding von Verwaltungskonten nur das AWS-Verwaltungskonto. Delegierte Administratorkonten werden nicht unterstützt.

So verbinden Sie Ihre AWS-Umgebung mit Defender for Cloud mithilfe eines nativen Connectors:

  1. Melden Sie sich im Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.

  3. Wählen Sie Umgebung hinzufügen>Amazon Web Services aus.

    Screenshot, der das Verbinden eines AWS-Kontos mit einem Azure-Abonnement zeigt.

  4. Geben Sie einen Namen für Ihren Connector ein.

  5. Wählen Sie für " Onboarding" den Kontotyp aus:

    • Verwaltungskonto: Erstellt einen Connector für das AWS-Verwaltungskonto. Die automatische Bereitstellung erstellt Konnektoren für erkannte Mitgliedskonten und neu erstellte Konten unterhalb des Verwaltungskontos.
    • Einzelnes Konto: Erstellt einen Connector für ein einzelnes AWS-Konto.
  6. Wählen Sie die bereiche AWS aus, die Ressourcen enthalten, die Defender for Cloud schützen sollen. Alle Regionen sind standardmäßig ausgewählt.

  7. Wählen Sie das Abonnement aus, in dem der Sicherheitsconnector erstellt wird.

  8. Wählen Sie die Ressourcengruppe aus, in der der Sicherheitsconnector erstellt wird.

  9. Wählen Sie den Standort aus, an dem der Sicherheitsconnector erstellt wird.

  10. Wählen Sie ein Intervall aus, um die AWS-Umgebung alle 4, 6, 12 oder 24 Stunden zu überprüfen. Einige Datensammler werden mit festen Scanintervallen ausgeführt und sind von benutzerdefinierten Intervallkonfigurationen nicht betroffen.

  11. Geben Sie Ihre AWS-Konto-ID ein.

  12. Nur für das Verwaltungskonto: Geben Sie bei Bedarf die AWS-Konto-IDs ein, die ausgeschlossen werden sollen, durch Kommas getrennt.

    Screenshot: Die Registerkarte für die Eingabe von Kontodaten für ein AWS-Konto.

  13. Klicken Sie auf Weiter: Pläne auswählen.

  14. Wählen Sie die Defender Pläne aus, die Sie aktivieren möchten.

    Note

    Jeder Plan kann Gebühren verursachen. Erfahren Sie mehr über Defender for Cloud Pricing.

    Screenshot des Planauswahlschritts für ein AWS-Konto.

    Important

    Um den aktuellen Status Ihrer Empfehlungen anzuzeigen, fragt der Microsoft Defender Cloud Security Posture Management-Plan mehrmals täglich die AWS-Ressourcen-APIs ab. Für diese schreibgeschützten API-Aufrufe werden keine Gebühren berechnet, sie werden jedoch in CloudTrail registriert, wenn Sie einen Trail für Leseereignisse aktivieren.

    In der AWS-Dokumentation wird erläutert, dass es keine zusätzlichen Gebühren für die Aufbewahrung eines Pfads gibt. Wenn Sie die Daten aus AWS exportieren, z. B. in ein externes SIEM-System, kann diese erhöhte Anzahl von Anrufen auch die Kosten für die Aufnahme erhöhen. In solchen Fällen wird empfohlen, die schreibgeschützten Aufrufe aus der Benutzer- oder ARN-Rolle im Defender for Cloud herauszufiltern: arn:aws:iam::[accountId]:role/CspmMonitorAws. Dies ist der Standardrollenname. Überprüfen Sie den Rollennamen, der für Ihr Konto konfiguriert ist.

  15. (Optional) Konfigurieren Sie die verschiedenen Plankonfigurationen.

    Defender für Container ist eine cloudeigene Lösung, die Ihre containerisierten Ressourcen sichert, einschließlich Kubernetes-Clustern, Knoten, Workloads, Registrierungen und Images in multicloud- und lokalen Umgebungen.

    Um bestimmte Features des Plans zu aktivieren oder zu deaktivieren, wählen Sie "Einstellungen" aus, schalten Sie die(n) Features auf "Ein" um, und wählen Sie " Speichern" aus.

    Screenshot der Planauswahl für Defender for Containers in einer AWS-Umgebung.

    Erfahren Sie mehr über Defender für Container.

    Note

    Wenn Sie zur Aktivierung oder Deaktivieren von Planfeatures zurückkehren, müssen Sie möglicherweise die CloudFormation-Vorlage in Ihrem AWS-Konto aktualisieren. Informationen dazu, ob Sie sie aktualisieren müssen, finden Sie unter "Aktualisieren Ihrer CloudFormation"-Vorlage.

  16. Wählen Sie Zugriff konfigurieren aus.

  17. Wählen Sie den Berechtigungstyp aus:

    • Standardzugriff: Gewährt Berechtigungen, die für aktuelle und zukünftige Funktionen erforderlich sind.
    • Mindestberechtigungszugriff: Gewährt nur die Berechtigungen, die heute erforderlich sind. Möglicherweise erhalten Sie Benachrichtigungen, wenn später zusätzlicher Zugriff erforderlich ist.
  18. Wählen Sie eine Bereitstellungsmethode aus:

    • AWS CloudFormation

    • Terraform

      Screenshot der Konfiguration der Bereitstellungsmethode.

  19. Befolgen Sie die Anweisungen auf dem Bildschirm für die ausgewählte Bereitstellungsmethode, um die erforderlichen Abhängigkeiten in AWS abzuschließen.

    Note

    Wenn Sie das Verwaltungskonto auswählen, wird die Registerkarte für das Onboarding mithilfe von Terraform in der Benutzeroberfläche nicht angezeigt. Terraform Onboarding wird weiterhin unterstützt. Anleitungen finden Sie unter Onboarding Ihrer AWS/GCP-Umgebung in Microsoft Defender für Cloud mit Terraform.

    Wenn Sie mithilfe von CloudFormation bereitstellen, wählen Sie eine der folgenden Vorlagenoptionen aus:

    • Amazon S3-URL: Laden Sie die heruntergeladene CloudFormation-Vorlage mit Ihren eigenen Sicherheitskonfigurationen in Ihren eigenen S3-Bucket hoch. Geben Sie die S3-URL im AWS-Bereitstellungs-Assistenten an.

    • Hochladen einer Vorlagendatei: AWS erstellt automatisch einen S3-Bucket zum Speichern der Vorlage. Diese Konfiguration kann die S3 buckets should require requests to use Secure Socket Layer Empfehlung auslösen. Sie können dies beheben, indem Sie die folgende Bucketrichtlinie anwenden:

      {
        "Id": "ExamplePolicy",
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
              "<S3_Bucket_ARN>",
              "<S3_Bucket_ARN>/*"
            ],
            "Condition": {
              "Bool": {
                "aws:SecureTransport": "false"
              }
            },
            "Principal": "*"
          }
        ]
      }
      

    Important

    Wenn Sie cloudFormation StackSet für ein AWS-Verwaltungskonto ausführen, tritt möglicherweise die folgende Fehlermeldung auf:

    You must enable organizations access to operate a service managed stack set

    Dieser Fehler bedeutet, dass der vertrauenswürdige Zugriff für AWS-Organisationen nicht aktiviert ist.

    Um diesen Fehler zu beheben, wechseln Sie zur Seite "CloudFormation StackSets", und wählen Sie die Eingabeaufforderung aus, um den vertrauenswürdigen Zugriff zu aktivieren. Nachdem der vertrauenswürdige Zugriff aktiviert wurde, führen Sie die CloudFormation-Vorlage erneut aus.

  20. Wählen Sie Weiter: Überprüfen und generieren aus.

  21. Wählen Sie "Erstellen" aus.

Defender for Cloud beginnt mit dem Scannen Ihrer AWS-Ressourcen. Sicherheitsempfehlungen werden innerhalb weniger Stunden angezeigt. Nach dem Onboarding können Sie AWS-Haltung, Warnungen und Ressourceninventar in Defender for Cloud überwachen.

Aktualisieren der CloudFormation-Vorlage

Aktualisieren Sie die in Ihrem AWS-Konto bereitgestellte CloudFormation-Vorlage, wenn sich die berechtigungen oder Ressourcen ändern, die von Defender for Cloud erforderlich sind.

Wann die Vorlage aktualisiert werden soll

Aktualisieren Sie die Vorlage in den folgenden Fällen:

  • Sie haben einen neuen Defender Plan aktiviert, z. B. Defender CSPM, Defender für Datenbanken oder Defender für Container.
  • Sie haben die Plankonfiguration geändert, z. B. das Aktivieren der automatischen Bereitstellung oder das Ändern der ausgewählten Regionen.
  • Microsoft eine neue Version der Vorlage veröffentlicht, z. B. eine Version, die neue Features unterstützt, Fehler behebt oder die Laufzeit aktualisiert.
  • Bei Ihnen treten Bereitstellungsfehler auf, wie AccessDenied, EntityAlreadyExists oder Lambda-Laufzeitfehler. Spezifische Fehler oder CloudFormation-Vorlagenbereitstellungsfehler finden Sie in der CloudFormation-Fehlerauflösungstabelle.

Aktualisieren der Vorlage

  1. Generieren oder herunterladen Sie in Defender for Cloud die neueste CloudFormation-Vorlage für den AWS-Connector.

  2. Aktualisieren Sie in AWS CloudFormation den vorhandenen Stapel, der für den Defender for Cloud Connector erstellt wurde.

  3. Ersetzen Sie die vorhandene Vorlage durch die aktualisierte Vorlagendatei oder durch die Amazon S3-URL für die aktualisierte Vorlage.

  4. Behalten Sie die vorhandenen Stapeldetails und Parameter bei, es sei denn, Defender for Cloud enthält aktualisierte Werte.

  5. Überprüfen Sie die Änderungen, bestätigen Sie die Änderungen an den IAM-Ressourcen, wenn Sie dazu aufgefordert werden, und aktualisieren Sie den Stack.

Erfahren Sie, wie Sie Stapel direkt in AWS CloudFormation aktualisieren.

Überprüfung der Steckverbinder-Integrität

So bestätigen Sie, dass Ihr AWS-Connector ordnungsgemäß funktioniert:

  1. Melden Sie sich im Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.

  3. Suchen Sie das AWS-Konto, und überprüfen Sie die Spalte "Konnektivitätsstatus ", um festzustellen, ob die Verbindung fehlerfrei ist oder Probleme hat.

  4. Wählen Sie den in der Spalte "Konnektivitätsstatus " angezeigten Wert aus, um weitere Details anzuzeigen.

Auf der Seite "Umgebungsdetails" werden alle erkannten Konfigurations- oder Berechtigungsprobleme aufgeführt, die sich auf die Verbindung mit dem AWS-Konto auswirken.

Screenshot der Umgebungsdetailseite in Microsoft Defender for Cloud mit dem Verbindungsstatus für ein verbundenes Amazon Web Services-Konto.

Wenn ein Problem vorhanden ist, können Sie es auswählen, um eine Beschreibung des Problems und die empfohlenen Korrekturschritte anzuzeigen. In einigen Fällen wird ein Korrekturskript bereitgestellt, um das Problem zu beheben.

Erfahren Sie mehr über die Problembehandlung von Multicloud-Connectors.

Anzeigen Ihrer aktuellen Abdeckung

Defender for Cloud bietet Zugriff auf Arbeitsmappen über Azure Arbeitsmappen. Arbeitsmappen sind anpassbare Berichte, die Einblicke in Ihren Sicherheitsstatus bieten.

Die Abdeckungsarbeitsmappe hilft Ihnen, Ihre aktuelle Abdeckung zu verstehen, indem Sie anzeigen, welche Pläne für Ihre Abonnements und Ressourcen aktiviert sind.

Aktivieren der Protokollaufnahme für AWS CloudTrail (Vorschau)

Aws CloudTrail Management-Ereigniseinnahme kann Identitäts- und Konfigurationseinblicke verbessern, indem Kontext für CIEM-Bewertungen, aktivitätsbasierte Risikoindikatoren und Konfigurationsänderungserkennung hinzugefügt werden.

Erfahren Sie mehr über die Integration von AWS CloudTrail-Protokollen in Microsoft Defender for Cloud (Preview).

Sehen Sie sich die folgenden Blogs an:

Nächste Schritte