Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie ein einzelnes Aws-Konto (Amazon Web Services) oder AWS-Verwaltungskonto mit Microsoft Defender for Cloud mithilfe des nativen AWS-Connectors verbinden.
Nachdem Sie das Konto verbunden haben, ermittelt Defender for Cloud AWS-Ressourcen, bewertet den Sicherheitsstatus und zeigt Sicherheitsempfehlungen und Warnungen an.
Der folgende Screenshot zeigt AWS-Konten, die im Übersichtsdashboard Defender for Cloud angezeigt werden:
Für weitere Informationen sehen Sie sich das Video Neuer AWS-Connector in Defender for Cloud aus der Videoreihe Defender for Cloud in the Field an.
Note
Wenn Sie über ein AWS-Konto verfügen, das mit Microsoft Sentinel verbunden ist, können Sie es nicht mit Defender for Cloud verbinden. Um sicherzustellen, dass der Connector ordnungsgemäß funktioniert, befolgen Sie die Anweisungen unter Connect eines mit Sentinel verbundenen AWS-Kontos mit Defender for Cloud.
Authentifizierungsarchitektur
Wenn Sie ein AWS-Konto verbinden, authentifiziert sich Microsoft Defender für Cloud bei AWS mithilfe von Verbundvertrauens- und kurzlebigen Anmeldeinformationen, ohne langlebige Geheimnisse zu speichern.
Erfahren Sie mehr darüber, wie die Authentifizierung zwischen Microsoft Entra ID und AWS erfolgt, einschließlich der während der Onboarding-Phase erstellten IAM-Rollen und Vertrauensbeziehungen.
Voraussetzungen
Bevor Sie Ihr AWS-Konto verbinden, stellen Sie sicher, dass Sie folgendes haben:
Ein Microsoft Azure-Abonnement Wenn Sie kein Abonnement haben, registrieren Sie sich für ein kostenloses Abonnement.
Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktiviert.
Zugriff auf ein AWS-Konto.
Berechtigung auf der Ebene „Contributor“ für das entsprechende Azure-Abonnement.
Um CIEM als Teil von Defender CSPM zu aktivieren, benötigen Sie für den Mandanten die erforderliche Rolle „Security Admin“ sowie die Berechtigung „Application.ReadWrite.All“.
Zusätzliche Anforderungen gelten beim Aktivieren bestimmter Defender-Pläne. Überprüfen Sie die Anforderungen des systemeigenen Connectorplans.
Note
Der AWS-Connector ist in den nationalen Regierungsclouds nicht verfügbar (Azure Government, Microsoft Azure, betrieben von 21Vianet).
Anforderungen an den nativen Connector-Plan
Jeder Defender-Plan hat bestimmte Setupanforderungen.
- Defender für Container
- Defender für SQL
- Defender für Open-Source-Datenbanken
- Defender für Server
- Defender CSPM
- Mindestens ein Amazon EKS-Cluster mit Zugriff auf den Kubernetes-API-Server. Wenn Sie keinen haben, erstellen Sie einen neuen EKS-Cluster.
- Kapazität zum Erstellen einer Amazon SQS-Warteschlange, eines Kinesis Data Firehose-Übermittlungsstreams und eines Amazon S3-Buckets in derselben Region wie der Cluster.
Herstellen einer Verbindung mit Ihrem AWS-Konto
Important
Verwenden Sie für das Onboarding von Verwaltungskonten nur das AWS-Verwaltungskonto. Delegierte Administratorkonten werden nicht unterstützt.
So verbinden Sie Ihre AWS-Umgebung mit Defender for Cloud mithilfe eines nativen Connectors:
Melden Sie sich im Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.
Wählen Sie Umgebung hinzufügen>Amazon Web Services aus.
Geben Sie einen Namen für Ihren Connector ein.
Wählen Sie für " Onboarding" den Kontotyp aus:
- Verwaltungskonto: Erstellt einen Connector für das AWS-Verwaltungskonto. Die automatische Bereitstellung erstellt Konnektoren für erkannte Mitgliedskonten und neu erstellte Konten unterhalb des Verwaltungskontos.
- Einzelnes Konto: Erstellt einen Connector für ein einzelnes AWS-Konto.
Wählen Sie die bereiche AWS aus, die Ressourcen enthalten, die Defender for Cloud schützen sollen. Alle Regionen sind standardmäßig ausgewählt.
Wählen Sie das Abonnement aus, in dem der Sicherheitsconnector erstellt wird.
Wählen Sie die Ressourcengruppe aus, in der der Sicherheitsconnector erstellt wird.
Wählen Sie den Standort aus, an dem der Sicherheitsconnector erstellt wird.
Wählen Sie ein Intervall aus, um die AWS-Umgebung alle 4, 6, 12 oder 24 Stunden zu überprüfen. Einige Datensammler werden mit festen Scanintervallen ausgeführt und sind von benutzerdefinierten Intervallkonfigurationen nicht betroffen.
Geben Sie Ihre AWS-Konto-ID ein.
Nur für das Verwaltungskonto: Geben Sie bei Bedarf die AWS-Konto-IDs ein, die ausgeschlossen werden sollen, durch Kommas getrennt.
Klicken Sie auf Weiter: Pläne auswählen.
Wählen Sie die Defender Pläne aus, die Sie aktivieren möchten.
Note
Jeder Plan kann Gebühren verursachen. Erfahren Sie mehr über Defender for Cloud Pricing.
Important
Um den aktuellen Status Ihrer Empfehlungen anzuzeigen, fragt der Microsoft Defender Cloud Security Posture Management-Plan mehrmals täglich die AWS-Ressourcen-APIs ab. Für diese schreibgeschützten API-Aufrufe werden keine Gebühren berechnet, sie werden jedoch in CloudTrail registriert, wenn Sie einen Trail für Leseereignisse aktivieren.
In der AWS-Dokumentation wird erläutert, dass es keine zusätzlichen Gebühren für die Aufbewahrung eines Pfads gibt. Wenn Sie die Daten aus AWS exportieren, z. B. in ein externes SIEM-System, kann diese erhöhte Anzahl von Anrufen auch die Kosten für die Aufnahme erhöhen. In solchen Fällen wird empfohlen, die schreibgeschützten Aufrufe aus der Benutzer- oder ARN-Rolle im Defender for Cloud herauszufiltern:
arn:aws:iam::[accountId]:role/CspmMonitorAws. Dies ist der Standardrollenname. Überprüfen Sie den Rollennamen, der für Ihr Konto konfiguriert ist.(Optional) Konfigurieren Sie die verschiedenen Plankonfigurationen.
- Defender CSPM
- Defender für Server
- Defender für SQL
- Defender für Open-Source-Datenbanken
- Defender für Container
Defender für Container ist eine cloudeigene Lösung, die Ihre containerisierten Ressourcen sichert, einschließlich Kubernetes-Clustern, Knoten, Workloads, Registrierungen und Images in multicloud- und lokalen Umgebungen.
Um bestimmte Features des Plans zu aktivieren oder zu deaktivieren, wählen Sie "Einstellungen" aus, schalten Sie die(n) Features auf "Ein" um, und wählen Sie " Speichern" aus.
Erfahren Sie mehr über Defender für Container.
Note
Wenn Sie zur Aktivierung oder Deaktivieren von Planfeatures zurückkehren, müssen Sie möglicherweise die CloudFormation-Vorlage in Ihrem AWS-Konto aktualisieren. Informationen dazu, ob Sie sie aktualisieren müssen, finden Sie unter "Aktualisieren Ihrer CloudFormation"-Vorlage.
Wählen Sie Zugriff konfigurieren aus.
Wählen Sie den Berechtigungstyp aus:
- Standardzugriff: Gewährt Berechtigungen, die für aktuelle und zukünftige Funktionen erforderlich sind.
- Mindestberechtigungszugriff: Gewährt nur die Berechtigungen, die heute erforderlich sind. Möglicherweise erhalten Sie Benachrichtigungen, wenn später zusätzlicher Zugriff erforderlich ist.
Wählen Sie eine Bereitstellungsmethode aus:
Befolgen Sie die Anweisungen auf dem Bildschirm für die ausgewählte Bereitstellungsmethode, um die erforderlichen Abhängigkeiten in AWS abzuschließen.
Note
Wenn Sie das Verwaltungskonto auswählen, wird die Registerkarte für das Onboarding mithilfe von Terraform in der Benutzeroberfläche nicht angezeigt. Terraform Onboarding wird weiterhin unterstützt. Anleitungen finden Sie unter Onboarding Ihrer AWS/GCP-Umgebung in Microsoft Defender für Cloud mit Terraform.
Wenn Sie mithilfe von CloudFormation bereitstellen, wählen Sie eine der folgenden Vorlagenoptionen aus:
Amazon S3-URL: Laden Sie die heruntergeladene CloudFormation-Vorlage mit Ihren eigenen Sicherheitskonfigurationen in Ihren eigenen S3-Bucket hoch. Geben Sie die S3-URL im AWS-Bereitstellungs-Assistenten an.
Hochladen einer Vorlagendatei: AWS erstellt automatisch einen S3-Bucket zum Speichern der Vorlage. Diese Konfiguration kann die
S3 buckets should require requests to use Secure Socket LayerEmpfehlung auslösen. Sie können dies beheben, indem Sie die folgende Bucketrichtlinie anwenden:{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "<S3_Bucket_ARN>", "<S3_Bucket_ARN>/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
Important
Wenn Sie cloudFormation StackSet für ein AWS-Verwaltungskonto ausführen, tritt möglicherweise die folgende Fehlermeldung auf:
You must enable organizations access to operate a service managed stack setDieser Fehler bedeutet, dass der vertrauenswürdige Zugriff für AWS-Organisationen nicht aktiviert ist.
Um diesen Fehler zu beheben, wechseln Sie zur Seite "CloudFormation StackSets", und wählen Sie die Eingabeaufforderung aus, um den vertrauenswürdigen Zugriff zu aktivieren. Nachdem der vertrauenswürdige Zugriff aktiviert wurde, führen Sie die CloudFormation-Vorlage erneut aus.
Wählen Sie Weiter: Überprüfen und generieren aus.
Wählen Sie "Erstellen" aus.
Defender for Cloud beginnt mit dem Scannen Ihrer AWS-Ressourcen. Sicherheitsempfehlungen werden innerhalb weniger Stunden angezeigt. Nach dem Onboarding können Sie AWS-Haltung, Warnungen und Ressourceninventar in Defender for Cloud überwachen.
Aktualisieren der CloudFormation-Vorlage
Aktualisieren Sie die in Ihrem AWS-Konto bereitgestellte CloudFormation-Vorlage, wenn sich die berechtigungen oder Ressourcen ändern, die von Defender for Cloud erforderlich sind.
Wann die Vorlage aktualisiert werden soll
Aktualisieren Sie die Vorlage in den folgenden Fällen:
- Sie haben einen neuen Defender Plan aktiviert, z. B. Defender CSPM, Defender für Datenbanken oder Defender für Container.
- Sie haben die Plankonfiguration geändert, z. B. das Aktivieren der automatischen Bereitstellung oder das Ändern der ausgewählten Regionen.
- Microsoft eine neue Version der Vorlage veröffentlicht, z. B. eine Version, die neue Features unterstützt, Fehler behebt oder die Laufzeit aktualisiert.
- Bei Ihnen treten Bereitstellungsfehler auf, wie
AccessDenied,EntityAlreadyExistsoder Lambda-Laufzeitfehler. Spezifische Fehler oder CloudFormation-Vorlagenbereitstellungsfehler finden Sie in der CloudFormation-Fehlerauflösungstabelle.
Aktualisieren der Vorlage
Generieren oder herunterladen Sie in Defender for Cloud die neueste CloudFormation-Vorlage für den AWS-Connector.
Aktualisieren Sie in AWS CloudFormation den vorhandenen Stapel, der für den Defender for Cloud Connector erstellt wurde.
Ersetzen Sie die vorhandene Vorlage durch die aktualisierte Vorlagendatei oder durch die Amazon S3-URL für die aktualisierte Vorlage.
Behalten Sie die vorhandenen Stapeldetails und Parameter bei, es sei denn, Defender for Cloud enthält aktualisierte Werte.
Überprüfen Sie die Änderungen, bestätigen Sie die Änderungen an den IAM-Ressourcen, wenn Sie dazu aufgefordert werden, und aktualisieren Sie den Stack.
Erfahren Sie, wie Sie Stapel direkt in AWS CloudFormation aktualisieren.
Überprüfung der Steckverbinder-Integrität
So bestätigen Sie, dass Ihr AWS-Connector ordnungsgemäß funktioniert:
Melden Sie sich im Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Umgebungseinstellungen.
Suchen Sie das AWS-Konto, und überprüfen Sie die Spalte "Konnektivitätsstatus ", um festzustellen, ob die Verbindung fehlerfrei ist oder Probleme hat.
Wählen Sie den in der Spalte "Konnektivitätsstatus " angezeigten Wert aus, um weitere Details anzuzeigen.
Auf der Seite "Umgebungsdetails" werden alle erkannten Konfigurations- oder Berechtigungsprobleme aufgeführt, die sich auf die Verbindung mit dem AWS-Konto auswirken.
Wenn ein Problem vorhanden ist, können Sie es auswählen, um eine Beschreibung des Problems und die empfohlenen Korrekturschritte anzuzeigen. In einigen Fällen wird ein Korrekturskript bereitgestellt, um das Problem zu beheben.
Erfahren Sie mehr über die Problembehandlung von Multicloud-Connectors.
Anzeigen Ihrer aktuellen Abdeckung
Defender for Cloud bietet Zugriff auf Arbeitsmappen über Azure Arbeitsmappen. Arbeitsmappen sind anpassbare Berichte, die Einblicke in Ihren Sicherheitsstatus bieten.
Die Abdeckungsarbeitsmappe hilft Ihnen, Ihre aktuelle Abdeckung zu verstehen, indem Sie anzeigen, welche Pläne für Ihre Abonnements und Ressourcen aktiviert sind.
Aktivieren der Protokollaufnahme für AWS CloudTrail (Vorschau)
Aws CloudTrail Management-Ereigniseinnahme kann Identitäts- und Konfigurationseinblicke verbessern, indem Kontext für CIEM-Bewertungen, aktivitätsbasierte Risikoindikatoren und Konfigurationsänderungserkennung hinzugefügt werden.
Erfahren Sie mehr über die Integration von AWS CloudTrail-Protokollen in Microsoft Defender for Cloud (Preview).
Verwandte Inhalte
Sehen Sie sich die folgenden Blogs an:
- Ignite 2021: Neuigkeiten zu Microsoft Defender for Cloud
- Sicherheitsstatusverwaltung und Serverschutz für AWS und GCP
Nächste Schritte
- Zuweisen des Zugriffs zu Workloadbesitzern
- Schützen Sie alle Ihre Ressourcen mit Defender for Cloud.
- Richten Sie Ihre lokalen Computer und GCP-Projekte ein.
- Hier erhalten Sie Antworten auf allgemeine Fragen zum Onboarding Ihres AWS-Kontos.
- Problembehandlung bei Multi-Cloud-Connectors