Como Defender for Cloud Apps ajuda a proteger o seu ambiente do Amazon Web Services (AWS)

O Amazon Web Services é um fornecedor IaaS que permite à sua organização alojar e gerir as cargas de trabalho completas na cloud. Juntamente com os benefícios da utilização da infraestrutura na cloud, os recursos mais críticos da sua organização podem estar expostos a ameaças. Os recursos expostos incluem instâncias de armazenamento com informações potencialmente confidenciais, recursos de computação que operam algumas das suas aplicações, portas e redes privadas virtuais mais críticas que permitem o acesso à sua organização.

Ligar a AWS ao Defender for Cloud Apps ajuda-o a proteger os seus ativos e a detetar potenciais ameaças, monitorizando atividades administrativas e de início de sessão, e notificando-o de possíveis ataques de força bruta, utilização maliciosa de uma conta de utilizador privilegiada, eliminações invulgares de máquinas virtuais (VMs) e buckets de armazenamento expostos publicamente.

Principais ameaças

Ligar a AWS ao Defender for Cloud Apps ajuda-o a detetar e responder às seguintes ameaças:

  • Abuso de recursos da cloud
  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Configuração incorreta de recursos e controlo de acesso insuficiente

Como Defender for Cloud Apps ajuda a proteger o seu ambiente

O Defender for Cloud Apps ajuda a proteger o seu ambiente AWS das seguintes formas:

Controlar o AWS com políticas e modelos de política incorporados

Pode utilizar os seguintes modelos de política incorporados para detetar e notificá-lo sobre potenciais ameaças:

Importante

As políticas de ficheiros serão descontinuadas a 6 de janeiro de 2027. Para manter a proteção de dados baseada em ficheiros para esta aplicação, migre para o Microsoft Purview DLP ou para políticas de atribuição automática de etiquetas.

Tipo Name
Modelo de política de atividade Falhas de início de sessão na consola de administração
Alterações à configuração da instância EC2
Alterações à política de IAM
Início de sessão a partir de um endereço IP arriscado
Alterações à lista de controlo de acesso à rede (ACL)
Alterações ao gateway de rede
Atividade do bucket do S3
Alterações à configuração do grupo de segurança
Alterações à rede privada virtual
Política de deteção de anomalias incorporada Atividade de endereços IP anónimos
Atividade do país com pouca frequência
Atividade de endereços IP suspeitos
Viagem impossível
Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP)
Várias tentativas de início de sessão falhadas
Atividades administrativas invulgares
Modelo de política de ficheiros O bucket do S3 está publicamente acessível

Para obter mais informações sobre como criar políticas, veja Criar uma política.

Automatizar controlos de governação

Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do AWS para remediar as ameaças detetadas:

Tipo Ação
Governação de utilizadores - Notificar o utilizador em alerta (através de Microsoft Entra ID)
- Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID)
- Suspender utilizador (através de Microsoft Entra ID)
Governação de dados - Tornar um bucket do S3 privado
- Remover um colaborador de um bucket S3

Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.

Proteger o AWS em tempo real

Reveja as nossas melhores práticas para bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.

Ligar o Amazon Web Services ao Microsoft Defender for Cloud Apps

Utilize as APIs do conector para associar a sua conta existente da Amazon Web Services (AWS) ao Microsoft Defender for Cloud Apps. Para obter informações sobre como Defender for Cloud Apps protege o AWS, veja Proteger o AWS.

Pode ligar a auditoria de segurança da AWS às ligações do Defender for Cloud Apps para obter visibilidade e controlo sobre a utilização de aplicações AWS.

Passo 1: Configurar a auditoria do Amazon Web Services

Para configurar a auditoria AWS para Defender for Cloud Apps, execute os seguintes passos:

  1. Iniciar sessão na consola do Amazon Web Services

  2. Adicione um novo utilizador para Defender for Cloud Apps e dê ao utilizador acesso Programático.

  3. Selecione Criar política e introduza um nome para a nova política.

  4. Selecione o separador JSON e cole o seguinte script:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  5. Selecione Transferir .csv para guardar uma cópia das credenciais do novo utilizador. Irá precisar deles mais tarde.

    Nota

    Depois de estabelecer ligação à AWS, receberá eventos dos sete dias anteriores à ligação. Se tiver ativado o CloudTrail, receberá eventos a partir do momento em que ativou o CloudTrail.

Passo 2: Ligar a auditoria do Amazon Web Services ao Defender for Cloud Apps

Para ligar a auditoria AWS ao Defender for Cloud Apps, complete os seguintes passos:

  1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações.

  2. Na página Conectores de aplicações , para fornecer as credenciais do conector AWS, efetue um dos seguintes procedimentos:

Para um novo conector

  1. Selecione + Ligar uma aplicação, seguido do Amazon Web Services.

    Captura de ecrã que mostra onde encontrar o botão +Ligar uma aplicação no portal do Microsoft Defender.

  2. Na janela seguinte, forneça um nome para o conector e, em seguida, selecione Seguinte.

    Captura de ecrã que mostra como adicionar o nome da instância para o novo conector do AWS.

  3. Na página Ligar Amazon Web Services , selecione Auditoria de segurança e, em seguida, selecione Seguinte.

  4. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do ficheiro .csv nos campos relevantes e selecione Seguinte.

    Captura de ecrã que mostra a página de auditoria de segurança da aplicação AWS e onde introduzir a chave de acesso e a chave secreta.

Para um conector existente

  1. Na lista de conectores, na linha em que o conector do AWS é apresentado, selecione Editar definições.

  2. Nas páginas Nome da instância e Ligar Amazon Web Services , selecione Seguinte. Na página Auditoria de segurança, cole a Chave de acesso e a Chave secreta do ficheiro .csv nos campos relevantes e selecione Seguinte.

    Captura de ecrã que mostra a página de auditoria de segurança da aplicação AWS e onde introduzir a chave de acesso e a chave secreta.

  3. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.

Passos seguintes