Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem pode coletar eventos de gerenciamento do AWS CloudTrail para aumentar a visibilidade das operações de identidade, das alterações de permissão e de outras atividades do plano de controle em seus ambientes do AWS.
A ingestão do CloudTrail adiciona sinais baseados em atividade aos recursos CIEM do Defender para Nuvem, permitindo que a análise de risco de identidade e permissão seja baseada não apenas em direitos de identidade configurados, mas também no uso observado.
A ingestão do CloudTrail aprimora o CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem) ajudando a identificar permissões não usadas, funções configuradas incorretamente, identidades inativas e possíveis caminhos de escalonamento de privilégios. Ele também fornece contexto de atividade que fortalece a detecção de descompasso de configuração, as recomendações de segurança e a análise do caminho de ataque.
A ingestão do CloudTrail está disponível para contas AWS individuais e organizações AWS que utilizam o registro em log centralizado.
Pré-requisitos
Antes de habilitar a ingestão do CloudTrail, verifique se sua conta do AWS tem:
Plano do GPSN do Defender habilitado na assinatura do Azure. Consulte Habilitar o plano do GPSN do Defender.
Permissão para acessar o AWS CloudTrail.
Acesso ao bucket do Amazon S3 que armazena arquivos de log do CloudTrail.
Acesso às notificações da fila do Amazon SQS associadas a esse bucket.
Acesso às chaves KMS do AWS se os logs do CloudTrail forem criptografados. Consulte Criptografar arquivos de log do CloudTrail com o KMS do AWS.
Permissões para criar ou modificar trilhas do CloudTrail e para os recursos necessários caso se providencie uma nova trilha.
CloudTrail configurado para registrar eventos de gerenciamento. Consulte Registro de eventos de gerenciamento com o CloudTrail.
Observação
Usuários do Microsoft Sentinel: Se você já transmitir logs do AWS CloudTrail para o Microsoft Sentinel, habilitar a ingestão do CloudTrail no Defender para Nuvem pode exigir atualizações para a configuração do Sentinel. Revise o fluxo de trabalho de ingestão do CloudTrail para evitar conflitos de ingestão seguindo as instruções em Conectar uma conta da AWS conectada ao Sentinel ao Defender para Nuvem.
Configurar a ingestão do CloudTrail
Para habilitar a ingestão do CloudTrail para o conector do AWS, execute as seguintes etapas:
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione o conector AWS relevante.
Em Monitoramento de cobertura, abra Configurações.
Habilitar a ingestão do CloudTrail do AWS (versão prévia). Isso adiciona opções de configuração do CloudTrail ao fluxo de trabalho de instalação.
Escolha se deseja integrar-se a uma trilha cloudtrail existente ou criar uma nova:
Selecione Fornecer manualmente detalhes de trilha para usar uma trilha CloudTrail existente.
- Forneça o ARN do bucket do Amazon S3 e o ARN da fila do SQS associados à trilha já existente.
- Se solicitado, implante ou atualize a pilha CloudFormation fornecida pelo Defender para Nuvem.
Observação
Quando você seleciona uma trilha existente, o Defender para Nuvem executa uma coleção única de até 90 dias de eventos históricos de gerenciamento do CloudTrail. Se a ingestão do CloudTrail estiver desabilitada, os dados históricos coletados durante esse processo serão removidos. Habilitar novamente a ingestão do CloudTrail dispara uma nova coleção de dados históricos.
Selecione Criar um novo CloudTrail do AWS para provisionar uma nova trilha.
- Implante o modelo CloudFormation ou Terraform fornecido pelo Defender para Nuvem quando solicitado.
- Após a conclusão da implantação, localize o ARN da fila do SQS no console da AWS.
- Retorne ao Defender para Nuvem e insira o SQS ARN no campo SQS ARN .
Como o Defender para Nuvem usa dados do CloudTrail
Depois de concluir a configuração:
- O AWS CloudTrail registra eventos de gerenciamento de sua conta do AWS.
- Os arquivos de log são gravados em um bucket do Amazon S3.
- O Amazon SQS envia notificações quando novos logs estão disponíveis.
- O Defender para Nuvem sonda a fila do SQS para recuperar as referências de arquivo de log.
- O Defender para Nuvem processa a telemetria de log e aprimora o CIEM e os insights de postura.
Você pode personalizar seletores de eventos CloudTrail para alterar quais eventos de gerenciamento são capturados.
Validar a ingestão de dados do CloudTrail
Para confirmar se a telemetria do CloudTrail está sendo enviada para o Defender para Nuvem:
- Verifique se o bucket S3 concede permissão ao Defender para Nuvem para ler arquivos de log.
- Verifique se as notificações do SQS estão configuradas para novas entregas de log.
- Confirme se as funções IAM permitem acesso a artefatos CloudTrail e objetos criptografados.
- Examine as recomendações do Defender para Nuvem e os insights de identidade após a instalação.
Os sinais podem levar tempo para aparecer dependendo da frequência de entrega do CloudTrail e do volume de eventos.