Habilite o Defender para bancos de dados relacionais de código aberto na Amazon Web Services (AWS)

Importante

Em 1 de junho de 2026, o Microsoft Defender para bases de dados relacionais de código aberto para AWS RDS transitou para disponibilidade geral, e a faturação teve início. Se tinha o plano ativado antes de 1 de junho de 2026, continua a receber proteção contra ameaças de base de dados e capacidades de descoberta de dados sensíveis para bases de dados AWS RDS suportadas. Não é necessária qualquer ação se quiser manter a proteção ativada. Para optar por não participar, siga as instruções em Desativar o plano.

O plano Defender para bases de dados relacionais open-source no Microsoft Defender para a Cloud ajuda-o a detetar e investigar atividades invulgares nas suas bases de dados AWS Relational Database Service (RDS). Este plano suporta os seguintes tipos de instâncias de base de dados:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

Este artigo explica como ativar o Defender para bases de dados relacionais open-source na AWS, para que possa começar a receber alertas de atividade suspeita.

Quando ativa este plano, o Defender para a Cloud também descobre dados sensíveis na sua conta AWS e enriquece os insights de segurança com essas descobertas. Esta funcionalidade está também incluída no Defender Cloud Security Posture Management (CSPM).

Saiba mais sobre este plano do Microsoft Defender em Visão geral do Microsoft Defender para bancos de dados relacionais de código aberto.

Pré-requisitos

Habilitar o Defender para bancos de dados relacionais de código aberto

Para ativar o Defender para bases de dados relacionais open-source na AWS:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Defender para a Cloud.

  3. Selecione Configurações do ambiente.

  4. Selecione a conta do AWS relevante.

  5. Localize o plano de Bases de Dados e selecione Definições.

    Captura de ecrã da página de definições do ambiente AWS que mostra onde selecionar Definições.

  6. Alterne bases de dados relacionais open-source para Ativado.

    Captura de ecrã que mostra como ativar a proteção de bases de dados relacionais open-source.

    Nota

    Ativar bases de dados relacionais open-source também permite a descoberta de dados sensíveis, uma funcionalidade partilhada com o GPSC do Defender para recursos RDS.

    Captura de tela que mostra a página de configurações do GPSC do Defender e os dados confidenciais ativados com os recursos protegidos.

    Para mais informações, consulte Descobrir e analisar instâncias AWS RDS.

  7. Selecione Configurar acesso.

  8. Na seção método de implantação, selecione Download.

  9. Siga as instruções para atualizar a stack no AWS. Esse processo cria ou atualiza o modelo do CloudFormation com as permissões necessárias.

  10. Selecione a caixa para confirmar que o modelo CloudFormation foi atualizado no seu ambiente AWS (stack).

  11. Selecione Rever e gerar.

  12. Veja a informação e selecione Atualizar.

O Defender para a Cloud atualiza automaticamente os parâmetros relevantes e as definições do grupo de opções.

Permissões necessárias para DefenderForCloud-DataThreatProtectionDB função

São necessárias as seguintes permissões para a função que é criada ou atualizada quando transfere o modelo do CloudFormation e atualiza a stack da AWS. Estas permissões permitem ao Defender para a Cloud configurar, auditar e recolher registos de atividade na base de dados das suas instâncias AWS RDS.

Permissão Descrição
rds:AddTagsToResource Adiciona etiquetas nos grupos de opções e parâmetros criados pelo plano.
rds:DescribeDBClusterParameters Descreve parâmetros dentro do grupo cluster.
rds:CreateDBParameterGroup Cria um grupo de parâmetros na base de dados.
rds:ModifyOptionGroup Modifica opções dentro de um grupo de opções.
rds:DescribeDBLogFiles Descreve ficheiros de registo da base de dados.
rds:DescribeDBParameterGroups Descreve grupos de parâmetros da base de dados.
rds:CreateOptionGroup Cria um grupo de opções.
rds:ModifyDBParameterGroup (ModificarGrupoDeParâmetrosDoBD) Modifica parâmetros dentro dos grupos de parâmetros da base de dados.
rds:DownloadDBLogFilePortion Descarrega porções de ficheiros de registo.
rds:DescribeDBInstances Descreve instâncias de base de dados.
rds:ModifyDBClusterParameterGroup Modifica os parâmetros do cluster dentro do grupo de parâmetros do cluster.
rds:ModifyDBInstance Modifica bases de dados para atribuir grupos de parâmetros ou opções conforme necessário.
rds:ModifyDBCluster Modifica clusters para atribuir grupos de parâmetros de cluster conforme necessário.
rds:DescribeDBParameters Descreve parâmetros dentro do grupo da base de dados.
rds:CreateDBClusterParameterGroup Cria um grupo de parâmetros de cluster.
rds:DescribeDBClusters Descreve clusters.
rds:DescribeDBClusterParameterGroups Descreve grupos de parâmetros de cluster.
rds:DescribeOptionGroups Descreve grupos de opções.

Configurações de parâmetros e grupos de opções afetados

Quando ativa o Defender para bases de dados relacionais open-source, o Defender para a Cloud configura automaticamente os parâmetros de auditoria nas suas instâncias RDS para consumir e analisar padrões de acesso. Não precisas de modificar estas definições manualmente. Estão listados aqui para referência.

Tipo Parâmetro Valor
PostgreSQL e Aurora PostgreSQL registar_conexões 1
PostgreSQL e Aurora PostgreSQL registo_de_desconexões 1
Grupo de parâmetros de cluster do Aurora MySQL server_audit_logging 1
Grupo de parâmetros de cluster do Aurora MySQL eventos_de_auditoria_do_servidor - Se existir, expanda o valor para incluir CONNECT, QUERY,
- Se não existir, adicione-o com o valor CONNECT, QUERY.
Grupo de parâmetros de cluster do Aurora MySQL server_audit_excl_users Se existir, expanda-o para incluir rdsadmin.
Grupo de parâmetros de cluster do Aurora MySQL auditoria_servidor_inclui_utilizadores Se esta definição existir e incluir o rdsadmin, remova o rdsadmin da SERVER_AUDIT_EXCL_USER e deixe esta definição vazia.

É necessário um grupo de opções para MySQL e MariaDB com as opções seguintes para o MARIADB_AUDIT_PLUGIN.

Se a opção não existir, adiciona-a; Se existir, expanda os valores conforme necessário.

Nome da opção Valor
SERVER_AUDIT_EVENTS Se existir, expanda o valor de modo a incluir CONNECT
Se não existir, adicione-o com o valor CONNECT.
SERVER_AUDIT_EXCL_USER Se existir, expanda-o para incluir rdsadmin.
SERVER_AUDIT_INCL_USERS Se esta definição existir e incluir o rdsadmin, remova o rdsadmin da SERVER_AUDIT_EXCL_USER e deixe esta definição vazia.

Importante

Pode ser necessário reiniciar as suas instâncias para aplicar estas alterações.

Se estiver a usar o grupo de parâmetros por defeito, o Defender para a Cloud cria um novo grupo de parâmetros com as alterações necessárias e o prefixo defenderfordatabases*.

Se criares um novo grupo de parâmetros ou atualizares parâmetros estáticos, as alterações só entram em vigor quando reiniciares a instância.

Nota

  • Se já existir um grupo de parâmetros, o Defender para a Cloud atualiza-o.

  • MARIADB_AUDIT_PLUGIN é suportado no MariaDB 10.2 e posteriores, no MySQL 8.0.25 e posteriores, e em todas as versões do MySQL 5.7.

  • As alterações que o Defender para a Cloud faz nas MARIADB_AUDIT_PLUGIN instâncias do MySQL são aplicadas durante a próxima janela de manutenção. Para mais informações, veja MARIADB_AUDIT_PLUGIN para instâncias MySQL.

Desativar o plano

Para desativar o Defender para bases de dados relacionais de código aberto no AWS RDS:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecioneMicrosoft Defender para Cloud>Definições de Ambiente.

  3. Selecione a conta do AWS relevante.

  4. Localize o plano de Bases de Dados e selecione Definições.

  5. Altere as bases de dados relacionais de código aberto para Desativado.

  6. Selecione Guardar.

Conteúdos relacionados

Próximo passo

Responder a alertas da base de dados open-source do Defender

  • Last updated on