Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Defender para a Cloud pode recolher eventos de gestão AWS CloudTrail para aumentar a visibilidade das operações de identidade, alterações de permissões e outras atividades no plano de controlo nos seus ambientes AWS.
A ingestão do CloudTrail adiciona sinais baseados em atividade às capacidades CIEM do Defender para a Cloud, permitindo que a análise de risco de identidade e permissões se baseie não só em direitos de identidade configurados, mas também no uso observado.
A ingestão do CloudTrail melhora a Gestão de Direitos da Infraestrutura Cloud (CIEM) ao ajudar a identificar permissões não utilizadas, funções mal configuradas, identidades dormentes e potenciais caminhos de escalonamento de privilégios. Também fornece contexto de atividade que reforça a deteção de desvios de configuração, recomendações de segurança e análise do caminho de ataque.
A ingestão do CloudTrail está disponível para contas AWS individuais e organizações AWS que utilizam registo centralizado.
Pré-requisitos
Antes de ativar a ingestão do CloudTrail, certifique-se de que a sua conta AWS tem:
Plano GPSC do Defender ativado na subscrição do Azure. Veja Ativar o plano GPSC do Defender.
Permissão para aceder ao AWS CloudTrail.
Acesso ao bucket Amazon S3 que armazena ficheiros de registo do CloudTrail.
Acesso às notificações da fila Amazon SQS associadas a esse bucket.
Acesso às chaves AWS KMS se os registos CloudTrail estiverem encriptados. Consulte Encriptação de ficheiros de registo CloudTrail com AWS KMS.
Permissões para criar ou modificar trilhos do CloudTrail e recursos necessários para provisionar um novo trilho.
CloudTrail configurado para registar eventos de gestão. Consulte Registar eventos de gestão com o CloudTrail.
Observação
Utilizadores do Microsoft Sentinel: Se já transmite registos AWS CloudTrail para o Microsoft Sentinel, ativar a ingestão do CloudTrail no Defender para a Cloud pode exigir atualizações na configuração do Sentinel. Revise o fluxo de trabalho de ingestão do CloudTrail para evitar conflitos de ingestão, seguindo o Ligue uma conta AWS ligada ao Sentinel ao Defender para a Cloud.
Configurar a ingestão do CloudTrail
Para permitir a ingestão do CloudTrail para o seu conector AWS, execute os seguintes passos:
Inicie sessão no portal Azure.
Vá para Configurações do Microsoft Defender para a Cloud>Environment.
Selecione o conector AWS relevante.
Em Monitorizar cobertura, abra Definições.
Ativar a ingestão do AWS CloudTrail (Versão de Pré-visualização). Isto adiciona opções de configuração do CloudTrail ao fluxo de trabalho de configuração.
Escolha se quer integrar com um trilho CloudTrail existente ou criar um novo:
Selecionar Fornecer manualmente detalhes do trilho para usar um trilho CloudTrail existente.
- Forneça o ARN do bucket Amazon S3 e o ARN da fila SQS associados ao trail existente.
- Se solicitado, implemente ou atualize a pilha CloudFormation fornecida pelo Defender para a Cloud.
Observação
Quando seleciona uma trilha existente, o Defender para a Cloud realiza uma recolha única de até 90 dias de eventos históricos de gestão de CloudTrail. Se a ingestão do CloudTrail for desativada, os dados históricos recolhidos durante este processo são removidos. Reativar a ingestão do CloudTrail desencadeia uma nova recolha de dados históricos.
Selecione Criar um novo AWS CloudTrail para provisionar um novo trilho.
- Implemente o modelo CloudFormation ou Terraform fornecido pelo Defender para a Cloud quando solicitado.
- Após a implementação concluída, localize o ARN da fila SQS na consola AWS.
- Volte ao Defender para o Cloud e introduza o SQS ARN no campo SQS ARN.
Como o Defender para a Cloud utiliza os dados do CloudTrail
Depois de completar a configuração:
- Registos de eventos de gestão do AWS CloudTrail na sua conta AWS.
- Os ficheiros de registo são gravados num bucket Amazon S3.
- A Amazon SQS envia notificações quando novos registos estão disponíveis.
- O Defender para a Cloud consulta a fila SQS para recuperar as referências aos ficheiros de log.
- O Defender para a Cloud processa a telemetria de registo e enriquece os insights de CIEM e de postura.
Pode personalizar os seletores de eventos do CloudTrail para alterar quais os eventos de gestão capturados.
Validar a ingestão do CloudTrail
Para confirmar que a telemetria do CloudTrail está a fluir para o Defender para a Cloud:
- Verifique se o bucket S3 concede permissão ao Defender para a Cloud para ler ficheiros de log.
- Garanta que as notificações SQS estão configuradas para novas entregas de registos.
- Confirme que os papéis IAM permitem acesso a artefactos e objetos encriptados do CloudTrail.
- Revise as recomendações do Defender para Cloud e perceções sobre a identidade após a configuração.
Os sinais podem demorar algum tempo a aparecer, dependendo da frequência de entrega do CloudTrail e do volume do evento.