Cómo Defender for Cloud Apps ayuda a proteger el entorno de Amazon Web Services (AWS)

Amazon Web Services es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas de usar la infraestructura en la nube, es posible que los recursos más críticos de la organización se expongan a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, puertos y redes privadas virtuales más críticas que permiten el acceso a su organización.

La conexión de AWS a Defender for Cloud Apps le ayuda a proteger sus recursos y detectar posibles amenazas mediante la supervisión de actividades administrativas y de inicio de sesión, la notificación de posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios, eliminaciones inusuales de máquinas virtuales (VM) y cubos de almacenamiento expuestos públicamente.

Principales amenazas

La conexión de AWS a Defender for Cloud Apps le ayuda a detectar y responder a las siguientes amenazas:

  • Abuso de recursos en la nube
  • Cuentas en peligro y amenazas internas
  • Pérdida de datos
  • Configuración incorrecta de recursos y control de acceso insuficiente

Cómo Defender for Cloud Apps ayuda a proteger el entorno

Defender for Cloud Apps ayuda a proteger su entorno de AWS de las siguientes maneras:

Control de AWS con directivas integradas y plantillas de directiva

Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle sobre posibles amenazas:

Important

Las directivas de archivos dejarán de estar disponibles el 6 de enero de 2027. Para mantener la protección de datos basada en archivos para esta aplicación, cambie a DLP de Microsoft Purview o a las directivas de etiquetado automático.

Tipo Nombre
Plantilla de política de actividad Errores de inicio de sesión en la consola de administración
Cambios en la configuración de la instancia ec2
Cambios en la directiva de IAM
Inicio de sesión desde una dirección IP de riesgo
Cambios en la lista de control de acceso de red (ACL)
Cambios en la puerta de enlace de red
Actividad del cubo S3
Cambios en la configuración del grupo de seguridad
Cambios en la red privada virtual
Directiva de detección de anomalías integrada Actividad desde direcciones IP anónimas
Actividad de un país poco frecuente
Actividad de direcciones IP sospechosas
Desplazamiento imposible
Actividad realizada por el usuario terminado (requiere Microsoft Entra ID como IdP)
Intentos de varios inicios de sesión fallidos
Actividades administrativas inusuales
Plantilla de directiva de archivo El bucket de S3 es accesible públicamente

Para obtener más información sobre cómo crear directivas, vea Crear una directiva.

Automatización de controles de gobernanza

Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de AWS para corregir las amenazas detectadas:

Tipo Acción
Gobernanza del usuario - Notificar al usuario en alerta (a través de Microsoft Entra ID)
- Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID)
- Suspender usuario (a través de Microsoft Entra ID)
Gobierno de datos - Convertir un cubo de S3 en privado
- Eliminar un colaborador de un cubo de S3

Para obtener más información sobre cómo corregir las amenazas de las aplicaciones, consulte Administración de aplicaciones conectadas.

Protección de AWS en tiempo real

Revise nuestros procedimientos recomendados para bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.

Conexión de Amazon Web Services a Microsoft Defender for Cloud Apps

Use las API del conector para conectar su cuenta de Amazon Web Services (AWS) existente a Microsoft Defender for Cloud Apps. Para obtener información sobre cómo Defender for Cloud Apps protege AWS, consulte Protección de AWS.

Puede conectar la auditoría de seguridad de AWS a conexiones Defender for Cloud Apps para obtener visibilidad y control sobre el uso de aplicaciones de AWS.

Paso 1: Configuración de la auditoría de Amazon Web Services

Para configurar la auditoría de AWS para Defender for Cloud Apps, realice los pasos siguientes:

  1. Inicio de sesión en la consola de Amazon Web Services

  2. Agregue un nuevo usuario para Defender for Cloud Apps y conceda acceso mediante programación al usuario.

  3. Seleccione Crear directiva y escriba un nombre para la nueva directiva.

  4. Seleccione la pestaña JSON y pegue el siguiente script:

    {
      "Version" : "2012-10-17",
      "Statement" : [{
          "Action" : [
            "cloudtrail:DescribeTrails",
            "cloudtrail:LookupEvents",
            "cloudtrail:GetTrailStatus",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "iam:List*",
            "iam:Get*",
            "s3:ListAllMyBuckets",
            "s3:PutBucketAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
          ],
          "Effect" : "Allow",
          "Resource" : "*"
        }
      ]
     }
    
  5. Seleccione Descargar .csv para guardar una copia de las credenciales del nuevo usuario. Los necesitarás más tarde.

    Nota:

    Después de conectar con AWS, recibirá eventos de los siete días anteriores a la conexión. Si acaba de habilitar CloudTrail, recibirá eventos desde el momento en que ha habilitado CloudTrail.

Paso 2: Conexión de la auditoría de Amazon Web Services a Defender for Cloud Apps

Para conectar la auditoría de AWS a Defender for Cloud Apps, complete los pasos siguientes:

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.

  2. En la página Conectores de aplicaciones, para proporcionar las credenciales del conector de AWS, realice una de las siguientes acciones:

Para un nuevo conector

  1. Seleccione +Conectar una aplicación, seguida de Amazon Web Services.

    Captura de pantalla que muestra dónde encontrar el botón +Conectar una aplicación en el portal de Microsoft Defender.

  2. En la ventana siguiente, proporcione un nombre para el conector y, a continuación, seleccione Siguiente.

    Captura de pantalla que muestra cómo agregar el nombre de instancia para el nuevo conector de AWS.

  3. En la página Conectar Amazon Web Services , seleccione Auditoría de seguridad y, a continuación, seleccione Siguiente.

  4. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.

    Captura de pantalla que muestra la página de auditoría de seguridad de aplicaciones de AWS y dónde escribir la clave de acceso y la clave secreta.

Para un conector existente

  1. En la lista de conectores, en la fila en la que aparece el conector de AWS, seleccione Editar configuración.

  2. En las páginas Nombre de instancia y Conectar Amazon Web Services , seleccione Siguiente. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.

    Captura de pantalla que muestra la página de auditoría de seguridad de aplicaciones de AWS y dónde escribir la clave de acceso y la clave secreta.

  3. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicaciones conectado es Conectado.

Pasos siguientes