Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Amazon Web Services es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas de usar la infraestructura en la nube, es posible que los recursos más críticos de la organización se expongan a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, puertos y redes privadas virtuales más críticas que permiten el acceso a su organización.
La conexión de AWS a Defender for Cloud Apps le ayuda a proteger sus recursos y detectar posibles amenazas mediante la supervisión de actividades administrativas y de inicio de sesión, la notificación de posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios, eliminaciones inusuales de máquinas virtuales (VM) y cubos de almacenamiento expuestos públicamente.
Principales amenazas
La conexión de AWS a Defender for Cloud Apps le ayuda a detectar y responder a las siguientes amenazas:
- Abuso de recursos en la nube
- Cuentas en peligro y amenazas internas
- Pérdida de datos
- Configuración incorrecta de recursos y control de acceso insuficiente
Cómo Defender for Cloud Apps ayuda a proteger el entorno
Defender for Cloud Apps ayuda a proteger su entorno de AWS de las siguientes maneras:
- Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
- Limitar la exposición de los datos compartidos y aplicar directivas de colaboración
- Utilice el registro de auditoría de actividades para realizar investigaciones forenses
Control de AWS con directivas integradas y plantillas de directiva
Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle sobre posibles amenazas:
Important
Las directivas de archivos dejarán de estar disponibles el 6 de enero de 2027. Para mantener la protección de datos basada en archivos para esta aplicación, cambie a DLP de Microsoft Purview o a las directivas de etiquetado automático.
| Tipo | Nombre |
|---|---|
| Plantilla de política de actividad | Errores de inicio de sesión en la consola de administración Cambios en la configuración de la instancia ec2 Cambios en la directiva de IAM Inicio de sesión desde una dirección IP de riesgo Cambios en la lista de control de acceso de red (ACL) Cambios en la puerta de enlace de red Actividad del cubo S3 Cambios en la configuración del grupo de seguridad Cambios en la red privada virtual |
| Directiva de detección de anomalías integrada |
Actividad desde direcciones IP anónimas Actividad de un país poco frecuente Actividad de direcciones IP sospechosas Desplazamiento imposible Actividad realizada por el usuario terminado (requiere Microsoft Entra ID como IdP) Intentos de varios inicios de sesión fallidos Actividades administrativas inusuales |
| Plantilla de directiva de archivo | El bucket de S3 es accesible públicamente |
Para obtener más información sobre cómo crear directivas, vea Crear una directiva.
Automatización de controles de gobernanza
Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de AWS para corregir las amenazas detectadas:
| Tipo | Acción |
|---|---|
| Gobernanza del usuario | - Notificar al usuario en alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender usuario (a través de Microsoft Entra ID) |
| Gobierno de datos | - Convertir un cubo de S3 en privado - Eliminar un colaborador de un cubo de S3 |
Para obtener más información sobre cómo corregir las amenazas de las aplicaciones, consulte Administración de aplicaciones conectadas.
Protección de AWS en tiempo real
Revise nuestros procedimientos recomendados para bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.
Conexión de Amazon Web Services a Microsoft Defender for Cloud Apps
Use las API del conector para conectar su cuenta de Amazon Web Services (AWS) existente a Microsoft Defender for Cloud Apps. Para obtener información sobre cómo Defender for Cloud Apps protege AWS, consulte Protección de AWS.
Puede conectar la auditoría de seguridad de AWS a conexiones Defender for Cloud Apps para obtener visibilidad y control sobre el uso de aplicaciones de AWS.
Paso 1: Configuración de la auditoría de Amazon Web Services
Para configurar la auditoría de AWS para Defender for Cloud Apps, realice los pasos siguientes:
Inicio de sesión en la consola de Amazon Web Services
Agregue un nuevo usuario para Defender for Cloud Apps y conceda acceso mediante programación al usuario.
Seleccione Crear directiva y escriba un nombre para la nueva directiva.
Seleccione la pestaña JSON y pegue el siguiente script:
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }Seleccione Descargar .csv para guardar una copia de las credenciales del nuevo usuario. Los necesitarás más tarde.
Nota:
Después de conectar con AWS, recibirá eventos de los siete días anteriores a la conexión. Si acaba de habilitar CloudTrail, recibirá eventos desde el momento en que ha habilitado CloudTrail.
Paso 2: Conexión de la auditoría de Amazon Web Services a Defender for Cloud Apps
Para conectar la auditoría de AWS a Defender for Cloud Apps, complete los pasos siguientes:
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.
En la página Conectores de aplicaciones, para proporcionar las credenciales del conector de AWS, realice una de las siguientes acciones:
Para un nuevo conector
Seleccione +Conectar una aplicación, seguida de Amazon Web Services.
En la ventana siguiente, proporcione un nombre para el conector y, a continuación, seleccione Siguiente.
En la página Conectar Amazon Web Services , seleccione Auditoría de seguridad y, a continuación, seleccione Siguiente.
En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.
Para un conector existente
En la lista de conectores, en la fila en la que aparece el conector de AWS, seleccione Editar configuración.
En las páginas Nombre de instancia y Conectar Amazon Web Services , seleccione Siguiente. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicaciones conectado es Conectado.