Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per il cloud rileva le attività anomale nell'ambiente di AWS che indicano tentativi di accesso o exploit dei database insoliti e potenzialmente dannosi per i tipi di istanza di Relational Database Service seguenti:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Per ricevere avvisi dal piano di Microsoft Defender, è necessario seguire le istruzioni riportate in questa pagina per abilitare Defender per i database relazionali open source in AWS.
Il piano Defender per database relazionali open source in AWS include anche la possibilità di individuare i dati sensibili all'interno dell'account e arricchire l'esperienza di Defender per il cloud con i risultati. Questa funzionalità è inclusa anche in Defender Cloud Security Posture Management (CSPM).
Altre informazioni su questo piano di Microsoft Defender sono disponibili in Panoramica di Microsoft Defender per database relazionali open source.
Prerequisiti
È necessaria una sottoscrizione di Microsoft Azure. Se non si dispone di una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
Almeno un account AWS connesso con l'accesso e le autorizzazioni necessarie.
Disponibilità dell'area: tutte le aree AWS pubbliche (escluse Tel Aviv, Milano, Jakarta, Spagna e Bahrein).
Abilitare Defender per database relazionali open source
Accedere al portale di Azure
Cercare e selezionare Microsoft Defender per il cloud.
Selezionare Impostazioni ambiente.
Selezionare l'account AWS pertinente.
Individuare il piano Database e selezionare Impostazioni.
Attivare o disattivare i database relazionali open source selezionando o deselezionando l'opzione Attivato.
Note
L'attivazione o la disattivazione dei database relazionali open source consente anche di attivare o disattivare l'individuazione dei dati sensibili, ovvero una funzionalità condivisa con l'individuazione dei dati sensibili di Defender CSPM per Relational Database Service.
Altre informazioni sull'individuazione dei dati sensibili nelle istanze di AWS Relational Database Service (RDS).
Selezionare Configura accesso.
Nella sezione Metodo di distribuzione selezionare Scarica.
Seguire lo stack di aggiornamento nelle istruzioni di AWS. Questo processo crea o aggiorna il modello CloudFormation con le autorizzazioni necessarie.
Selezionare la casella che conferma che il modello CloudFormation è stato aggiornato nell'ambiente di AWS (Stack).
Selezionare Rivedi e genera.
Esaminare le informazioni presentate e selezionare Aggiorna.
Defender for Cloud modifica automaticamente i parametri e le impostazioni del gruppo di opzioni.
Autorizzazioni necessarie per il ruolo DefenderForCloud-DataThreatProtectionDB
La tabella seguente elenca le autorizzazioni necessarie per il ruolo creato o aggiornato quando è stato scaricato il modello CloudFormation e aggiornato aws Stack.
| Autorizzazione aggiunta | Descrizione |
|---|---|
| rds:AddTagsToResource | Per aggiungere tag al gruppo di opzioni e al gruppo di parametri creato |
| rds:DescribeDBClusterParameters | Descrive i parametri all'interno del gruppo di cluster |
| rds:CreateDBParameterGroup | Crea un gruppo di parametri di database |
| rds:ModifyOptionGroup | Modifica di opzioni all'interno del gruppo di opzioni |
| rds:DescribeDBLogFiles | Descrive il file di log |
| rds:DescribeDBParameterGroups | Descrive il gruppo di parametri del database |
| rds:CreateOptionGroup | Crea un gruppo di opzioni |
| rds:ModifyDBParameterGroup | Modifica un parametro all'interno del gruppo di parametri dei database |
| rds:DownloadDBLogFilePortion | Scarica il file di log |
| rds:DescribeDBInstances | Descrive il database |
| rds:ModifyDBClusterParameterGroup | Modifica un parametro del cluster all'interno del gruppo di parametri del cluster |
| rds:ModifyDBInstance | Modificare i database per assegnare un gruppo di parametri o un gruppo di opzioni, se necessario |
| rds:ModifyDBCluster | Modifica il cluster per assegnare un gruppo di parametri del cluster, se necessario |
| rds:DescribeDBParameters | Descrive i parametri all'interno del gruppo di database |
| rds:CreateDBClusterParameterGroup | Crea un gruppo di parametri del cluster |
| rds:DescribeDBClusters | Descrive il cluster |
| rds:DescribeDBClusterParameterGroups | Descrive il gruppo di parametri del cluster |
| rds:DescribeOptionGroups | Descrive il gruppo di opzioni |
Impostazioni dei parametri e dei gruppi di opzioni interessati
Quando si abilita Defender per database relazionali open source nelle istanze di Relational Database Service, Defender per il cloud abilita automaticamente il controllo usando i log di controllo per poter utilizzare e analizzare i criteri di accesso al database.
Ogni sistema o tipo di servizio di gestione di database relazionali ha le proprie configurazioni. La tabella seguente descrive le configurazioni interessate da Defender for Cloud (non è necessario impostare manualmente queste configurazioni, che viene fornito come riferimento).
| Type | Parametro | valore |
|---|---|---|
| PostgreSQL e Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL e Aurora PostgreSQL | log_disconnections | 1 |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_logging | 1 |
| Gruppo di parametri del cluster Aurora MySQL | eventi_di_controllo_del_server | - Se esiste, espandere il valore per includere CONNECT, QUERY, - Se non esiste, aggiungerlo con il valore CONNECT, QUERY. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_excl_users | Se esiste, espanderlo per includere rdsadmin. |
| Gruppo di parametri del cluster Aurora MySQL | server_audit_incl_users | - Se esiste con un valore e rdsadmin è incluso, allora non è presente in SERVER_AUDIT_EXCL_USER e il valore di include è vuoto. |
Per MySQL e MariaDB è necessario un gruppo di opzioni con le opzioni seguenti per il MARIADB_AUDIT_PLUGIN. Se l'opzione non esiste, aggiungere l'opzione. Se l'opzione esiste, espandere i valori nell'opzione:
| Nome opzione | valore |
|---|---|
| SERVER_AUDIT_EVENTS | Se esiste, espandere il valore per includere CONNECT Se non esiste, aggiungerlo con il valore CONNECT. |
| SERVER_AUDIT_EXCL_USER | Se esiste, espanderlo per includere rdsadmin. |
| SERVER_AUDIT_INCL_USERS | Se esiste con un valore e rdsadmin fa parte dell'oggetto incluso, non è presente in SERVER_AUDIT_EXCL_USER e il valore di include è vuoto. |
Importante
Potrebbe essere necessario riavviare le istanze per applicare le modifiche.
Se si usa il gruppo di parametri predefinito, viene creato un nuovo gruppo di parametri che include le modifiche necessarie al parametro con il prefisso defenderfordatabases*.
Se si crea un nuovo gruppo di parametri o si aggiornano i parametri statici, non diventano effettivi fino al riavvio dell'istanza.
Note
Se esiste già un gruppo di parametri, viene aggiornato di conseguenza.
MARIADB_AUDIT_PLUGIN è supportato in MariaDB 10.2 e versioni successive, MySQL 8.0.25 e versioni successive 8.0 e tutte le versioni di MySQL 5.7.
Le modifiche apportate a MARIADB_AUDIT_PLUGIN per le istanze di MySQL verranno aggiunte alla finestra di manutenzione successiva.
Contenuti correlati
- Elementi supportati nell'individuazione dei dati sensibili
- Individuazione dei dati sensibili nelle istanze di AWS RDS