클라우드용 Microsoft Defender는 다음 RDS 인스턴스 형식에 대한 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 작업을 AWS 환경에서 검색합니다.
- Aurora PostgreSQL
- 오로라 MySQL
- PostgreSQL
- MySQL
- MariaDB
Microsoft Defender 플랜에서 경고를 가져오려면 이 페이지의 지침에 따라 AWS에서 오픈 소스 관계형 데이터베이스용 Defender를 사용하도록 설정해야 합니다.
AWS의 오픈 소스 관계형 데이터베이스용 Defender 플랜에는 계정 내에서 중요한 데이터를 발견하고 결과를 통해 클라우드용 Defender 환경을 보강하는 기능도 포함되어 있습니다. 이 기능은 Defender CSPM(Cloud Security Posture Management)에도 포함되어 있습니다.
오픈 소스 관계형 데이터베이스용 Microsoft Defender 개요에서 이 Microsoft Defender 계획에 대해 자세히 알아봅니다.
필수 구성 요소
Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
필요한 액세스 권한이 있는 AWS 계정이 하나 이상 연결되어 있습니다.
지역 가용성: 모든 공용 AWS 지역(텔아비브, 밀라노, 자카르타, 스페인 및 바레인 제외).
오픈 소스 관계형 데이터베이스용 Defender 사용
Azure Portal에 로그인
클라우드용 Microsoft Defender를 검색하여 선택합니다.
환경 설정을 선택합니다.
관련 AWS 계정을 선택합니다.
데이터베이스 계획을 찾아 설정을 선택합니다.
오픈 소스 관계 데이터베이스를 켜기로 전환합니다.
참고
오픈 소스 관계형 데이터베이스를 켜기로 전환하면 민감한 데이터 검색도 켜지며, 이는 RDS(관계형 데이터베이스 서비스)를 위한 Defender CSPM의 민감한 데이터 검색과 공유되는 기능입니다.
AWS RDS 인스턴스의 중요한 데이터 검색에 대해 자세히 알아봅니다.
액세스 구성을 선택합니다.
배포 방법 섹션에서 다운로드를 선택합니다.
AWS 지침의 업데이트 스택을 따릅니다. 이 프로세스는 필요한 권한으로 CloudFormation 템플릿을 만들거나 업데이트합니다.
CloudFormation 템플릿이 AWS 환경(스택)에서 업데이트되었음을 확인하는 확인란을 선택합니다.
검토 및 생성을 선택합니다.
제시된 정보를 검토하고 업데이트를 선택합니다.
Defender for Cloud는 매개 변수 및 옵션 그룹 설정을 자동으로 변경합니다.
DefenderForCloud-DataThreatProtectionDB 역할에 필요한 권한
다음 표에서는 CloudFormation 템플릿을 다운로드하고 AWS Stack을 업데이트할 때 생성되거나 업데이트된 역할에 필요한 권한을 나열합니다.
| 권한이 추가됨 | 설명 |
|---|---|
| rds:AddTagsToResource | 만들어진 옵션 그룹과 매개 변수 그룹에 태그를 추가하려면 |
| rds:DescribeDB클러스터매개변수 | 클러스터 그룹 내부의 매개 변수 설명 |
| rds:CreateDBParameterGroup | 데이터베이스 매개 변수 그룹 만들기 |
| rds:ModifyOptionGroup | 옵션 그룹 내에서 옵션 수정 |
| rds:DescribeDBLogFiles | 로그 파일 설명 |
| rds:DescribeDBParameterGroups | 데이터베이스 매개 변수 그룹 설명 |
| rds:CreateOptionGroup | 옵션 그룹 만들기 |
| rds:ModifyDBParameterGroup | 데이터베이스 매개 변수 그룹 내의 매개 변수 수정 |
| rds:DownloadDBLogFilePortion (데이터베이스 로그 파일 부분 다운로드) | 로그 파일 다운로드 |
| rds:DescribeDBInstances | 데이터베이스 설명 |
| rds:ModifyDBClusterParameterGroup | 클러스터 매개 변수 그룹 내의 클러스터 매개 변수 수정 |
| rds:ModifyDBInstance | 필요한 경우 매개 변수 그룹 또는 옵션 그룹을 할당하도록 데이터베이스 수정 |
| rds:DB클러스터수정 | 필요한 경우 클러스터를 수정하여 클러스터 매개 변수 그룹 할당 |
| rds:DescribeDBParameters | 데이터베이스 그룹 내부의 매개 변수 설명 |
| rds:CreateDBClusterParameterGroup | 클러스터 매개 변수 그룹 만들기 |
| rds:DescribeDBClusters | 클러스터 설명 |
| rds:DescribeDBClusterParameterGroups | 클러스터 매개 변수 그룹 설명 |
| rds:DescribeOptionGroups | 옵션 그룹 설명 |
영향을 받는 매개 변수 및 옵션 그룹 설정
RDS 인스턴스에서 오픈 소스 관계형 데이터베이스용 Defender를 사용하도록 설정하면 클라우드용 Defender는 데이터베이스에 대한 액세스 패턴을 사용하고 분석할 수 있도록 감사 로그를 사용하여 자동으로 감사를 사용하도록 설정합니다.
각 관계형 데이터베이스 관리 시스템 또는 서비스 형식에는 고유한 구성이 있습니다. 다음 표에서는 Defender for Cloud의 영향을 받는 구성에 대해 설명합니다(이러한 구성을 수동으로 설정할 필요는 없으며 참조로 제공됩니다).
| Type | 매개 변수 | 값 |
|---|---|---|
| PostgreSQL 및 Aurora PostgreSQL | log_connections | 1 |
| PostgreSQL 및 Aurora PostgreSQL | log_disconnections | 1 |
| Aurora MySQL 클러스터 매개 변수 그룹 | 서버 감사 로깅 | 1 |
| Aurora MySQL 클러스터 매개 변수 그룹 | 서버 감사 이벤트 | - 존재하는 경우 CONNECT, QUERY를 포함하도록 값 확장 - 존재하지 않는 경우 CONNECT, QUERY 값으로 추가 |
| Aurora MySQL 클러스터 매개 변수 그룹 | server_audit_excl_users | 존재하는 경우 rdsadmin을 포함하도록 확장합니다. |
| Aurora MySQL 클러스터 매개 변수 그룹 | server_audit_incl_users | - 값이 있고 rdsadmin이 포함의 일부로 존재하는 경우 SERVER_AUDIT_EXCL_USER에 존재하지 않으며 포함 값은 비어 있습니다. |
MARIADB_AUDIT_PLUGIN에 대한 다음 옵션이 포함된 옵션 그룹이 MySQL 및 MariaDB에 필요합니다(옵션이 없으면 옵션을 추가하고, 옵션이 있으면 옵션의 값 확장).
| 옵션 이름 | 값 |
|---|---|
| SERVER_AUDIT_EVENTS | 존재하는 경우 CONNECT를 포함하도록 값 확장 존재하지 않는 경우 CONNECT 값으로 추가합니다. |
| SERVER_AUDIT_EXCL_USER | 존재하는 경우 rdsadmin을 포함하도록 확장합니다. |
| SERVER_AUDIT_INCL_USERS | 값이 있고 rdsadmin이 포함된 경우 SERVER_AUDIT_EXCL_USER에 존재하지 않으며 포함 값은 비어 있습니다. |
중요합니다
변경 내용을 적용하려면 인스턴스를 다시 부팅해야 할 수도 있습니다.
기본 매개 변수 그룹을 사용하는 경우 접두사를 defenderfordatabases*사용하여 필요한 매개 변수 변경 내용을 포함하는 새 매개 변수 그룹이 만들어집니다.
새 매개 변수 그룹을 만들거나 정적 매개 변수를 업데이트하는 경우 인스턴스를 다시 부팅할 때까지 적용되지 않습니다.
참고
매개 변수 그룹이 이미 있는 경우 그에 따라 업데이트됩니다.
MARIADB_AUDIT_PLUGIN은 MariaDB 10.2 이상, MySQL 8.0.25 이상 8.0 버전 및 모든 MySQL 5.7 버전에서 지원됩니다.
MySQL 인스턴스에 대한 MARIADB_AUDIT_PLUGIN 변경 내용은 다음 유지 관리 기간에 추가됩니다.