Connettere gli account AWS a Microsoft Defender per il cloud

Microsoft Defender per il cloud consente di proteggere i carichi di lavoro in esecuzione in Amazon Web Services (AWS). Per valutare le risorse AWS e ottenere raccomandazioni sulla sicurezza, è necessario connettere l'account AWS a Defender per il cloud. Il connettore raccoglie segnali di configurazione e sicurezza dai servizi AWS. Usando queste informazioni, Defender per il cloud può analizzare il comportamento, generare raccomandazioni e visualizzare avvisi.

Per altre informazioni, guardare il video Nuovo connettore AWS in Defender per il cloud della serie di video Defender per il cloud in the Field.

Importante

Se l'account AWS è già connesso a Microsoft Sentinel, potrebbe essere necessario eseguire una configurazione aggiuntiva durante la connessione a Defender per il cloud. Questa configurazione aggiuntiva impedisce problemi di distribuzione o inserimento. Per altre informazioni, vedere Connettere un account AWS connesso di Sentinel a Defender per il cloud.

Architettura di autenticazione

Quando si connette un account AWS, Microsoft Defender per il cloud esegue l'autenticazione a AWS usando credenziali federate di trust e di breve durata, senza archiviare segreti di lunga durata.

Altre informazioni su come viene stabilita l'autenticazione tra Microsoft Entra ID e AWS, inclusi i ruoli IAM e le relazioni di trust creati durante l'onboarding.

Prerequisiti

Prima di connettere l'account AWS, assicurarsi di avere:

Sottoscrizione Microsoft Azure. Se non ne hai uno, iscriviti per ottenere una sottoscrizione gratuita.
Microsoft Defender per il cloud abilitato nell'abbonamento.
Accesso a un account AWS.
Autorizzazione per creare risorse in Azure (Collaboratore o versione successiva).

Quando si abilitano piani di Defender specifici, si applicano requisiti aggiuntivi. Esaminare i requisiti del piano del connettore nativo.

Nota

Il connettore AWS non è disponibile nei cloud nazionali per enti pubblici (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet).

Requisiti del piano del connettore nativo

Ogni piano di Defender ha requisiti di configurazione specifici.

Almeno un cluster Amazon EKS con accesso al server API Kubernetes. Se non ne possiedi uno, crea un nuovo cluster EKS.
Capacità di creare una coda Amazon SQS, un flusso di recapito Amazon Kinesis Data Firehose e un bucket Amazon S3 nella stessa regione del cluster.

Microsoft Defender per Server abilitato nella sottoscrizione.
Un account AWS attivo con istanze EC2.
Azure Arc per i server installati nelle istanze EC2. Il provisioning automatico è consigliato e richiede il ruolo Owner nella sottoscrizione Azure.
Assicurarsi di soddisfare i requisiti di network per Azure Arc.
AWS SSM Agent installato con la policy AmazonSSMManagedInstanceCore. Se non è preinstallato, installarlo per Windows o Linux.

Nota

Se l'agente SSM è mancante o rimosso, il provisioning automatico di Arc non può continuare.
Il modello CloudFormation di onboarding crea anche un'analisi di automazione di 30 giorni che verifica che ogni istanza ec2 abbia il profilo IAM richiesto.

Le estensioni seguenti abilitate nei computer connessi ad Arc:
- Microsoft Defender per endpoint
- Un soluzione di valutazione della vulnerabilità (TVM o Qualys)

Nota

L'agente Log Analytics è stato ritirato in agosto 2024. Funzionalità che dipendono da esso stanno migrando a Defender per l'endpoint o a analisi senza agente.
Altre informazioni sulle modifiche future.

Defender per server assegna tag di risorsa (AccountId, Cloud, InstanceId, MDFCSecurityConnector) per gestire il processo di provisioning automatico.

Nota

I rispettivi server Azure Arc per le istanze EC2 o le macchine virtuali GCP che non esistono più (e i rispettivi server Azure Arc con stato Disconnesso o Scaduto) vengono rimossi dopo sette giorni. Questa pulizia garantisce che solo i server con abilitazione di Arc attivi continuino a essere visualizzati in Defender per il cloud.

Connettere l'account AWS

Accedere al portale Azure.
Passare a Defender per il cloud>Impostazioni ambiente.
Selezionare Aggiungi ambiente>Amazon Web Services.
Immettere i dettagli dell'account AWS, inclusa l'area Azure in cui verrà creata la risorsa connettore.

Usare l'elenco a discesa regioni AWS per selezionare le regioni che Defender per il cloud monitora. Le aree deselezionate non ricevono chiamate API da Defender per il cloud.

Selezionare un intervallo di analisi (4, 6, 12 o 24 ore).

Questa selezione definisce l'intervallo standard per la maggior parte dei controlli della postura. Alcuni strumenti di raccolta dati con intervalli fissi si attivano più spesso, indipendentemente da questa impostazione.

Intervallo di scansione	Agenti di raccolta dati
1 ora	EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
12 ore	EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

Intervallo di scansione

Agenti di raccolta dati

1 ora

EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup

12 ore

EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

Selezionare Avanti: Selezionare piani e scegliere i piani Defender da abilitare.

Esaminare le selezioni predefinite del piano, perché alcuni piani potrebbero essere abilitati automaticamente a seconda della configurazione. Ad esempio, il piano Databases estende Defender per SQL ad AWS EC2, RDS Custom per SQL Server e ai database relazionali open-source su RDS.

Ogni piano potrebbe comportare addebiti. Altre informazioni sui prezzi Defender per il cloud.

Importante

Per presentare raccomandazioni up-to-date, Defender CSPM esegue query sulle API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano costi AWS. Tuttavia, se si abilita la registrazione degli eventi di lettura, CloudTrail potrebbe registrarli. L'esportazione di questi dati in sistemi SIEM esterni potrebbe aumentare i costi di inserimento. Se necessario, filtrare le chiamate di sola lettura da:

arn:aws:iam::<accountId>:role/CspmMonitorAws
Selezionare Configura accesso e scegliere:
- Accesso predefinito: concede le autorizzazioni necessarie per le funzionalità correnti e future.
- Accesso con privilegi minimi: concede solo le autorizzazioni necessarie oggi. È possibile ricevere notifiche se è necessario un accesso aggiuntivo in un secondo momento.
Selezionare un metodo di distribuzione:
- AWS CloudFormation
- Terraform.
Nota

Quando si esegue l'onboarding di un account management, Defender per il cloud usa StackSet AWS e crea automaticamente connettori per gli account figlio. Il provisioning automatico è abilitato per gli account appena individuati.

Nota

Se si seleziona Account di gestione per creare un connettore a un account di gestione, la scheda per l'onboarding tramite Terraform non è visibile nell'interfaccia utente. L'onboarding di Terraform è ancora supportato. Per ulteriori informazioni, consulta Onboarding dell'ambiente AWS/GCP per Microsoft Defender per il cloud con Terraform.
Seguire le istruzioni visualizzate per distribuire il modello CloudFormation. Se si seleziona Terraform, seguire le istruzioni di distribuzione equivalenti fornite nel portale.
Selezionare Avanti: Esamina e genera.
Selezionare Crea.

Defender per il cloud avvia l'analisi delle risorse AWS. Le raccomandazioni sulla sicurezza vengono visualizzate entro poche ore. Dopo l'onboarding, è possibile monitorare il comportamento, gli avvisi e l'inventario delle risorse di AWS in Defender per il cloud.

Convalidare l'integrità del connettore

Per verificare che il connettore AWS funzioni correttamente:

Accedere al portale Azure.
Passare a Defender per il cloud>Impostazioni ambiente.
Individuare l'account AWS ed esaminare la colonna Stato connettività per verificare se la connessione è integra o presenta problemi.
Selezionare il valore visualizzato nella colonna Stato connettività per visualizzare altri dettagli.

Nella pagina Dei dettagli dell'ambiente sono elencati eventuali problemi di configurazione o autorizzazione rilevati che interessano la connessione all'account AWS.

Se è presente un problema, è possibile selezionarlo per visualizzare una descrizione del problema e i passaggi consigliati per la correzione. In alcuni casi viene fornito uno script di correzione per risolvere il problema.

Altre informazioni sulla risoluzione dei problemi relativi ai connettori multicloud.

Distribuire un modello CloudFormation nell'account AWS

Come parte dell'onboarding, distribuire il modello CloudFormation generato:

Come Stack (con account singolo)
Come StackSet (un account di gestione)

Opzioni di distribuzione dei modelli

URL di Amazon S3: caricare il modello CloudFormation scaricato nel bucket S3 con le proprie configurazioni di sicurezza. Specificare l'URL S3 nella distribuzione guidata di AWS.
Caricare un file modello: AWS crea automaticamente un bucket S3 per archiviare il modello. Questa configurazione potrebbe attivare la S3 buckets should require requests to use Secure Socket Layer raccomandazione. È possibile correggerlo applicando i criteri bucket seguenti:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Nota

Quando si esegue CloudFormation StackSets durante l'onboarding di un account di gestione AWS, è possibile che venga visualizzato il messaggio di errore seguente: You must enable organizations access to operate a service managed stack set

Questo messaggio di errore indica che non è stato abilitato l'accesso attendibile per le organizzazioni AWS.

Per correggere questo errore, la pagina StackSets di CloudFormation include un prompt con un pulsante che è possibile selezionare per abilitare l'accesso attendibile. Dopo l'abilitazione dell'accesso attendibile, eseguire di nuovo CloudFormation Stack.

È necessario aggiornare il modello CloudFormation?

Questa tabella consente di determinare se è necessario aggiornare il modello CloudFormation distribuito nell'account AWS.

Step	Domanda	Se SÌ	Se NO
1	È stato abilitato un nuovo piano di Defender (ad esempio, CSPM, Database, Defender per contenitori)?	Aggiornare CloudFormation Stack con il modello più recente.	Andare al passaggio 2.
2	Stai modificando la configurazione del piano (ad esempio, abilitando il provisioning automatico o modificando la regione)?	Aggiornare CloudFormation Stack con il modello più recente.	Andare al passaggio 3.
3	Microsoft ha rilasciato una nuova versione del modello? Ad esempio, supportare nuove funzionalità, correggere i bug o aggiornare il runtime.	Aggiornare CloudFormation Stack con il modello più recente.	Andare al passaggio 4.
4	Si verificano errori^{di distribuzione 1} (ad esempio, errore di accesso negato, entità già esistente, runtime lambda)?	Aggiornare CloudFormation Stack con il modello più recente.	Non è necessario aggiornare il modello CloudFormation.

¹ Se si ricevono errori specifici o errori con la distribuzione del modello CloudFormation, fare riferimento alla tabella di risoluzione degli errori CloudFormation.

Visualizzare la copertura corrente

Defender per il cloud consente l'accesso a cartelle di lavoro tramite Azure cartelle di lavoro. Le cartelle di lavoro sono report personalizzabili che forniscono informazioni dettagliate sul comportamento di sicurezza.

La cartella di lavoro di copertura ti aiuta a comprendere la copertura attuale mostrando quali piani sono attivati sui tuoi abbonamenti e risorse.

Abilitare l'inserimento dei log di AWS CloudTrail (anteprima)

L'inserimento di eventi di gestione di AWS CloudTrail può migliorare le informazioni dettagliate sulle identità e sulla configurazione aggiungendo il contesto per le valutazioni CIEM, gli indicatori di rischio basati sulle attività e il rilevamento delle modifiche alla configurazione.

Altre informazioni sull’integrazione dei log di AWS CloudTrail con Microsoft Defender per il cloud (anteprima).

Altre informazioni

Vedere i blog seguenti:

Passaggi successivi

Assegnare l'accesso ai proprietari del carico di lavoro.
Proteggere tutte le risorse con Defender per il cloud.
Configurare i computer locali e i progetti GCP.
Ottenere risposte a domande comuni sull'onboarding dell'account AWS.
Risolvere i problemi relativi ai connettori multi-cloud.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-19

Condividi tramite

Connettere gli account AWS a Microsoft Defender per il cloud

Architettura di autenticazione

Prerequisiti

Requisiti del piano del connettore nativo

Connettere l'account AWS

Convalidare l'integrità del connettore

Distribuire un modello CloudFormation nell'account AWS

Opzioni di distribuzione dei modelli

È necessario aggiornare il modello CloudFormation?

Visualizzare la copertura corrente

Abilitare l'inserimento dei log di AWS CloudTrail (anteprima)

Altre informazioni

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive