Habilitar o Defender para bancos de dados relacionais de software livre no Amazon Web Services (AWS)

Importante

Em 1º de junho de 2026, o Microsoft Defender para bancos de dados relacionais de código aberto no AWS RDS passou para disponibilidade geral, e o faturamento começou. Se você tiver o plano habilitado antes de 1º de junho de 2026, continuará recebendo recursos de proteção contra ameaças de banco de dados e descoberta de dados confidenciais para bancos de dados RDS do AWS com suporte. Nenhuma ação será necessária se você quiser manter a proteção habilitada. Para recusar, siga as instruções em Desabilitar o plano.

O plano de bancos de dados relacionais do Defender para software livre no Microsoft Defender para Nuvem ajuda você a detectar e investigar atividades incomuns em seus bancos de dados rds do AWS. Esta versão prévia dá suporte aos seguintes tipos de instância de banco de dados:

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

Este artigo explica como habilitar o Defender para bancos de dados relacionais de software livre no AWS para que você possa começar a receber alertas para atividades suspeitas.

Quando você habilita esse plano, o Defender para Nuvem também descobre dados confidenciais em sua conta do AWS e enriquece os insights de segurança com essas descobertas. Essa funcionalidade também está incluída no CSPM (Gerenciamento de Postura do Defender Cloud Security).

Saiba mais sobre este plano do Microsoft Defender em Visão geral do Microsoft Defender para bancos de dados relacionais de código aberto.

Pré-requisitos

Habilitar o Defender para bancos de dados relacionais de código aberto

Para habilitar Defender para bancos de dados relacionais de software livre no AWS:

  1. Entre no portal do Azure.

  2. Pesquise e selecione Microsoft Defender para Nuvem.

  3. Selecione Configurações do ambiente.

  4. Selecione a conta AWS relevante.

  5. Localize o plano Bancos de Dados e selecione Configurações.

    Captura de tela da página de configurações de ambiente do AWS que mostra onde o botão de configurações está localizado.

  6. Alterne bancos de dados relacionais de código aberto para Ativado.

    Captura de tela que mostra como ativar os bancos de dados relacionais de código aberto.

    Observação

    Ativar bancos de dados relacionais de software livre também habilita a descoberta de dados confidenciais, um recurso compartilhado com o GPSN do Defender para recursos de RDS (serviço de banco de dados relacional).

    Captura de tela que mostra a página de configurações do GPSN do Defender e os dados confidenciais ativados com os recursos protegidos.

    Saiba mais sobre a descoberta de dados confidenciais em instâncias de RDS da AWS.

  7. Selecione Configurar acesso.

  8. Na seção de método de implantação, selecione Baixar.

  9. Siga as instruções para atualizar o stack no AWS. Esse processo cria ou atualiza o modelo CloudFormation com as permissões necessárias.

  10. Marque a caixa de seleção para confirmar se o modelo cloudformation foi atualizado em seu ambiente AWS (pilha).

  11. Selecione Revisar e gerar.

  12. Examine as informações e selecione Atualizar.

Em seguida, o Defender para Nuvem atualiza automaticamente as configurações relevantes do parâmetro e do grupo de opções.

Permissões necessárias para DefenderForCloud-DataThreatProtectionDB função

As permissões a seguir são necessárias para a função criada ou atualizada quando você baixa o template do CloudFormation e atualiza a stack da AWS. Essas permissões permitem que Defender para Nuvem configure a auditoria e colete logs de atividade de banco de dados de suas instâncias de RDS do AWS.

Permissão Descrição
rds:AddTagsToResource Adiciona tags em grupos de opções e parâmetros criados pelo plano.
rds:DescribeDBClusterParameters Descreve os parâmetros dentro do grupo de clusters.
rds:CreateDBParameterGroup Cria um grupo de parâmetros de banco de dados.
rds:ModifyOptionGroup Modifica as opções dentro de um grupo de opções.
rds:DescribeDBLogFiles Descreve os arquivos de log do banco de dados.
rds:DescribeDBParameterGroups Descreve grupos de parâmetros de banco de dados.
rds:CreateOptionGroup Cria um grupo de opções.
rds:ModifyDBParameterGroup Modifica parâmetros dentro de grupos de parâmetros de banco de dados.
rds:DownloadDBLogFilePortion Baixa partes do arquivo de log.
rds:DescribeDBInstances Descreve instâncias de banco de dados.
rds:ModifyDBClusterParameterGroup Altera os parâmetros do cluster dentro do grupo de parâmetros do cluster.
rds:ModifyDBInstance Modifica bancos de dados para atribuir parâmetros ou grupos de opções conforme necessário.
rds:ModifyDBCluster Modifica clusters para atribuir grupos de parâmetros de cluster conforme necessário.
rds:DescribeDBParameters Descreve os parâmetros dentro do grupo de banco de dados.
rds:CreateDBClusterParameterGroup Cria um grupo de parâmetros de cluster.
rds:DescribeDBClusters Descreve clusters.
rds:DescribeDBClusterParameterGroups Descreve grupos de parâmetros de cluster.
rds:DescribeOptionGroups Descreve grupos de opções.

Configurações de parâmetros e grupos de opções afetados

Quando você habilita o Defender para bancos de dados relacionais de software livre, o Defender para Nuvem configura automaticamente os parâmetros de auditoria em suas instâncias de RDS para consumir e analisar padrões de acesso. Você não precisa modificar essas configurações manualmente. Eles estão listados aqui para referência.

Tipo Parâmetro Valor
PostgreSQL e Aurora PostgreSQL registro_de_conexões 1
PostgreSQL e Aurora PostgreSQL log_disconnections 1
Grupo de parâmetros de cluster do Aurora MySQL server_audit_logging 1
Grupo de parâmetros de cluster do Aurora MySQL eventos_de_auditoria_do_servidor – Se existir, expanda o valor para incluir CONNECT, QUERY,
– Se não existir, adicione-o com o valor CONNECT, QUERY.
Grupo de parâmetros de cluster do Aurora MySQL server_audit_excl_users Se existir, expanda-o para incluir rdsadmin.
Grupo de parâmetros de cluster do Aurora MySQL server_audit_incl_users Se essa configuração existir e incluir rdsadmin, remova rdsadmin de SERVER_AUDIT_EXCL_USER e deixe essa configuração vazia.

Um grupo de opções é necessário para MySQL e MariaDB com as seguintes opções para o MARIADB_AUDIT_PLUGIN.

Se a opção não existir, adicione-a; se existir, expanda os valores conforme necessário.

Nome da opção Valor
EVENTOS_DE_AUDITORIA_DO_SERVIDOR Se existir, expanda o valor para incluir CONNECT
Se não existir, adicione-o com o valor CONNECT.
SERVER_AUDIT_EXCL_USER Se existir, expanda-o para incluir rdsadmin.
SERVER_AUDIT_INCL_USERS Se essa configuração existir e incluir rdsadmin, remova rdsadmin de SERVER_AUDIT_EXCL_USER e deixe essa configuração vazia.

Importante

Talvez seja necessário reinicializar suas instâncias para aplicar essas alterações.

Se você estiver usando o grupo de parâmetros padrão, o Defender para Nuvem criará um novo grupo de parâmetros com as alterações necessárias e o prefixo defenderfordatabases*.

Se você criar um novo grupo de parâmetros ou atualizar parâmetros estáticos, as alterações não entrarão em vigor até que você reinicialize a instância.

Observação

  • Se já existir um grupo de parâmetros, Defender para Nuvem o atualizará.

  • MARIADB_AUDIT_PLUGIN há suporte no MariaDB 10.2 e posterior, MySQL 8.0.25 e versões posteriores e todas as versões do MySQL 5.7.

  • As alterações feitas pelo Defender para Nuvem nas instâncias do MARIADB_AUDIT_PLUGIN MySQL são aplicadas durante a próxima janela de manutenção. Para obter mais informações, consulte MARIADB_AUDIT_PLUGIN para instâncias do MySQL.

Desabilitar o plano

Para desabilitar Defender para bancos de dados relacionais de software livre no RDS do AWS:

  1. Entre no portal do Azure.

  2. Pesquise e selecioneas configurações do>.

  3. Selecione a conta AWS relevante.

  4. Localize o plano Bancos de Dados e selecione Configurações.

  5. Defina bancos de dados relacionais de código aberto como Desativado.

  6. Selecione Salvar.

Conteúdo relacionado

Próxima etapa

Responder aos alertas de banco de dados de código aberto do Defender

  • Last updated on