Verbinden eines mit Microsoft Sentinel verbundenen AWS-Kontos mit Defender for Cloud

Microsoft Defender für Cloud generiert eine CloudFormation-Vorlage, die die zum Onboarding Ihres Amazon Web Services (AWS)-Kontos erforderlichen Ressourcen enthält. Microsoft Defender for Cloud und Microsoft Sentinel können beide AWS CloudTrail-Ereignisse aufnehmen. Standardmäßig empfängt der Microsoft Sentinel-Connector CloudTrail-Benachrichtigungen direkt von Amazon S3 über eine Amazon SQS-Warteschlange. Da eine Amazon SQS-Warteschlange nur einen einzelnen Consumer unterstützt, muss für die Aktivierung der CloudTrail-Aufnahme für Defender for Cloud ein Amazon SNS Fan-Out-Muster konfiguriert werden, damit beide Dienste CloudTrail-Ereignisse zeitgleich empfangen können.

In diesem Artikel wird erläutert, wie Sie die CloudTrail-Datenerfassung für Defender für die Cloud aktivieren, wenn Ihr AWS-Konto bereits mit Microsoft Sentinel verbunden ist.

Voraussetzungen

Die in diesem Artikel aufgeführten Verfahren setzen Folgendes voraus:

• Ein Microsoft Azure-Abonnement Falls Sie kein Azure-Abonnement haben, können Sie sich kostenlos registrieren.

• Einrichten von Microsoft Defender for Cloud in Ihrem Azure-Abonnement.

• Zugriff auf ein AWS-Konto.

• Berechtigung auf der Ebene „Contributor“ für das entsprechende Azure-Abonnement.

• Nur SNS Fan-Out-Methode:

  • AWS CloudTrail ist konfiguriert, um Protokolle an einen Amazon-S3-Bucket bereitzustellen.
  • Ein vorhandener Microsoft Sentinel AWS-Connector, der CloudTrail-Protokolle aus diesem Bucket importiert.

Aktivieren Sie die CloudTrail-Erfassung mithilfe von SNS-Fan-Out

Wenn Ihre AWS CloudTrail-Protokolle bereits an Microsoft Sentinel gestreamt werden, können Sie die CloudTrail-Aufnahme für Defender for Cloud aktivieren, indem Sie Amazon SNS als Fan-Out-Mechanismus verwenden. Diese Konfiguration ermöglicht es beiden Diensten, CloudTrail-Ereignisse parallel zu empfangen.

Erstellen eines Amazon SNS-Themas für CloudTrail

1. Öffnen Sie in der AWS Management Console Amazon SNS.

2. Wählen Sie "Thema erstellen" und dann "Standard" aus.

3. Geben Sie einen beschreibenden Namen (z. B. ) ein, CloudTrail-SNSund wählen Sie " Thema erstellen" aus.

4. Kopieren Sie den Topic ARN zur späteren Verwendung.

5. Wählen Sie auf der Themendetailseite "Bearbeiten" aus, und erweitern Sie dann die Access-Richtlinie.

6. Fügen Sie eine Richtlinienausweisung hinzu, mit der der CloudTrail S3-Bucket Ereignisse im Thema veröffentlichen kann.

   Ersetzen Sie <region>, <accountid> und <S3_BUCKET_ARN> mit Ihren Werten.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowS3ToPublish",
         "Effect": "Allow",
         "Principal": {
           "Service": "s3.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
         "Condition": {
           "StringEquals": {
             "aws:SourceArn": "<S3_BUCKET_ARN>"
           }
         }
       }
     ]
   }
   

Erstellen einer SQS-Warteschlange für Defender für Cloud

1. Wählen Sie in Amazon SQS die Option " Warteschlange erstellen" und dann "Standard" aus.

2. Geben Sie einen Namen ein (z. B. DefenderForCloud-SQS) und erstellen Sie die Warteschlange.

3. Aktualisieren Sie die SQS-Warteschlangenzugriffsrichtlinie, damit das SNS-Thema ARN die SQS:SendMessage Aktion für diese Warteschlange ausführen kann.

   Wenden Sie diese Richtlinie auf jede SQS-Warteschlange an, die das Thema "CloudTrail SNS" abonniert. Dies umfasst in der Regel Folgendes:

   • Die von Microsoft Sentinel verwendete SQS-Warteschlange
   • Die für Defender for Cloud erstellte SQS-Warteschlange

   {
     "Sid": "AllowCloudTrailSnsToSendMessage",
     "Effect": "Allow",
     "Principal": {
       "Service": "sns.amazonaws.com"
     },
     "Action": "SQS:SendMessage",
     "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
     "Condition": {
       "ArnLike": {
         "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
       }
     }
   }
   

Abonnieren Sie für das SNS-Thema beide SQS-Warteschlangen

1. Öffnen Sie in Amazon SNS das von Ihnen erstellte Thema.

2. Erstellen Sie Abonnements für das SNS-Topic für beide:

   • Ihre vorhandene Microsoft Sentinel SQS-Warteschlange

   • Die neue Defender for Cloud SQS-Warteschlange

     

3. Beim Erstellen der einzelnen Abonnements:

   • Wählen Sie Amazon SQS als Protokoll aus.
   • Fügen Sie die Queue ARN ein.
   • Aktivieren sie die Unformatierte Nachrichtenübermittlung.

Aktualisieren der Microsoft Sentinel SQS-Warteschlangenzugriffsrichtlinie

Wenn Ihr AWS-Konto bereits mit Microsoft Sentinel verbunden war, müssen Sie auch die vorhandene Sentinel SQS-Warteschlange aktualisieren, damit das SNS-Thema Nachrichten senden kann.

1. Öffnen Sie in Amazon SQS die von Microsoft Sentinel verwendete SQS-Warteschlange.

2. Bearbeiten Sie die Access-Richtlinie.

3. Fügen Sie die gleiche SQS:SendMessage-Anweisung hinzu, die für die Defender for Cloud-Warteschlange verwendet wird, um auf die SNS-Thema-ARN von CloudTrail zu verwiesen.

4. Speichern Sie die Richtlinie.

Wenn dieser Schritt übersprungen wird, empfängt Microsoft Sentinel keine CloudTrail-Benachrichtigungen mehr, nachdem Sie zur SNS-Fan-Out-Konfiguration gewechselt haben.

Aktualisieren von S3-Ereignisbenachrichtigungen zum Veröffentlichen von CloudTrail-Protokollen in SNS

1. Öffnen Sie in Amazon S3 Ihren CloudTrail-Bucket, und wechseln Sie zu Ereignisbenachrichtigungen.

2. Löschen Sie die vorhandene S3 → SQS-Ereignisbenachrichtigung, die von Microsoft Sentinel verwendet wird.

3. Erstellen Sie eine neue Ereignisbenachrichtigung, die im SNS-Thema veröffentlicht werden soll.

4. Legen Sie den Ereignistyp auf Object created (PUT) fest.

5. Konfigurieren Sie einen Präfixfilter , sodass nur CloudTrail-Protokolldateien Benachrichtigungen generieren.

   Verwenden Sie das vollständige CloudTrail-Protokollpfadformat:

   AWSLogs/<AccountID>/CloudTrail/

6. Speichern Sie die Konfiguration.

Nachdem diese Änderungen durchgeführt wurden, empfängt sowohl Microsoft Sentinel als auch Defender for Cloud CloudTrail-Ereignisbenachrichtigungen unter Verwendung des SNS Fan-Out-Musters.

Beheben von OIDC-Identitätsanbieterkonflikten

1. Führen Sie die im Abschnitt Verknüpfen Ihres AWS-Kontos unterVerknüpfen von AWS-Konten mit Microsoft Defender for Cloud beschriebenen Schritte bis Schritt 8 aus.

2. Klicken Sie auf Kopieren.

   

3. Fügen Sie die Vorlage in ein lokales Textbearbeitungstool ein.

4. Suchen Sie in der Vorlage nach dem Abschnitt „ASCDefendersOIDCIdentityProvider“: { und erstellen Sie eine separate Kopie der gesamten ClientIdList.

5. Suchen Sie in der Vorlage nach dem Abschnitt ASCDefendersOIDCIdentityProvider , und löschen Sie ihn.

6. Speichern Sie die Datei lokal ab.

7. Melden Sie sich in einem separaten Browserfenster bei Ihrem AWS-Konto an.

8. Navigieren Sie zu Identitäts- und Zugriffsverwaltung (IAM)>Identitätsanbieter.

9. Suchen und wählen Sie 33e01921-4d64-4f8c-a055-5bdaffd5e33d aus.

10. Wählen Sie Aktionen>Zielgruppe hinzufügen aus.

11. Fügen Sie den Abschnitt "ClientIdList " ein, den Sie in Schritt 4 kopiert haben.

12. Navigieren Sie zur Seite "Zugriff konfigurieren" in Defender für Cloud.

13. Befolgen Sie die Anweisungen zum Erstellen eines Stapels in AWS, und verwenden Sie die Vorlage, die Sie lokal gespeichert haben.

    

14. Wählen Sie Weiteraus.

15. Wählen Sie "Erstellen" aus.

Nächste Schritte

• Integrieren Sie AWS CloudTrail-Protokolle in Microsoft Defender für Cloud.
• Zuweisen des Zugriffs zu Workloadbesitzern
• Schützen Sie alle Ihre Ressourcen mit Defender for Cloud.
• Richten Sie Ihre lokalen Computer und Google Cloud Platform (GCP)-Umgebungen ein.
• Hier erhalten Sie Antworten auf allgemeine Fragen zum Onboarding Ihres AWS-Kontos.
• Problembehandlung bei Multi-Cloud-Connectors