Richten Sie Ihre Amazon Web Services (AWS)-Umgebung ein, um AWS-Protokolle in Microsoft Sentinel zu sammeln.

Amazon Web Services (AWS)-Connectors vereinfachen den Prozess des Sammelns von Protokollen aus Amazon S3 (Simple Storage Service) und deren Einspeisung in Microsoft Sentinel. Die Connectors stellen Tools bereit, mit denen Sie Ihre AWS-Umgebung für die Microsoft Sentinel-Protokollsammlung konfigurieren können.

In diesem Artikel wird das AWS-Umgebungssetup beschrieben, das zum Senden von Protokollen an Microsoft Sentinel erforderlich ist, und links zu schrittweisen Anleitungen zum Einrichten Ihrer Umgebung und zum Sammeln von AWS-Protokollen mit jedem unterstützten Connector.

Übersicht über das Einrichten von AWS-Umgebungen

Dieses Diagramm zeigt, wie Sie Ihre AWS-Umgebung so einrichten, dass Protokolle an Azure gesendet werden:

Screenshot der Architektur eines W S S S 3-Connectors.

Erstellen Sie einen S3-Speicher-Bucket (Simple Storage Service) und eine SQS-Warteschlange (Simple Queue Service), in der der S3-Bucket Benachrichtigungen veröffentlicht, wenn neue Protokolle empfangen werden.

Microsoft Sentinel-Connectors:
- Abrufen Sie die SQS-Warteschlange regelmäßig, um nach Nachrichten zu suchen, die die Pfade zu neuen Protokolldateien enthalten.
- Rufen Sie die Dateien aus dem S3-Bucket basierend auf dem pfad ab, der in den SQS-Benachrichtigungen angegeben ist.
Erstellen Sie einen Open ID Connect (OIDC)-Webidentitätsanbieter , und fügen Sie Microsoft Sentinel als registrierte Anwendung hinzu (indem Sie ihn als Zielgruppe hinzufügen).

Microsoft Sentinel-Connectors verwenden Microsoft Entra ID, um sich mit AWS über OpenID Connect (OIDC) zu authentifizieren und eine AWS IAM-Rolle zu übernehmen.

Von Bedeutung

Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie Microsoft Sentinel als Zielgruppe zu Ihrem vorhandenen Anbieter hinzu (Commercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.
Erstellen Sie eine von AWS angenommene Rolle , um Ihren Microsoft Sentinel-Connector Berechtigungen für den Zugriff auf Ihre AWS S3-Bucket- und SQS-Ressourcen zu erteilen.
1. Weisen Sie die entsprechenden IAM-Berechtigungsrichtlinien zu, um den angenommenen Rollenzugriff auf die Ressourcen zu gewähren.
2. Konfigurieren Sie Ihre Connectors so, dass sie die angenommene Rolle und die SQS-Warteschlange verwenden, die Sie erstellt haben, um auf den S3-Bucket zuzugreifen und Protokolle abzurufen.
Konfigurieren Sie AWS-Dienste zum Senden von Protokollen an den S3-Bucket.

Manuelle Einrichtung

Obwohl Sie die AWS-Umgebung manuell einrichten können, wie in diesem Abschnitt beschrieben, empfehlen wir dringend die Verwendung der automatisierten Tools, die beim Bereitstellen von AWS-Connectors bereitgestellt werden.

1. Erstellen eines S3-Buckets und einer SQS-Warteschlange

Erstellen Sie einen S3-Bucket, an den Sie die Protokolle von Ihren AWS-Diensten senden können – VPC, GuardDuty, CloudTrail oder CloudWatch.

Lesen Sie die Anweisungen zum Erstellen eines S3-Speicher-Buckets in der AWS-Dokumentation.
Erstellen Sie eine standardmäßige SQS-Nachrichtenwarteschlange (Simple Queue Service), in der der S3-Bucket Benachrichtigungen veröffentlichen kann.

Lesen Sie die Anweisungen zum Erstellen einer standard-SQS-Warteschlange (Simple Queue Service) in der AWS-Dokumentation.
Konfigurieren Sie Ihren S3-Bucket so, dass Benachrichtigungen an Ihre SQS-Warteschlange gesendet werden.

Lesen Sie die Anweisungen zum Veröffentlichen von Benachrichtigungen in Ihrer SQS-Warteschlange in der AWS-Dokumentation.

2. Erstellen eines OIDC-Webidentitätsanbieters (Open ID Connect)

Von Bedeutung

Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie Microsoft Sentinel als Zielgruppe zu Ihrem vorhandenen Anbieter hinzu (Commercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.

Befolgen Sie die folgenden Anweisungen in der AWS-Dokumentation:
Erstellen von OpenID Connect(OIDC)-Identitätsanbietern.

Parameter	Auswahl/Wert	Kommentare
Client-ID	-	Ignorieren Sie dies, Sie haben es bereits. Benutzergruppe anzeigen.
Anbietertyp	OpenID Verbinden	Anstelle von Standard-SAML.
Anbieter-URL	Kommerziell: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Regierung: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
Fingerabdruck	`626d44e704d1ceabe3bf0d53397464ac8080142c`	Wenn Sie in der IAM-Konsole erstellt werden, sollte die Auswahl von Fingerabdruck abrufen dieses Ergebnis liefern.
Publikum	Kommerziell: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Regierung: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. Erstellen einer von AWS angenommenen Rolle

Befolgen Sie die folgenden Anweisungen in der AWS-Dokumentation:
Erstellen einer Rolle für die Webidentität oder den OpenID Connect-Verbund.

Parameter	Auswahl/Wert	Kommentare
Vertrauenswürdiger Entitätstyp	Webidentität	Anstelle des standardmäßigen AWS-Diensts.
Identitätsanbieter	Kommerziell: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Regierung: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	Der Anbieter, den Sie im vorherigen Schritt erstellt haben.
Publikum	Kommerziell: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Regierung: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	Die Zielgruppe, die Sie für den Identitätsanbieter im vorherigen Schritt definiert haben.
Berechtigungen zum Zuweisen	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` Andere Richtlinien zum Erfassen der verschiedenen Arten von AWS-Dienstprotokollen	Informationen zu diesen Richtlinien finden Sie auf der relevanten Seite zu AWS S3 Connector-Berechtigungsrichtlinien im Microsoft Sentinel GitHub-Repository. Seite mit Richtlinien für Zugriffsberechtigungen des AWS S3-Konnektors für kommerzielle Nutzung Seite mit Richtlinien für AWS Government S3-Connectorberechtigungen
Name	"OIDC_MicrosoftSentinelRole"	Wählen Sie einen aussagekräftigen Namen aus, der einen Verweis auf Microsoft Sentinel enthält. Der Name muss das genaue Präfix `OIDC_`enthalten. Andernfalls kann der Verbinder nicht ordnungsgemäß funktionieren.

Bearbeiten Sie die Vertrauensrichtlinie der neuen Rolle, und fügen Sie eine weitere Bedingung hinzu:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Von Bedeutung

Der Wert des sts:RoleSessionName Parameters muss das genaue Präfix MicrosoftSentinel_aufweisen; andernfalls funktioniert der Verbinder nicht ordnungsgemäß.

Die fertige Vertrauensrichtlinie sollte wie folgt aussehen:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX ist Ihre AWS-Konto-ID.
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX ist Ihre Microsoft Sentinel-Arbeitsbereichs-ID.
Aktualisieren (speichern) Sie die Richtlinie, wenn Sie mit der Bearbeitung fertig sind.

Konfigurieren von AWS-Diensten zum Exportieren von Protokollen in einen S3-Bucket

Anweisungen zum Senden der einzelnen Protokolltypen an Ihren S3-Bucket finden Sie in der verknüpften Amazon Web Services-Dokumentation:

Veröffentlichen Sie ein VPC Flow-Protokoll in einem S3-Bucket.

Hinweis

Wenn Sie das Format des Protokolls anpassen möchten, müssen Sie das Start-Attribut einschließen, da es dem Feld "TimeGenerated " im Log Analytics-Arbeitsbereich zugeordnet ist. Andernfalls wird das Feld "TimeGenerated " mit der erfassten Zeit aufgefüllt, die das Protokollereignis nicht genau beschreibt.
Exportieren Sie Ihre GuardDuty-Ergebnisse in einen S3-Bucket.
Hinweis
- In AWS werden Ergebnisse standardmäßig alle 6 Stunden exportiert. Passen Sie die Exporthäufigkeit für aktualisierte aktive Ergebnisse basierend auf Ihren Umgebungsanforderungen an. Um den Prozess zu beschleunigen, können Sie die Standardeinstellung ändern, um Ergebnisse alle 15 Minuten zu exportieren. Siehe Festlegen der Häufigkeit für den Export aktualisierter aktiver Ergebnisse.
- Das Feld TimeGenerated wird mit dem Wert Update at (Aktualisierung um) des Ergebnisses aufgefüllt.
AWS CloudTrail-Trails werden standardmäßig in S3-Buckets gespeichert.
- Erstellen Sie einen Trail für ein einzelnes Konto.
- Erstellen Sie einen Pfad, der über mehrere Konten in einer Organisation hinweg geht.
Exportieren Sie Ihre CloudWatch-Protokolldaten in einen S3-Bucket.

4. Bereitstellen von AWS-Connectors

Microsoft Sentinel stellt diese AWS-Connectors bereit:

Amazon Web Services Web Application Firewall(WAF)-Connector: Erfasst in AWS S3-Buckets gesammelte AWS WAF-Protokolle in Microsoft Sentinel.
Amazon Web Services-Dienstprotokoll-Connector: Erfasst in AWS S3-Buckets gesammelte AWS-Dienstprotokolle in Microsoft Sentinel.

Nächste Schritte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.

Feedback

War diese Seite hilfreich?

Last updated on 2025-06-19