Configuración del entorno de Amazon Web Services (AWS) para recopilar registros de AWS en Microsoft Sentinel

Los conectores de Amazon Web Services (AWS) simplifican el proceso de recopilación de registros de Amazon S3 (Servicio de Almacenamiento Simple) e importación en Microsoft Sentinel. Los conectores proporcionan herramientas que le ayudarán a configurar el entorno de AWS para la recopilación de registros de Microsoft Sentinel.

En este artículo se describe la configuración del entorno de AWS necesaria para enviar registros a Microsoft Sentinel y vínculos a instrucciones paso a paso para configurar el entorno y recopilar registros de AWS mediante cada conector compatible.

Introducción a la configuración del entorno de AWS

En este diagrama se muestra cómo configurar el entorno de AWS para enviar registros a Azure:

Recorte de pantalla de la arquitectura del conector A W S S 3.

Cree un cubo de almacenamiento S3 (Servicio de almacenamiento simple) y una cola de Simple Queue Service (SQS) en la que el cubo de S3 publica notificaciones cuando recibe nuevos registros.

Conectores de Microsoft Sentinel:
- Sondee la cola de SQS, a intervalos frecuentes, en busca de mensajes que contienen las rutas a los nuevos archivos de registro.
- Capture los archivos del cubo S3 en función de la ruta de acceso especificada en las notificaciones de SQS.
Cree un proveedor de identidades web de Open ID Connect (OIDCy agregue Microsoft Sentinel como una aplicación registrada (agregándolo como público).

Los conectores de Microsoft Sentinel usan microsoft Entra ID para autenticarse con AWS a través de OpenID Connect (OIDC) y asumir un rol de AWS IAM.

Importante

Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como público a su proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor de OIDC para Microsoft Sentinel.
Cree un rol asumido de AWS para otorgar permisos al conector de Microsoft Sentinel, permitiéndole acceder al bucket de AWS S3 y a los recursos de SQS.
1. Asigne las directivas Permisos de IAM adecuadas para conceder al rol asumido acceso a los recursos.
2. Configure los conectores para que usen el rol asumido y la cola de SQS que creó para acceder al cubo S3 y recuperar registros.
Configure los servicios de AWS para enviar registros al cubo S3.

Configuración manual

Aunque puede configurar manualmente el entorno de AWS, como se describe en esta sección, se recomienda encarecidamente usar las herramientas automatizadas proporcionadas al implementar conectores de AWS en su lugar.

1. Creación de un cubo S3 y una cola de SQS

Cree un cubo S3 al que pueda enviar los registros desde los servicios de AWS : VPC, GuardDuty, CloudTrail o CloudWatch.

Consulte las instrucciones para crear un cubo de almacenamiento S3 en la documentación de AWS.
Cree una cola de mensajes de Simple Queue Service (SQS) estándar en la que el cubo de S3 pueda publicar notificaciones.

Consulte las instrucciones para crear una cola estándar de Simple Queue Service (SQS) en la documentación de AWS.
Configure el cubo S3 para enviar mensajes de notificación a la cola de SQS.

Consulte las instrucciones para publicar notificaciones en la cola de SQS en la documentación de AWS.

2. Creación de un proveedor de identidades web de Open ID Connect (OIDC)

Importante

Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como público a su proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor de OIDC para Microsoft Sentinel.

Siga estas instrucciones en la documentación de AWS:
Creación de proveedores de identidades de OpenID Connect (OIDC).

Parámetro	Selección/valor	Comentarios
Id. de cliente	-	Omita esto, ya lo tiene. Consulte Audiencia.
Tipo de proveedor	Conexión OpenID	En lugar de SAML predeterminado.
Dirección URL del proveedor	Comercial: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Administración Pública: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
Huella digital	`626d44e704d1ceabe3bf0d53397464ac8080142c`	Si se crea en la consola de IAM, la selección de Obtener huella digital debe proporcionarle este resultado.
Audiencia	Comercial: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Administración Pública: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. Creación de un rol asumido de AWS

Siga estas instrucciones en la documentación de AWS:
Creación de un rol para la identidad web o la federación de OpenID Connect.

Parámetro	Selección/valor	Comentarios
Tipo de entidad de confianza	Identidad web	En lugar del servicio de AWS predeterminado.
Proveedor de identidad	Comercial: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Administración Pública: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	El proveedor que creó en el paso anterior.
Audiencia	Comercial: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Administración Pública: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	Audiencia que definió para el proveedor de identidades en el paso anterior.
Permisos para asignar	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` Otras directivas para ingerir los distintos tipos de registros de servicio de AWS	Para obtener información sobre estas directivas, consulte la página correspondiente de directivas de permisos del conector de AWS S3, en el repositorio de GitHub de Microsoft Sentinel. Página de directivas de permisos del conector de AWS Commercial S3 Página de directivas de permisos del conector de AWS Government S3
Nombre	"OIDC_MicrosoftSentinelRole"	Elija un nombre descriptivo que incluya una referencia a Microsoft Sentinel. El nombre debe incluir el prefijo `OIDC_`exacto; de lo contrario, el conector no puede funcionar correctamente.

Edite la directiva de confianza del nuevo rol y agregue otra condición:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Importante

El valor del sts:RoleSessionName parámetro debe tener el prefijo MicrosoftSentinel_exacto; de lo contrario, el conector no funciona correctamente.

La directiva de confianza finalizada debe tener este aspecto:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX es su identificador de cuenta de AWS.
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX es el identificador del área de trabajo de Microsoft Sentinel.
Actualice (guarde) la directiva cuando haya terminado de editarla.

Configuración de servicios de AWS para exportar registros a un cubo de S3

Consulte la documentación de Amazon Web Services vinculada para obtener instrucciones para enviar cada tipo de registro al cubo de S3:

Publique un registro de flujo de VPC en un cubo de S3.

Nota:

Si decide personalizar el formato del registro, debe incluir el atributo start, ya que se asigna al campo TimeGenerated en el área de trabajo de Log Analytics. De lo contrario, el campo TimeGenerated se rellena con la hora ingerida del evento, que no describe con precisión el evento de registro.
Exporte los resultados de GuardDuty a un cubo S3.
Nota:
- En AWS, los resultados se exportan de forma predeterminada cada 6 horas. Ajuste la frecuencia de exportación para los resultados activos actualizados en función de los requisitos del entorno. Para acelerar el proceso, puede modificar la configuración predeterminada para exportar los resultados cada 15 minutos. Consulte Establecimiento de la frecuencia para exportar los resultados activos actualizados.
- El campo TimeGenerated se rellena con el valor Update at del resultado.
De forma predeterminada, los registros de AWS CloudTrail se almacenan en cubos S3.
- Creación de un registro para una sola cuenta.
- Creación de un registro que abarca varias cuentas de una organización.
Exporte los datos de registro de CloudWatch a un cubo S3.

4. Implementación de conectores de AWS

Microsoft Sentinel proporciona estos conectores de AWS:

Conector de Firewall de aplicaciones web (WAF) de Amazon Web Services: ingiere registros de AWS WAF, recopilados en cubos de AWS S3, en Microsoft Sentinel.
Conector de registro del servicio Amazon Web Services: ingiere registros de servicio de AWS, recopilados en cubos de AWS S3, en Microsoft Sentinel.

Pasos siguientes

Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:

Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
Empiece a detectar amenazas con Microsoft Sentinel.
Utiliza hojas de cálculo para supervisar tus datos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-06-18