Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use el conector del firewall de aplicaciones web (WAF) basado en S3 de Amazon Web Services (AWS) para ingerir los registros de AWS WAF, recogidos en cubos de AWS S3, en Microsoft Sentinel. Los registros de AWS WAF son registros detallados del tráfico web analizado por AWS WAF en las listas de control de acceso web (ACL). Estos registros contienen información como la hora en que AWS WAF recibió la solicitud, los detalles de la solicitud y la acción realizada por la regla con la que coincide la solicitud. Estos registros y este análisis son esenciales para mantener la seguridad y el rendimiento de las aplicaciones web.
Este conector incluye un script de incorporación basado en AWS CloudFormation para simplificar la creación de los recursos de AWS utilizados por el conector.
Importante
El conector de datos de WAF de Amazon Web Services S3 está actualmente en versión preliminar. Los términos complementarios de la versión preliminar de Azure incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o, de lo contrario, aún no se han publicado en disponibilidad general.
-
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos nuevos usuarios también se incorporan y redirigen automáticamente desde Azure Portal al portal de Defender. Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Información general
El conector de datos de WAF de Amazon Web Services S3 sirve para los siguientes casos de uso:
Supervisión de seguridad y detección de amenazas: Analice los registros de AWS WAF para ayudar a identificar y responder a amenazas de seguridad como ataques de inyección de código SQL y scripting entre sitios (XSS). Al ingerir estos registros en Microsoft Sentinel, puede usar su análisis avanzado e inteligencia sobre amenazas para detectar e investigar actividades malintencionadas.
Cumplimiento y auditoría: Los registros de AWS WAF proporcionan registros detallados del tráfico de ACL web, lo que puede ser fundamental para los fines de informes y auditoría de cumplimiento. El conector garantiza que estos registros están disponibles en Sentinel para facilitar el acceso y el análisis.
En este artículo se explica cómo configurar el conector de Amazon Web Services S3 WAF. El proceso de configuración consta de dos partes: el lado de AWS y el lado de Microsoft Sentinel. El proceso de cada lado genera información usada por el otro lado. Esta autenticación bidireccional crea una comunicación segura.
Requisitos previos
Debe tener permiso de escritura en el área de trabajo de Microsoft Sentinel.
Instale la solución Amazon Web Services desde el centro de contenido de Microsoft Sentinel. Si ya tiene instalada la versión 3.0.2 de la solución (o anterior), actualice la solución en el centro de contenido para asegurarse de que tiene la versión más reciente que incluye este conector. Para obtener más información, consulte Detección y administración del contenido preconfigurado de Microsoft Sentinel.
Habilitación y configuración del conector de Amazon Web Services S3 WAF
El proceso de habilitación y configuración del conector consta de las siguientes tareas:
En su entorno de AWS:
La página del conector Amazon Web Services S3 WAF en Microsoft Sentinel contiene plantillas de pila de AWS CloudFormation descargables que automatizan las siguientes tareas de AWS:
Configure los servicios de AWS para enviar registros a un cubo de S3.
Cree una cola de Simple Queue Service (SQS) para proporcionar una notificación.
Cree un proveedor de identidades web para autenticar a los usuarios en AWS a través de OpenID Connect (OIDC).
Cree un rol asumido para conceder permisos a los usuarios autenticados por el proveedor de identidades web de OIDC para acceder a los recursos de AWS.
Adjunte las directivas de permisos IAM adecuadas para conceder al rol asumido acceso a los recursos adecuados (cubo de S3, SQS).
En Microsoft Sentinel:
- Configure el Conector de Amazon Web Services S3 WAF en el portal de Microsoft Sentinel añadiendo recopiladores de registros que sondeen la cola y recuperen los datos de registro del cubo de S3. Consulte las instrucciones siguientes.
Configuración del entorno de AWS
Para simplificar el proceso de incorporación, la página del conector de WAF de Amazon Web Services S3 en Microsoft Sentinel contiene plantillas descargables que puede usar con el servicio AWS CloudFormation. El servicio CloudFormation usa estas plantillas para crear automáticamente pilas de recursos en AWS. Estas pilas incluyen los propios recursos como se describe en este artículo, así como credenciales, permisos y directivas.
Nota:
Se recomienda encarecidamente usar el proceso de configuración automática. Para los casos especiales, consulte las instrucciones de configuración manual.
Preparación de los archivos de plantilla
Para ejecutar el script para configurar el entorno de AWS, siga estos pasos:
En Azure Portal, en el menú de navegación de Microsoft Sentinel, expanda Configuración y seleccione Conectores de datos.
En el portal de Defender, en el menú inicio rápido, expanda Configuración de Microsoft Sentinel > y seleccione Conectores de datos.
Seleccione Amazon Web Services S3 WAF en la lista de conectores de datos.
Si no ve el conector, instale la solución Amazon Web Services desde el centro de contenido en Administración de contenido en Microsoft Sentinel o actualice la solución a la versión más reciente.
En el panel de detalles del conector, seleccione Abrir página del conector.
En la sección Configuración , en 1. AWS CloudFormation Deployment, seleccione el vínculo AWS CloudFormation Stacks . Se abrirá la consola de AWS en una nueva pestaña del explorador.
Vuelva a la pestaña del portal donde tiene abierto Microsoft Sentinel. Seleccione Descargar en Plantilla 1: Implementación de autenticación de OpenID Connect para descargar la plantilla que crea el proveedor de identidades web OIDC. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.
Nota:
Si ya tiene un proveedor de identidades web OIDC, omita este paso.
Seleccione Descargar en Plantilla 2: Implementación de recursos de AWS WAF para descargar la plantilla que crea los otros recursos de AWS. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.
Creación de pilas de AWS CloudFormation
Vuelva a la pestaña del explorador de la consola de AWS, que está abierta a la página AWS CloudFormation para crear una pila.
Si aún no ha iniciado sesión en AWS, inicie sesión ahora y se le redirigirá a la página AWS CloudFormation.
Creación del proveedor de identidades web OIDC
Importante
Si ya tiene el proveedor de identidades web OIDC de la versión anterior del conector aws S3, omita este paso y vaya a Creación de los recursos de AWS restantes.
Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como público a su proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor de OIDC para Microsoft Sentinel.
Siga las instrucciones de la página consola de AWS para crear una nueva pila.
Especifique una plantilla y cargue un archivo de plantilla.
Seleccione Elegir archivo y busque el archivo "Plantilla 1_ OpenID connect authentication deployment.json" que descargó.
Elija un nombre para la pila.
Avance por el resto del proceso y cree la pila.
Creación de los recursos de AWS restantes
Vuelva a la página de pilas de AWS CloudFormation y cree una nueva pila.
Seleccione Elegir archivo y busque el archivo "Plantilla 2_ recursos de AWS WAF deployment.json" que descargó.
Elija un nombre para la pila.
Cuando se le solicite, escriba el identificador del área de trabajo de Microsoft Sentinel. Para buscar el identificador del área de trabajo:
En Azure Portal, en el menú de navegación de Microsoft Sentinel, expanda Configuración y seleccione Configuración. Seleccione la pestaña Configuración del área de trabajo y busque el identificador de área de trabajo en la página del área de trabajo de Log Analytics.
En el portal de Defender, en el menú inicio rápido, expanda Sistema y seleccione Configuración. Seleccione Microsoft Sentinel y, a continuación, seleccione Configuración de Log Analytics en Configuración de
[WORKSPACE_NAME]. Busque el identificador del área de trabajo de Log Analytics en la página del área de trabajo de Log Analytics, que se abre en una nueva pestaña del explorador.
Avance por el resto del proceso y cree la pila.
Adición de recopiladores de registros
Cuando se creen todas las pilas de recursos, vuelva a la pestaña del explorador abierta a la página del conector de datos de Microsoft Sentinel y comience la segunda parte del proceso de configuración.
En la sección Configuración , en 2. Conecte nuevos recopiladores y seleccione Agregar nuevo recopilador.
Escriba el ARN de rol de IAM que se creó. El nombre predeterminado del rol es OIDC_MicrosoftSentinelRole, por lo que el ARN del rol sería
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.Escriba el nombre de la cola de SQS que se creó. El nombre predeterminado de esta cola es SentinelSQSQueue, por lo que la dirección URL sería
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.Seleccione Conectar para agregar el recopilador. Esto crea una regla de recopilación de datos para el agente de Azure Monitor para recuperar los registros e ingerirlos en la tabla dedicada de AWSWAF en el área de trabajo de Log Analytics.
Prueba y supervisión del conector
Una vez configurado el conector, vaya a la página Registros (o a la página Búsqueda avanzada en el portal de Defender) y ejecute la consulta siguiente. Si obtiene algún resultado, el conector funciona correctamente.
AWSWAF | take 10Si aún no lo ha hecho, se recomienda implementar la supervisión del estado del conector de datos para que pueda saber cuándo los conectores no reciben datos ni ningún otro problema con los conectores. Para más información, consulte Supervisión del estado de los conectores de datos.