Compartir a través de

Conexión de una cuenta de AWS conectada de Microsoft Sentinel a Defender for Cloud

Microsoft Defender for Cloud genera una plantilla de CloudFormation que incluye los recursos necesarios para incorporar su cuenta de Amazon Web Services (AWS). Microsoft Defender for Cloud y Microsoft Sentinel pueden ingerir eventos de AWS CloudTrail. De forma predeterminada, el conector de Microsoft Sentinel recibe notificaciones de CloudTrail directamente desde Amazon S3 a través de una cola de Amazon SQS. Dado que una cola de Amazon SQS solo admite un consumidor, habilitar la integración de CloudTrail para Defender for Cloud requiere configurar un patrón de difusión de Amazon SNS para permitir que los servicios reciban eventos de CloudTrail en paralelo.

En este artículo se explica cómo habilitar la ingesta de CloudTrail para Defender for Cloud cuando la cuenta de AWS ya está conectada a Microsoft Sentinel.

Prerrequisitos

Para completar los procedimientos de este artículo, necesita:

  • Una suscripción de Microsoft Azure. Si no tienes una suscripción de Azure, puedes registrarte para obtener una gratuita.

  • Microsoft Defender for Cloud instalado en su suscripción Azure.

  • Acceso a una cuenta de AWS.

  • Permiso de nivel de colaborador para la suscripción de Azure pertinente.

  • Método de distribución ramificada de SNS únicamente:

    • AWS CloudTrail configurado para entregar registros a un cubo de Amazon S3.
    • Un conector existente de Microsoft Sentinel para AWS que ingiere registros de CloudTrail desde ese bucket.

Habilitar la ingesta de CloudTrail mediante la distribución ramificada de SNS

Si los registros de AWS CloudTrail ya se transmiten a Microsoft Sentinel, puede habilitar la ingesta de CloudTrail para Defender for Cloud mediante Amazon SNS como mecanismo de distribución ramificada. Esta configuración permite que ambos servicios reciban eventos de CloudTrail en paralelo.

Importante

Estos pasos configuran los recursos de AWS para la ingesta compartida de CloudTrail. Para finalizar la configuración de Defender for Cloud, integre los registros de AWS CloudTrail con Microsoft Defender for Cloud.

Creación de un tema de Amazon SNS para CloudTrail

  1. En la consola de administración de AWS, abra Amazon SNS.

  2. Seleccione Crear tema y elija Estándar.

  3. Escriba un nombre descriptivo (por ejemplo, CloudTrail-SNS) y seleccione Crear tema.

  4. Copie el Topic ARN para su uso posterior.

  5. En la página de detalles del tema, seleccione Editar y, a continuación, expanda Directiva de acceso.

  6. Agregue una instrucción de directiva que permita que el cubo de CloudTrail S3 publique eventos al tópico.

    Reemplace <region>, <accountid> y <S3_BUCKET_ARN> con sus valores.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Creación de una cola de SQS para Defender for Cloud

  1. En Amazon SQS, seleccione Crear cola y elija Estándar.

  2. Escriba un nombre (por ejemplo, DefenderForCloud-SQS) y cree la cola.

  3. Actualice la directiva de acceso a la cola SQS para permitir que el ARN del tópico de SNS realice la acción SQS:SendMessage para esta cola.

    Aplique esta directiva a cada cola de SQS que se suscriba al tópico CloudTrail SNS. Esto suele incluir:

    • La cola de SQS usada por Microsoft Sentinel
    • La cola de SQS creada para Defender for Cloud
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

Inscriba ambas colas de SQS al tópico SNS

  1. En Amazon SNS, abra el tema que creó.

  2. Cree suscripciones al tema SNS para ambas:

    • La cola de SQS existente en Microsoft Sentinel

    • La nueva cola de SQS de Defender for Cloud

      Captura de pantalla de la página de creación de suscripciones de Amazon Simple Notification Service que muestra Amazon Simple Queue Service seleccionado como protocolo y la entrega de mensajes sin procesar habilitada.

  3. Al crear cada suscripción:

    • Seleccione Amazon SQS como protocolo.
    • Pegue el ARN de cola.
    • Habilite la entrega de mensajes sin procesar.

Actualizar la política de acceso a la cola SQS de Microsoft Sentinel

Si la cuenta de AWS ya estaba conectada a Microsoft Sentinel, también debe actualizar la cola SQS existente de Sentinel para permitir que el tópico de SNS envíe mensajes.

  1. En Amazon SQS, abra la cola SQS utilizada por Microsoft Sentinel.

  2. Edite la directiva de acceso.

  3. Agregue la misma SQS:SendMessage instrucción que se usa para la cola de Defender for Cloud, haciendo referencia al ARN del tópico SNS de CloudTrail.

  4. Guarde la directiva.

Si se omite este paso, Microsoft Sentinel dejará de recibir notificaciones de CloudTrail después de que cambie a la configuración de distribución ramificada de SNS.

Actualización de las notificaciones de eventos de S3 para publicar registros de CloudTrail en SNS

  1. En Amazon S3, abra el bucket de CloudTrail y vaya a Notificaciones de eventos.

  2. Elimine la notificación de eventos S3 → SQS existente que usa Microsoft Sentinel.

  3. Cree una nueva notificación de eventos para publicar en el tema SNS.

  4. Establezca el tipo de evento en Object created (PUT).

  5. Configure un filtro de prefijo para que solo los archivos de registro de CloudTrail generen notificaciones.

    Use el formato completo de ruta de acceso de registro de CloudTrail:

    AWSLogs/<AccountID>/CloudTrail/

  6. Guarde la configuración.

Después de estos cambios, Microsoft Sentinel y Defender for Cloud reciben notificaciones de eventos de CloudTrail mediante el patrón de distribución ramificada de SNS.

Captura de pantalla de la lista de suscripciones del tema Amazon Simple Notification Service en la que se muestran dos suscripciones de Amazon Simple Queue Service para Microsoft Sentinel y Defender for Cloud.

Resolución de conflictos del proveedor de identidades de OIDC

  1. Siga los pasos descritos en Conexión de cuentas de AWS a Microsoft Defender for Cloud hasta el paso 8 de la sección Conexión de la cuenta de AWS .

  2. Seleccione Copiar.

    Captura de pantalla que muestra dónde se encuentra el botón copiar.

  3. Pegue la plantilla en una herramienta de edición de texto local.

  4. Busque la sección "ASCDefendersOIDCIdentityProvider": { de la plantilla y realice una copia independiente de todo ClientIdList.

  5. Busque la sección ASCDefendersOIDCIdentityProvider en la plantilla y elimínela.

  6. Guarde el archivo en el entorno local.

  7. En una ventana independiente del explorador, inicie sesión en su cuenta de AWS.

  8. Vaya a Administración de identidades y acceso (IAM)>Proveedores de identidades.

  9. Busque y seleccione 33e01921-4d64-4f8c-a055-5bdaffd5e33d.

  10. Seleccione Acciones>Agregar audiencia.

  11. Pegue la sección ClientIdList que copió en el paso 4.

  12. Vaya a la página Configurar acceso en Defender for Cloud.

  13. Siga las instrucciones de Creación de una pila en AWS y use la plantilla que guardó localmente.

    Recorte de pantalla que muestra dónde se encuentran las instrucciones de creación de la pila.

  14. Seleccione Siguiente.

  15. Selecciona Crear.

Pasos siguientes

  • Last updated on