Configurer votre environnement Amazon Web Services (AWS) afin de collecter les journaux d'AWS vers Microsoft Sentinel.

Les connecteurs Amazon Web Services (AWS) simplifient le processus de collecte des journaux d’activité à partir d’Amazon S3 (Service de stockage simple) et de les ingérer dans Microsoft Sentinel. Les connecteurs fournissent des outils pour vous aider à configurer votre environnement AWS pour la collecte de journaux Microsoft Sentinel.

Cet article décrit la configuration de l’environnement AWS requise pour envoyer des journaux à Microsoft Sentinel et des liens vers des instructions pas à pas pour configurer votre environnement et collecter des journaux AWS à l’aide de chaque connecteur pris en charge.

Vue d’ensemble de la configuration de l’environnement AWS

Ce diagramme montre comment configurer votre environnement AWS pour envoyer les logs vers Azure :

Capture d’écran de l’architecture du connecteur AWS S3.

Créez un compartiment de stockage S3 (Service de stockage simple) et une file d’attente SQS (Simple Queue Service) sur laquelle le compartiment S3 publie des notifications lorsqu’il reçoit de nouveaux journaux.

Connecteurs Microsoft Sentinel :
- Interrogez la file d’attente SQS, à intervalles fréquents, pour les messages qui contiennent les chemins d’accès aux nouveaux fichiers journaux.
- Récupérez les fichiers du compartiment S3 en fonction du chemin d’accès spécifié dans les notifications SQS.
Créez un fournisseur d’identité web Open ID Connect (OIDC) et ajoutez Microsoft Sentinel en tant qu’application inscrite (en l’ajoutant en tant qu’audience).

Les connecteurs Microsoft Sentinel utilisent l’ID Microsoft Entra pour s’authentifier auprès d’AWS via OpenID Connect (OIDC) et assumer un rôle AWS IAM.

Important

Si vous disposez déjà d’un fournisseur OIDC Connect configuré pour Microsoft Defender pour Cloud, ajoutez Microsoft Sentinel en tant qu’audience à votre fournisseur existant (Commercial : api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government :api://d4230588-5f84-4281-a9c7-2c15194b28f7). N’essayez pas de créer un fournisseur OIDC pour Microsoft Sentinel.
Créez un rôle AWS supposé pour accorder à votre connecteur Microsoft Sentinel des autorisations d’accès à votre compartiment AWS S3 et aux ressources SQS.
1. Attribuez les stratégies d’autorisations IAM appropriées pour accorder l’accès de rôle supposé aux ressources.
2. Configurez vos connecteurs pour utiliser le rôle supposé et la file d’attente SQS que vous avez créées pour accéder au compartiment S3 et récupérer les journaux.
Configurez les services AWS pour envoyer des journaux d’activité au compartiment S3.

Configuration manuelle

Bien que vous puissiez configurer l’environnement AWS manuellement, comme décrit dans cette section, nous vous recommandons vivement d’utiliser les outils automatisés fournis lorsque vous déployez des connecteurs AWS à la place.

1. Créer un compartiment S3 et une file d’attente SQS

Créez un compartiment S3 pour envoyer les journaux de suivi provenant de vos services AWS - VPC, GuardDuty, CloudTrail ou CloudWatch.

Consultez les instructions pour créer un compartiment de stockage S3 dans la documentation AWS.
Créez une file d’attente de messages SQS (Simple Queue Service) standard dans laquelle le compartiment S3 peut publier des notifications.

Consultez les instructions pour créer une file d'attente Simple Queue Service (SQS) standard dans la documentation AWS.
Configurez votre compartiment S3 pour envoyer des messages de notification à votre file d'attente SQS.

Consultez les instructions pour publier des notifications dans votre file d'attente SQS dans la documentation AWS.

2. Créer un fournisseur d’identité web Open ID Connect (OIDC)

Important

Si vous disposez déjà d’un fournisseur OIDC Connect configuré pour Microsoft Defender pour Cloud, ajoutez Microsoft Sentinel en tant qu’audience à votre fournisseur existant (Commercial : api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government :api://d4230588-5f84-4281-a9c7-2c15194b28f7). N’essayez pas de créer un fournisseur OIDC pour Microsoft Sentinel.

Suivez ces instructions dans la documentation AWS :
Création de fournisseurs d'identité OpenID Connect (OIDC).

Paramètre	Sélection / Valeur	Commentaires
ID du client	-	Ignorez cela, vous l'avez déjà. Voir Audience.
Type de fournisseur	OpenID Connect	Au lieu du SAML par défaut.
URL du fournisseur	Commercial : `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Gouvernement : `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
Empreinte de pouce	`626d44e704d1ceabe3bf0d53397464ac8080142c`	S'il est créé dans la console IAM, la sélection Obtenir une empreinte devrait vous donner ce résultat.
Public ciblé	Commercial : `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Gouvernement : `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. Créer un rôle AWS pris en charge

Suivez ces instructions dans la documentation AWS :
Création d'un rôle pour l'identité Web ou la fédération OpenID Connect.

Paramètre	Sélection / Valeur	Commentaires
Type d’entité approuvé	Identité Web	Au lieu du service AWS par défaut.
Fournisseur d'identité	Commercial : `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Gouvernement : `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	Le fournisseur que vous avez créé à l'étape précédente.
Public ciblé	Commercial : `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Gouvernement : `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	Audience que vous avez définie pour le fournisseur d'identité à l'étape précédente.
Autorisations à attribuer	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` Autres stratégies pour l’ingestion des différents types de journaux de service AWS	Pour plus d'informations sur ces stratégies, consultez la page pertinente sur les stratégies d'autorisations du connecteur AWS S3, dans le référentiel Microsoft Sentinel GitHub. Page des stratégies d’autorisations du connecteur AWS Commercial S3 Page des stratégies d’autorisations du connecteur AWS Government S3
Nom	« OIDC_MicrosoftSentinelRole »	Choisissez un nom significatif qui inclut une référence à Microsoft Sentinel. Le nom doit inclure le préfixe `OIDC_`exact ; sinon, le connecteur ne peut pas fonctionner correctement.

Modifiez la stratégie de confiance du nouveau rôle et ajoutez une autre condition :
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Important

La valeur du sts:RoleSessionName paramètre doit avoir le préfixe MicrosoftSentinel_exact ; sinon, le connecteur ne fonctionne pas correctement.

La stratégie de confiance terminée devrait ressembler à ceci :
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX est votre ID de compte AWS.
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX est votre identifiant d’espace de travail Microsoft Sentinel.
Mettez à jour (enregistrez) la stratégie lorsque vous avez terminé la modification.

Configurer des services AWS pour exporter les journaux vers un compartiment S3

Consultez le lien vers la documentation Amazon Web Services pour obtenir les instructions d'envoi de chaque type de journal à votre compartiment S3 :

Publiez un journal de flux VPC dans un compartiment S3.

Remarque

Si vous choisissez de personnaliser le format du journal, vous devez inclure l’attribut start, car celui-ci mappe au champ TimeGenerated dans l’espace de travail log Analytics. Sinon, le champ TimeGenerated est rempli avec l’heure ingérée de l’événement, qui ne décrit pas avec précision l’événement de journal.
Exportez vos résultats GuardDuty dans un compartiment S3.
Remarque
- Dans AWS, les résultats sont exportés par défaut toutes les 6 heures. Ajustez la fréquence d'exportation des résultats actifs mis à jour en fonction des exigences de votre environnement. Pour accélérer le processus, vous pouvez modifier le paramètre par défaut pour exporter les résultats toutes les 15 minutes. Voir Définition de la fréquence d'exportation des résultats actifs mis à jour.
- Le champ TimeGenerated est renseigné avec la Date de mise à jour du résultat.
Par défaut, les traçages d’AWS CloudTrail sont stockés dans des compartiments S3.
- Créez un traçage pour un compte unique.
- Créez un traçage couvrant plusieurs comptes dans une organisation.
Exportez vos données de journal CloudWatch vers un compartiment S3.

4. Déployer des connecteurs AWS

Microsoft Sentinel fournit ces connecteurs AWS :

Connecteur Amazon Web Services (Web Application Firewall) : ingère les journaux WAF AWS, collectés dans des compartiments AWS S3, vers Microsoft Sentinel.
Connecteur de journal de service Amazon Web Services : ingère des journaux des services AWS, collectés dans des compartiments AWS S3, dans Microsoft Sentinel.

Étapes suivantes

Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
Commencez à détecter les menaces avec Microsoft Sentinel.
Utilisez des classeurs pour superviser vos données.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-06-20