Partager via

Intégrer les journaux AWS CloudTrail à Microsoft Defender pour le Cloud (version préliminaire)

Microsoft Defender pour Cloud peut collecter des événements de gestion AWS CloudTrail pour améliorer la visibilité des opérations d’identité, des modifications d’autorisation et d’autres activités de plan de contrôle dans vos environnements AWS.

L’ingestion CloudTrail ajoute des signaux basés sur l’activité aux fonctionnalités CIEM de Defender pour Cloud, ce qui permet à l’analyse des risques d’identité et d’autorisation d’être basée non seulement sur les droits d’identité configurés, mais également sur l’utilisation observée.

L’ingestion CloudTrail améliore la gestion des droits d’utilisation de l’infrastructure cloud (CIEM) en aidant à identifier les autorisations inutilisées, les rôles mal configurés, les identités dormantes et les chemins d’escalade de privilèges potentiels. Il fournit également un contexte d’activité qui renforce la détection de dérive de configuration, les recommandations de sécurité et l’analyse du chemin d’accès aux attaques.

L’ingestion CloudTrail est disponible pour les comptes AWS uniques et les organisations AWS qui utilisent la journalisation centralisée.

Prerequisites

Avant d’activer l’ingestion CloudTrail, vérifiez que votre compte AWS dispose des éléments suivants :

  • Plan CSPM Defender activé sur l’abonnement Azure.

  • Autorisation d’accéder à AWS CloudTrail.

  • Accès au bucket Amazon S3 qui stocke les fichiers logs CloudTrail.

  • Accès aux notifications de file d’attente Amazon SQS associées à ce compartiment.

  • Accès aux clés AWS KMS si les journaux CloudTrail sont chiffrés.

  • Autorisations pour créer ou modifier des pistes CloudTrail et des ressources requises si vous approvisionnez une nouvelle piste.

  • CloudTrail configuré pour journaliser les événements de gestion.

Note

Utilisateurs de Microsoft Sentinel : si vous diffusez déjà en continu des journaux AWS CloudTrail dans Microsoft Sentinel, activer l’ingestion CloudTrail dans Defender for Cloud peut nécessiter des mises à jour de votre configuration Sentinel. Passez en revue le flux de travail mis à jour pour éviter les conflits d’ingestion en suivant la connexion d’un compte AWS connecté à Sentinel à Defender for Cloud.

Configurer l’ingestion CloudTrail dans Microsoft Defender pour Cloud

Une fois votre compte AWS connecté :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender for Cloud>Paramètres d’environnement.

  3. Sélectionnez votre connecteur AWS.

  4. Sous Surveillance de la couverture, ouvrez Paramètres.

  5. Activez l’ingestion AWS CloudTrail (préversion). Cela ajoute des options de configuration CloudTrail au flux de travail d’installation.

    Capture d’écran montrant la page de sélection d’un plan Defender pour cloud pour un connecteur AWS.

  6. Choisissez s’il faut s’intégrer à une piste CloudTrail existante ou en créer un nouveau :

    • Sélectionnez Fournir manuellement les détails de la piste pour utiliser une piste CloudTrail existante.

      1. Fournissez l’ARN du compartiment Amazon S3 et l’ARN de la file d’attente SQS associés à la piste existante.
      2. Si vous y êtes invité, déployez ou mettez à jour la pile de ressources CloudFormation.

      Note

      Lorsque vous sélectionnez une piste existante, Defender for Cloud effectue une collecte ponctuelle allant jusqu’à 90 jours d’événements de gestion CloudTrail historiques. Si l’ingestion CloudTrail est désactivée, les données historiques collectées pendant ce processus sont supprimées. La réactivation de l’ingestion CloudTrail déclenche une nouvelle collection de données historique.

    • Sélectionnez Créer un CloudTrail AWS pour provisionner un nouveau trail.

      1. Déployez le modèle CloudFormation ou Terraform lorsque vous y êtes invité.
      2. Une fois le déploiement terminé, recherchez l’ARN de file d’attente SQS dans la console AWS.
      3. Revenez à Defender pour Cloud et entrez l’ARN SQS dans le champ ARN SQS .

      Capture d’écran montrant les paramètres d’ingestion AWS CloudTrail pour un connecteur AWS dans Defender pour Cloud.

Comment Defender pour Cloud utilise les données CloudTrail

Une fois la configuration terminée :

  • AWS CloudTrail enregistre les événements de gestion à partir de votre compte AWS.
  • Les fichiers journaux sont écrits dans un compartiment Amazon S3.
  • Amazon SQS envoie des notifications lorsque de nouveaux logs sont disponibles.
  • Defender pour Cloud interroge la file d’attente SQS pour récupérer les références du fichier journal.
  • Defender for Cloud traite les données de télémétrie des journaux et enrichit les insights CIEM et de posture.

Vous pouvez personnaliser les sélecteurs d’événements CloudTrail pour modifier les événements de gestion capturés.

Valider l'ingestion de CloudTrail

Pour vérifier que les données de télémétrie CloudTrail circulent dans Defender for Cloud :

  • Vérifiez que le compartiment S3 accorde à Defender for Cloud l’autorisation de lire les fichiers journaux.
  • Vérifiez que les notifications SQS sont configurées pour les nouvelles remises de journaux.
  • Vérifiez que les rôles IAM autorisent l’accès aux artefacts CloudTrail et aux objets chiffrés.
  • Passez en revue les recommandations de Defender pour cloud et les insights d’identité après l’installation.

Les signaux peuvent mettre du temps à apparaître en fonction de la fréquence de remise CloudTrail et du volume d’événements.

Étapes suivantes

  • Last updated on