Partager via

Connecter un compte AWS connecté à Microsoft Sentinel à Defender pour Cloud

Microsoft Defender pour Cloud génère un modèle CloudFormation qui inclut les ressources nécessaires à l’intégration de votre compte Amazon Web Services (AWS). Microsoft Defender pour Cloud et Microsoft Sentinel peuvent ingérer des événements AWS CloudTrail. Par défaut, le connecteur Microsoft Sentinel reçoit des notifications CloudTrail directement depuis Amazon S3 via une file d’attente Amazon SQS. Étant donné qu’une file d’attente Amazon SQS ne prend en charge qu’un seul consommateur, l’activation de l’ingestion CloudTrail pour Defender pour Cloud nécessite la configuration d’un modèle de distribution Amazon SNS de sorte que les deux services puissent recevoir des événements CloudTrail en parallèle.

Cet article explique comment activer l’ingestion CloudTrail pour Defender pour Cloud lorsque votre compte AWS est déjà connecté à Microsoft Sentinel.

Conditions préalables

Pour effectuer les procédures décrites dans cet article, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez vous inscrire gratuitement.

  • Microsoft Defender pour le cloud configuré sur votre abonnement Azure.

  • Accès à un compte AWS.

  • Autorisation de niveau Contributeur pour l’abonnement Azure concerné.

  • Méthode fan-out SNS uniquement :

    • AWS CloudTrail configuré pour fournir des journaux à un compartiment Amazon S3.
    • Connecteur Microsoft Sentinel AWS existant qui ingère les journaux CloudTrail à partir de ce compartiment.

Activer l’ingestion CloudTrail à l’aide de la distribution ramifiée SNS

Si vos journaux AWS CloudTrail sont déjà diffusés en continu dans Microsoft Sentinel, vous pouvez activer l’ingestion CloudTrail pour Defender for Cloud en utilisant Amazon SNS comme mécanisme de distribution ramifiée. Cette configuration permet aux deux services de recevoir des événements CloudTrail en parallèle.

Important

Ces étapes configurent les ressources AWS pour l’ingestion cloudTrail partagée. Pour finaliser la configuration de Defender for Cloud, intégrez les journaux AWS CloudTrail à Microsoft Defender for Cloud.

Créer une rubrique Amazon SNS pour CloudTrail

  1. Dans aws Management Console, ouvrez Amazon SNS.

  2. Sélectionnez Créer une rubrique et choisissez Standard.

  3. Entrez un nom descriptif (par exemple) CloudTrail-SNSet sélectionnez Créer une rubrique.

  4. Copiez l’ARN de rubrique pour une utilisation ultérieure.

  5. Dans la page détails de la rubrique, sélectionnez Modifier, puis développez la stratégie d’accès.

  6. Ajoutez une instruction de stratégie qui permet au compartiment CloudTrail S3 de publier des événements dans la rubrique.

    Remplacez <region>, <accountid>et <S3_BUCKET_ARN> par vos valeurs :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Créer une file d’attente SQS pour Defender pour Cloud

  1. Dans Amazon SQS, sélectionnez Créer une file d’attente et choisissez Standard.

  2. Entrez un nom (par exemple) DefenderForCloud-SQSet créez la file d’attente.

  3. Mettez à jour la stratégie d’accès aux files d’attente SQS pour permettre à l’ARN de la rubrique SNS d’effectuer l’action SQS:SendMessage pour cette file d’attente.

    Appliquez cette stratégie à chaque file d’attente SQS qui s’abonne à la rubrique SNS CloudTrail. Cela inclut généralement les éléments suivants :

    • File d’attente SQS utilisée par Microsoft Sentinel
    • File d’attente SQS créée pour Defender pour Cloud
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

Abonner les deux files d’attente SQS à la rubrique SNS

  1. Dans Amazon SNS, ouvrez la rubrique que vous avez créée.

  2. Créez des abonnements à la rubrique SNS pour les deux :

    • Votre file d’attente Microsoft Sentinel SQS existante

    • La nouvelle file d’attente Defender pour Cloud SQS

      Capture d’écran de la page de création d’un abonnement Amazon Simple Notification Service montrant Amazon Simple Queue Service sélectionné comme protocole et remise de messages brute activée.

  3. Lors de la création de chaque abonnement :

    • Sélectionnez Amazon SQS comme protocole.
    • Collez l’ARN de file d’attente.
    • Activez la remise des messages bruts.

Mettre à jour la stratégie d’accès à la file d’attente MICROSOFT Sentinel SQS

Si votre compte AWS était déjà connecté à Microsoft Sentinel, vous devez également mettre à jour la file d’attente Sentinel SQS existante pour autoriser la rubrique SNS à envoyer des messages.

  1. Dans Amazon SQS, ouvrez la file d’attente SQS utilisée par Microsoft Sentinel.

  2. Modifiez la stratégie d’accès.

  3. Ajoutez la même instruction SQS:SendMessage que celle utilisée pour la file d’attente Defender for Cloud, en référençant l’ARN de la rubrique SNS CloudTrail.

  4. Enregistrez la stratégie.

Si cette étape est ignorée, Microsoft Sentinel cesse de recevoir des notifications CloudTrail après avoir basculé vers la configuration de distribution ramifiée SNS.

Mettre à jour les notifications d'événements S3 pour publier les logs de CloudTrail sur SNS

  1. Dans Amazon S3, ouvrez votre compartiment CloudTrail et accédez aux notifications d’événements.

  2. Supprimez la notification d’événement S3 → SQS existante utilisée par Microsoft Sentinel.

  3. Créez une notification d’événement à publier dans la rubrique SNS.

  4. Définissez le type d’événement sur Object created (PUT).

  5. Configurez un filtre de préfixe pour que seuls les fichiers de journal CloudTrail génèrent des notifications.

    Utilisez le format complet du chemin d’accès au journal CloudTrail :

    AWSLogs/<AccountID>/CloudTrail/

  6. Enregistrer la configuration.

Après ces modifications, Microsoft Sentinel et Defender pour Cloud reçoivent des notifications d’événements CloudTrail à l’aide du modèle de fan-out SNS.

Capture d’écran de la liste des abonnements aux rubriques Amazon Simple Notification Service montrant deux abonnements Amazon Simple Queue Service pour Microsoft Sentinel et Defender pour Cloud.

Résoudre les conflits du fournisseur d’identité OIDC

  1. Suivez les étapes de Connexion des comptes AWS à Microsoft Defender pour le Cloud jusqu’à l’étape 8 dans la section Connecter votre compte AWS.

  2. Cliquez sur Copier.

    Capture d’écran montrant l’emplacement du bouton copier.

  3. Collez le modèle dans un outil de modification de texte local.

  4. Recherchez la section "ASCDefendersOIDCIdentityProvider": { du modèle et effectuez une copie distincte de l’ensemble de ClientIdList.

  5. Recherchez la section ASCDefendersOIDCIdentityProvider dans le modèle et supprimez-la.

  6. Enregistrez le fichier localement.

  7. Dans une fenêtre de navigateur distincte, connectez-vous à votre compte AWS.

  8. Accédez à la gestion de l’identité et des accès (IAM)>Fournisseurs d’identité.

  9. Recherchez et sélectionnez 33e01921-4d64-4f8c-a055-5bdaffd5e33d.

  10. Sélectionnez Actions>Ajouter un auditoire.

  11. Collez la section ClientIdList que vous avez copiée à l’étape 4.

  12. Accédez à la page Configurer l’accès dans Defender pour Cloud.

  13. Suivez les instructions Créer une pile dans AWS et utilisez le modèle que vous avez enregistré localement.

    Capture d’écran montrant où se trouvent les instructions de la pile de création.

  14. Cliquez sur Suivant.

  15. Cliquez sur Créer.

Étapes suivantes

  • Last updated on