次の方法で共有

Microsoft Sentinel に接続された AWS アカウントを Defender for Cloud に接続する

Microsoft Defender for Cloud では、Amazon Web Services (AWS) アカウントのオンボードに必要なリソースを含む CloudFormation テンプレートが生成されます。 Microsoft Defender for Cloud と Microsoft Sentinel の両方で、AWS CloudTrail イベントを取り込むことができます。 既定では、Microsoft Sentinel コネクタは、Amazon SQS キューを介して Amazon S3 から直接 CloudTrail 通知を受信します。 Amazon SQS キューは 1 つのコンシューマーのみをサポートするため、Defender for Cloud の CloudTrail インジェストを有効にするには、両方のサービスが CloudTrail イベントを並列で受信できるように Amazon SNS ファンアウト パターンを構成する必要があります。

この記事では、AWS アカウントが既に Microsoft Sentinel に接続されている場合に、Defender for Cloud の CloudTrail インジェストを有効にする方法について説明します。

[前提条件]

この記事の手順を完了するには、次のものが必要です。

  • Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。

  • Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。

  • AWS アカウントへのアクセス。

  • 関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。

  • SNS ファンアウト方式のみ:

    • Amazon S3 バケットにログを配信するように構成された AWS CloudTrail。
    • そのバケットから CloudTrail ログを取り込む既存の Microsoft Sentinel AWS コネクタ。

SNS ファンアウトを使用して CloudTrail インジェストを有効にする

AWS CloudTrail ログが既に Microsoft Sentinel にストリーミングされている場合は、ファンアウト メカニズムとして Amazon SNS を使用して Defender for Cloud の CloudTrail インジェストを有効にすることができます。 この構成により、両方のサービスが CloudTrail イベントを並列で受信できます。

Important

次の手順では、共有 CloudTrail インジェスト用に AWS リソースを構成します。 Defender for Cloud のセットアップを完了するには、 AWS CloudTrail ログを Microsoft Defender for Cloud と統合します。

CloudTrail 用の Amazon SNS トピックを作成する

  1. AWS マネジメントコンソールで、 Amazon SNS を開きます。

  2. [ トピックの作成] を選択し、[ Standard] を選択します。

  3. わかりやすい名前 ( CloudTrail-SNSなど) を入力し、[ トピックの作成] を選択します。

  4. 後で使用するために トピック ARN を コピーします。

  5. トピックの詳細ページで、[ 編集] を選択し、[ アクセス ポリシー] を展開します。

  6. CloudTrail S3 バケットがトピックにイベントを発行できるようにするポリシー ステートメントを追加します。

    <region><accountid>、および<S3_BUCKET_ARN>を実際の値に置き換えます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Defender for Cloud の SQS キューを作成する

  1. Amazon SQS で、[キューの作成] を選択し、[Standard] を選択します。

  2. 名前 (たとえば、 DefenderForCloud-SQS) を入力し、キューを作成します。

  3. SQS キュー アクセス ポリシーを更新して、SNS トピック ARN がこのキューの SQS:SendMessage アクションを実行できるようにします。

    CloudTrail SNS トピックをサブスクライブする各 SQS キューに、このポリシーを適用します。 これには通常、次のものが含まれます。

    • Microsoft Sentinel で使用される SQS キュー
    • Defender for Cloud 用に作成された SQS キュー
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

両方の SQS キューを SNS トピックにサブスクライブする

  1. Amazon SNS で、作成したトピックを開きます。

  2. 次の両方について、SNS トピックのサブスクリプションを作成します。

    • 既存の Microsoft Sentinel SQS キュー

    • 新しい Defender for Cloud の SQS キュー

      プロトコルとして選択され、生メッセージ配信が有効になっている Amazon Simple Queue Service を示す [Amazon Simple Notification Service create subscription]\(Amazon Simple Notification Service のサブスクリプションの作成\) ページのスクリーンショット。

  3. 各サブスクリプションを作成する場合:

    • プロトコルとして Amazon SQS を選択します。
    • Queue ARN を貼り付けます。
    • 生メッセージ配信を有効にします。

Microsoft Sentinel SQS キュー アクセス ポリシーを更新する

AWS アカウントが既に Microsoft Sentinel に接続されている場合は、SNS トピックがメッセージを送信できるように、既存の Sentinel SQS キューも更新する必要があります。

  1. Amazon SQS で、Microsoft Sentinel で使用される SQS キューを開きます。

  2. アクセス ポリシーを編集します。

  3. CloudTrail SNS トピック ARN を参照して、Defender for Cloud キューに使用されるのと同じ SQS:SendMessage ステートメントを追加します。

  4. ポリシーを保存します。

この手順をスキップすると、SNS ファンアウト構成に切り替えた後、Microsoft Sentinel は CloudTrail 通知の受信を停止します。

S3 イベント通知を更新して CloudTrail ログを SNS に発行する

  1. Amazon S3 で CloudTrail バケットを開き、[イベント通知] に移動します。

  2. Microsoft Sentinel で使用されている既存の S3 → SQS イベント通知を削除します。

  3. 新しいイベント通知を作成して、SNS トピックに発行します。

  4. イベントの種類を Object created (PUT) に設定します。

  5. CloudTrail ログ ファイルのみが通知を生成するように プレフィックス フィルター を構成します。

    完全な CloudTrail ログ パス形式を使用します。

    AWSLogs/<AccountID>/CloudTrail/

  6. 構成を保存します。

これらの変更の後、Microsoft Sentinel と Defender for Cloud の両方が、SNS ファンアウト パターンを使用して CloudTrail イベント通知を受信します。

Microsoft Sentinel と Defender for Cloud 用の 2 つの Amazon Simple Queue Service サブスクリプションを示す Amazon Simple Notification Service トピックサブスクリプションの一覧のスクリーンショット。

OIDC ID プロバイダーの競合を解決する

  1. 「AWS アカウントの接続」セクションの手順 8 まで、 AWS アカウントを Microsoft Defender for Cloud接続 する手順に従います。

  2. コピーを選択します。

    コピー ボタンが配置されている場所を示すスクリーンショット。

  3. テンプレートをローカル テキスト編集ツールに貼り付けます。

  4. テンプレートの "ASCDefendersOIDCIdentityProvider": { セクションを検索し、ClientIdList 全体を個別にコピーします。

  5. テンプレートで ASCDefendersOIDCIdentityProvider セクションを検索し、削除します。

  6. ファイルをローカルに保存します。

  7. 別のブラウザー ウィンドウで、AWS アカウントにサインインします。

  8. ID およびアクセス管理 (IAM)>Identity プロバイダーに移動します。

  9. 33e01921-4d64-4f8c-a055-5bdaffd5e33d を検索して選択します。

  10. [ アクション]>[対象ユーザーの追加]を選択します。

  11. 手順 4 でコピーした ClientIdList セクションを貼り付けます。

  12. Defender for Cloud の [アクセスの構成] ページに移動します。

  13. AWS でスタックを作成する手順に従い、ローカルに保存したテンプレートを使用します。

    スタックの作成手順が配置されている場所を示すスクリーンショット。

  14. [次へ] を選択します。

  15. を選択してを作成します。

次のステップ

  • Last updated on