Skonfiguruj swoje środowisko Amazon Web Services (AWS) w celu zbierania dzienników AWS w Microsoft Sentinel.

Łączniki Amazon Web Services (AWS) upraszczają proces zbierania dzienników z Amazon S3 (Simple Storage Service) i ich wprowadzania do Microsoft Sentinel. Łączniki udostępniają narzędzia ułatwiające konfigurowanie środowiska platformy AWS na potrzeby zbierania dzienników usługi Microsoft Sentinel.

W tym artykule opisano konfigurację środowiska platformy AWS wymaganą do wysyłania dzienników do usługi Microsoft Sentinel oraz linki do instrukcji krok po kroku dotyczących konfigurowania środowiska i zbierania dzienników platformy AWS przy użyciu każdego obsługiwanego łącznika.

Omówienie konfiguracji środowiska platformy AWS

Na tym diagramie pokazano, jak skonfigurować środowisko platformy AWS w celu wysyłania dzienników na platformę Azure:

1. Utwórz zasobnik S3 (Simple Storage Service) i kolejkę SQS (Usługa Kolejkowania), do której zasobnik S3 publikuje powiadomienia po otrzymaniu nowych logów.

   Łączniki dla usługi Microsoft Sentinel:

   • Sonduj kolejkę SQS w częstych odstępach czasu w poszukiwaniu komunikatów, które zawierają ścieżki do nowych plików dziennika.
   • Pobierz pliki z zasobnika S3 na podstawie ścieżki określonej w powiadomieniach SQS.

2. Utwórz dostawcę tożsamości internetu Open ID Connect (OIDC) i dodaj Microsoft Sentinel jako zarejestrowaną aplikację, dodając ją jako odbiorcę.

   Łączniki usługi Microsoft Sentinel używają identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą usług AWS za pośrednictwem protokołu OpenID Connect (OIDC) i przyjmują rolę usługi AWS IAM.

   Ważne

   Jeśli masz już skonfigurowanego dostawcę OIDC Connect dla usługi Microsoft Defender for Cloud, dodaj usługę Microsoft Sentinel jako grupę docelową do istniejącego dostawcy (Komercyjnie: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Rząd: api://d4230588-5f84-4281-a9c7-2c15194b28f7). Nie próbuj utworzyć nowego dostawcy OIDC dla usługi Microsoft Sentinel.

3. Utwórz przypisaną rolę platformy AWS , aby przyznać łącznikowi usługi Microsoft Sentinel uprawnienia dostępu do zasobnika usługi AWS S3 i zasobów SQS.

   1. Przypisz odpowiednie zasady uprawnień IAM, aby przyznać roli dostęp do zasobów.

   2. Skonfiguruj łączniki tak, aby korzystały z utworzonej roli i kolejki SQS w celu uzyskiwania dostępu do zasobnika S3 i pobierania dzienników.

4. Skonfiguruj usługi AWS do wysyłania dzienników do zasobnika S3.

Konfiguracja ręczna

Mimo że środowisko AWS można skonfigurować ręcznie, zgodnie z opisem w tej sekcji, zdecydowanie zalecamy użycie zautomatyzowanych narzędzi udostępnianych podczas wdrażania łączników platformy AWS .

1. Utwórz zasobnik S3 i kolejkę SQS

1. Utwórz zasobnik S3 , do którego można wysyłać dzienniki z usług AWS — VPC, GuardDuty, CloudTrail lub CloudWatch.

   Zapoznaj się z instrukcjami dotyczącymi tworzenia zasobnika magazynu S3 w dokumentacji platformy AWS.

2. Utwórz standardową kolejkę komunikatów usługi Simple Queue Service (SQS), do której zasobnik S3 może publikować powiadomienia.

   Zapoznaj się z instrukcjami dotyczącymi tworzenia standardowej kolejki usługi Simple Queue Service (SQS) w dokumentacji platformy AWS.

3. Skonfiguruj zasobnik S3, aby wysyłał powiadomienia do kolejki SQS.

   Zapoznaj się z instrukcjami dotyczącymi publikowania powiadomień w kolejce SQS w dokumentacji platformy AWS.

2. Utwórz webowego dostawcę tożsamości Open ID Connect (OIDC)

Postępuj zgodnie z tymi instrukcjami w dokumentacji platformy AWS:
Tworzenie dostawców tożsamości OpenID Connect (OIDC).

3. Tworzenie roli przejętej przez platformę AWS

1. Postępuj zgodnie z tymi instrukcjami w dokumentacji platformy AWS:
   Tworzenie roli dla tożsamości sieciowej lub federacji OpenID Connect.

   Parametr	Wybór/wartość	Komentarze
   Typ zaufanej jednostki	Tożsamość sieci Web	Zamiast domyślnej usługi AWS.
   Dostawca tożsamości	Reklama: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Rząd: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	Dostawca utworzony w poprzednim kroku.
   Audiencja	Reklama: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Rząd: api://d4230588-5f84-4281-a9c7-2c15194b28f7	Odbiorca, którego zdefiniowałeś dla dostawcy tożsamości w poprzednim kroku.
   Uprawnienia do przypisywania	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Inne zasady przetwarzania różnych typów logów usług AWS	Aby uzyskać informacje na temat tych zasad, zobacz odpowiednią stronę zasad uprawnień łącznika usługi AWS S3 w repozytorium GitHub usługi Microsoft Sentinel. Strona zasad uprawnień łącznika platformy AWS Commercial S3 Strona zasad uprawnień łącznika Amazon S3 dla instytucji rządowych
   Nazwa	"OIDC_MicrosoftSentinelRole"	Wybierz zrozumiałą nazwę zawierającą odwołanie do usługi Microsoft Sentinel. Nazwa musi zawierać dokładny prefiks OIDC_; w przeciwnym razie łącznik nie może działać poprawnie.

2. Edytuj zasady zaufania nowej roli i dodaj kolejny warunek:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Ważne

   Wartość parametru sts:RoleSessionName musi mieć dokładny prefiks MicrosoftSentinel_; w przeciwnym razie łącznik nie działa prawidłowo.

   Ukończone zasady zaufania powinny wyglądać następująco:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX to twój identyfikator konta platformy AWS.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX to identyfikator obszaru roboczego usługi Microsoft Sentinel.

   Zaktualizuj (zapisz) zasady po zakończeniu edycji.

Konfigurowanie usług AWS do eksportowania dzienników do zasobnika S3

Zapoznaj się z połączoną dokumentacją usług Amazon Web Services, aby uzyskać instrukcje dotyczące wysyłania każdego typu dziennika do zasobnika S3:

• Publikowanie dziennika przepływu VPC w zasobniku S3.

  Uwaga / Notatka

  Jeśli zdecydujesz się dostosować format dziennika, musisz uwzględnić atrybut start, ponieważ odpowiada on polu TimeGenerated w przestrzeni roboczej Log Analytics. W przeciwnym razie pole TimeGenerated zostanie wypełnione pozyskanym czasem zdarzenia, co nie opisuje dokładnie zdarzenia dziennika.

• Wyeksportuj wyniki GuardDuty do koszyka S3.

  Uwaga / Notatka

  • W usłudze AWS wyniki są domyślnie eksportowane co 6 godzin. Dostosuj częstotliwość eksportowania dla zaktualizowanych aktywnych wyników na podstawie wymagań środowiska. Aby przyspieszyć proces, możesz zmodyfikować ustawienie domyślne, aby eksportować wyniki co 15 minut. Zobacz Ustawianie częstotliwości eksportowania zaktualizowanych aktywnych wyników.

  • Pole TimeGenerated jest wypełniane wartością czasu aktualizacji odkrycia.

• Trasy usługi AWS CloudTrail są domyślnie przechowywane w zasobnikach S3.

  • Utwórz ślad dla pojedynczego konta.
  • Utwórz szlak obejmujący wiele kont w całej organizacji.

• Wyeksportuj dane dziennika usługi CloudWatch do zasobnika S3.

4. Wdrażanie łączników platformy AWS

Usługa Microsoft Sentinel udostępnia następujące łączniki platformy AWS:

• Łącznik Zapory Aplikacji Internetowej (WAF) Amazon Web Services: pobiera dzienniki WAF zebrane w zasobnikach AWS S3 do usługi Microsoft Sentinel.
• Łącznik dzienników usług Amazon Web Services: Przetwarza dzienniki usług AWS przechowywane w zasobach AWS S3 do usługi Microsoft Sentinel.

Dalsze kroki

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .