Udostępnij przez

Łączenie usługi Microsoft Sentinel z usługami Amazon Web Services w celu pozyskiwania dzienników zapory aplikacji internetowej platformy AWS

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Łącznik Zapory aplikacji internetowej (WAF) oparty na usłudze Amazon Web Services (AWS) (AWS) umożliwia pozyskiwanie dzienników zapory aplikacji internetowej platformy AWS zebranych w zasobnikach usług AWS S3 do usługi Microsoft Sentinel. Dzienniki zapory aplikacji internetowej platformy AWS to szczegółowe rekordy ruchu internetowego analizowane przez zaporę aplikacji internetowej platformy AWS względem list kontroli dostępu do sieci Web (ACL). Te rekordy zawierają informacje, takie jak czas odebrania żądania przez zaporę aplikacji internetowej platformy AWS, specyfikę żądania oraz akcję podjętą przez regułę zgodną z żądaniem. Te dzienniki i ta analiza są niezbędne do utrzymania bezpieczeństwa i wydajności aplikacji internetowych.

Ten łącznik zawiera skrypt dołączania oparty na platformie AWS CloudFormation, aby usprawnić tworzenie zasobów platformy AWS używanych przez łącznik.

Ważne

Omówienie

Łącznik danych Amazon Web Services S3 WAF obsługuje następujące przypadki użycia:

  • Monitorowanie zabezpieczeń i wykrywanie zagrożeń: Przeanalizuj dzienniki AWS WAF, aby pomóc w identyfikacji zagrożeń bezpieczeństwa, takich jak wstrzykiwanie SQL i ataki skryptów między witrynami (XSS), oraz reagowaniu na nie. Pozyskając te dzienniki do usługi Microsoft Sentinel, możesz użyć zaawansowanej analizy i analizy zagrożeń do wykrywania i badania złośliwych działań.

  • Zgodność i audyt: Dzienniki AWS WAF zawierają szczegółowe zapisy ruchu web ACL, co może być kluczowe dla celów raportowania zgodności i audytu. Łącznik zapewnia, że te dzienniki są dostępne w usłudze Sentinel w celu łatwego dostępu i analizy.

W tym artykule wyjaśniono, jak skonfigurować łącznik zapory aplikacji internetowej usług Amazon Web Services S3. Proces jego konfigurowania obejmuje dwie części: stronę platformy AWS i stronę usługi Microsoft Sentinel. Każdy proces strony generuje informacje używane przez drugą stronę. To dwukierunkowe uwierzytelnianie tworzy bezpieczną komunikację.

Wymagania wstępne

  • Musisz mieć uprawnienia do zapisu w obszarze roboczym usługi Microsoft Sentinel.

  • Zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel. Jeśli masz już zainstalowaną wersję 3.0.2 rozwiązania (lub starszego), zaktualizuj rozwiązanie w centrum zawartości, aby upewnić się, że masz najnowszą wersję, która zawiera ten łącznik. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Włączanie i konfigurowanie łącznika zapory aplikacji internetowej amazon Web Services S3

Proces włączania i konfigurowania łącznika obejmuje następujące zadania:

  • W środowisku platformy AWS:

    Strona łącznika Amazon Web Services S3 WAF w usłudze Microsoft Sentinel zawiera dostępne do pobrania szablony stosu AWS CloudFormation, które automatyzują następujące zadania AWS:

    • Skonfiguruj usługi AWS w celu wysyłania dzienników do zasobnika S3.

    • Utwórz kolejkę simple queue service (SQS), aby dostarczyć powiadomienie.

    • Utwórz dostawcę tożsamości sieci Web w celu uwierzytelniania użytkowników na platformie AWS za pośrednictwem protokołu OpenID Connect (OIDC).

    • Utwórz przyjętą rolę w celu udzielenia uprawnień użytkownikom uwierzytelnianym przez dostawcę tożsamości sieci Web OIDC w celu uzyskania dostępu do zasobów platformy AWS.

    • Dołącz odpowiednie zasady uprawnień IAM, aby zapewnić dostęp przejętej roli do odpowiednich zasobów (wiadro S3, SQS).

  • W usłudze Microsoft Sentinel:

    • Skonfiguruj Konektor WAF Amazon Web Services S3 w portalu Microsoft Sentinel, dodając moduły zbierające dzienniki, które odpytywają kolejkę i pobierają dane dziennika z zasobnika S3. Zapoznaj się z poniższymi instrukcjami.

Konfigurowanie środowiska platformy AWS

Aby uprościć proces dołączania, strona łącznika zapory aplikacji internetowych Amazon Web Services S3 w usłudze Microsoft Sentinel zawiera szablony do pobrania, które można wykorzystać z usługą AWS CloudFormation. Usługa CloudFormation używa tych szablonów do automatycznego tworzenia stosów zasobów na platformie AWS. Te stosy zawierają zasoby same w sobie podane w tym artykule oraz poświadczenia, uprawnienia i zasady.

Uwaga

Zdecydowanie zalecamy użycie procesu automatycznej konfiguracji. Aby zapoznać się ze specjalnymi przypadkami, zobacz instrukcje dotyczące ręcznej konfiguracji.

Przygotowywanie plików szablonów

Aby uruchomić skrypt w celu skonfigurowania środowiska platformy AWS, wykonaj następujące kroki:

  1. Na portalu Azure, z menu nawigacyjnego Microsoft Sentinel, rozwiń Konfiguracja i wybierz Łączniki danych.

    W portalu Defender z menu szybkiego uruchamiania rozwiń Konfigurację Microsoft Sentinel > i wybierz Łączniki danych.

  2. Wybierz Amazon Web Services S3 WAF z listy konektorów danych.

    Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w obszarze Zarządzanie zawartością w usłudze Microsoft Sentinel lub zaktualizuj rozwiązanie do najnowszej wersji.

  3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

    Zrzut ekranu przedstawiający galerię łączników danych.

  4. W sekcji Konfiguracja, w punkcie 1. AWS CloudFormation Wdrożenie, wybierz link AWS CloudFormation Stacks. Spowoduje to otwarcie konsoli platformy AWS na nowej karcie przeglądarki.

  5. Wróć do karty portalu, na której masz otwartą usługę Microsoft Sentinel. Wybierz pozycję Pobierz w obszarze Szablon 1: Wdrożenie uwierzytelniania OpenID Connect , aby pobrać szablon, który tworzy dostawcę tożsamości sieci Web OIDC. Szablon jest pobierany jako plik JSON do wyznaczonego folderu pobierania.

    Uwaga

    Jeśli masz już dostawcę tożsamości sieci Web OIDC, pomiń ten krok.

  6. Wybierz Pobierz w obszarze Szablon 2: Wdrażanie zasobów AWS WAF, aby pobrać szablon, który tworzy inne zasoby AWS. Szablon jest pobierany jako plik JSON do wyznaczonego folderu pobierania.

    Zrzut ekranu przedstawiający stronę konfiguracji łącznika AWS S3 WAF.

Tworzenie stosów platformy AWS CloudFormation

Wróć do karty Przeglądarki konsoli platformy AWS, która jest otwarta na stronie AWS CloudFormation w celu utworzenia stosu.

Jeśli jeszcze nie zalogowano się do platformy AWS, zaloguj się teraz i nastąpi przekierowanie do strony AWS CloudFormation.

Tworzenie dostawcy tożsamości sieci Web OIDC

Ważne

Jeśli masz już dostawcę tożsamości sieci Web OIDC z poprzedniej wersji łącznika usługi AWS S3, pomiń ten krok i przejdź do sekcji Tworzenie pozostałych zasobów platformy AWS.
Jeśli masz już skonfigurowanego dostawcę OIDC Connect dla usługi Microsoft Defender for Cloud, dodaj usługę Microsoft Sentinel jako grupę docelową do istniejącego dostawcy (Komercyjnie: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Rząd: api://d4230588-5f84-4281-a9c7-2c15194b28f7). Nie próbuj utworzyć nowego dostawcy OIDC dla usługi Microsoft Sentinel.

Postępuj zgodnie z instrukcjami na stronie Konsola platformy AWS, aby utworzyć nowy stos.

  1. Określ szablon i przekaż plik szablonu.

  2. Wybierz Wybierz plik i znajdź pobrany plik "Szablon 1_ uwierzytelnianie OpenID Connect deployment.json".

  3. Wybierz nazwę stosu.

  4. Przejdź do pozostałej części procesu i utwórz stos.

Tworzenie pozostałych zasobów platformy AWS

  1. Wróć do strony stosów CloudFormation platformy AWS i utwórz nowy stos.

  2. Wybierz pozycję Wybierz plik i znajdź pobrany plik "Szablon 2_ zasoby zapory aplikacji internetowej platformy AWS deployment.json".

  3. Wybierz nazwę stosu.

  4. Po wyświetleniu monitu wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel. Aby znaleźć identyfikator obszaru roboczego:

    • W portalu Azure, w menu nawigacyjnym Microsoft Sentinel, rozwiń Konfiguracja i wybierz Ustawienia. Wybierz kartę Ustawienia obszaru roboczego i znajdź identyfikator obszaru roboczego na stronie obszaru roboczego usługi Log Analytics.

    • W portalu usługi Defender w menu szybkiego uruchamiania rozwiń System i wybierz Ustawienia. Wybierz Microsoft Sentinel, a następnie wybierz Ustawienia usługi Log Analytics pod Ustawienia dla [WORKSPACE_NAME]. Znajdź identyfikator obszaru roboczego na stronie obszaru roboczego usługi Log Analytics, która zostanie otwarta na nowej karcie przeglądarki.

  5. Przejdź do pozostałej części procesu i utwórz stos.

Dodawanie modułów zbierających dzienniki

Po utworzeniu stosów zasobów wróć do karty przeglądarki otwartej na stronę łącznika danych w usłudze Microsoft Sentinel i rozpocznij drugą część procesu konfiguracji.

  1. W sekcji Konfiguracja poniżej 2. Połącz nowe moduły zbierające, wybierz pozycję Dodaj nowy moduł zbierający.

    Zrzut ekranu przedstawiający drugą część konfiguracji łącznika platformy AWS.

  2. Wprowadź rolę ARN utworzonej roli IAM. Domyślna nazwa roli to OIDC_MicrosoftSentinelRole, tak więc rola ARN będzie...
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Wprowadź nazwę utworzonej kolejki SQS. Domyślną nazwą tej kolejki jest SentinelSQSQueue, więc adres URL będzie następujący:
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Wybierz pozycję Połącz, aby dodać moduł zbierający. Spowoduje to utworzenie reguły zbierania danych dla agenta usługi Azure Monitor w celu pobrania dzienników i umieszczania ich w dedykowanej tabeli AWSWAF w obszarze roboczym Log Analytics.

    Zrzut ekranu przedstawiający dodawanie nowego kolektora dla dzienników WAF.

Testowanie i monitorowanie łącznika

  1. Po skonfigurowaniu łącznika przejdź do strony Dzienniki (lub strony Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender) i uruchom następujące zapytanie. Jeśli otrzymasz jakiekolwiek wyniki, łącznik działa prawidłowo.

    AWSWAF
| take 10

  2. Jeśli jeszcze tego nie zrobiono, zalecamy zaimplementowanie monitorowania kondycji łącznika danych , aby wiedzieć, kiedy łączniki nie odbierają danych ani innych problemów z łącznikami. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych.

  • Last updated on