Udostępnij przez

Podłącz konto AWS, które jest połączone z usługą Microsoft Sentinel, do usługi Defender for Cloud.

Usługa Microsoft Defender for Cloud generuje szablon CloudFormation zawierający zasoby wymagane do dołączenia konta usług Amazon Web Services (AWS). Usługi Microsoft Defender for Cloud i Microsoft Sentinel mogą przetwarzać zdarzenia AWS CloudTrail. Domyślnie łącznik Microsoft Sentinel odbiera powiadomienia CloudTrail bezpośrednio z Amazon S3, korzystając z kolejki Amazon SQS. Ponieważ kolejka Amazon SQS obsługuje tylko jednego konsumenta, włączenie pozyskiwania danych CloudTrail dla usługi Defender for Cloud wymaga skonfigurowania wzorca rozgałęziania Amazon SNS, aby obie usługi mogły odbierać zdarzenia CloudTrail równolegle.

W tym artykule wyjaśniono, jak włączyć rejestrowanie usługi CloudTrail dla Defender for Cloud, gdy Twoje konto AWS jest już połączone z Microsoft Sentinel.

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, potrzebne są następujące elementy:

  • Subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

  • Microsoft Defender dla Chmury skonfigurować w ramach subskrypcji platformy Azure.

  • Dostęp do konta platformy AWS.

  • Uprawnienie na poziomie współautora dla odpowiedniej subskrypcji platformy Azure.

  • Tylko metoda dystrybucji SNS:

    • Usługa AWS CloudTrail skonfigurowana do dostarczania dzienników do zasobnika usługi Amazon S3.
    • Istniejący łącznik AWS platformy Microsoft Sentinel, który pozyskuje dzienniki CloudTrail z tego zasobnika.

Włączanie zbierania danych w usłudze CloudTrail przy użyciu SNS fan-out

Jeśli Twoje dzienniki AWS CloudTrail są już przesyłane strumieniowo do Microsoft Sentinel, możesz włączyć pozyskiwanie danych w Defender for Cloud za pomocą Amazon SNS jako mechanizmu fan-out. Ta konfiguracja umożliwia obu usługom równoległe odbieranie zdarzeń CloudTrail.

Ważne

Te czynności konfigurują zasoby AWS do współdzielonego pozyskiwania danych w CloudTrail. Aby sfinalizować konfigurację usługi Defender for Cloud, zintegruj dzienniki platformy AWS CloudTrail z usługą Microsoft Defender for Cloud.

Tworzenie tematu usługi Amazon SNS dla usługi CloudTrail

  1. W konsoli zarządzania platformy AWS otwórz usługę Amazon SNS.

  2. Wybierz pozycję Utwórz temat i wybierz pozycję Standardowa.

  3. Wprowadź opisową nazwę (na przykład CloudTrail-SNS) i wybierz pozycję Utwórz temat.

  4. Skopiuj Topic ARN do późniejszego użycia.

  5. Na stronie szczegółów tematu wybierz pozycję Edytuj, a następnie rozwiń Zasady dostępu.

  6. Dodaj oświadczenie zasad, które umożliwia bucketowi CloudTrail S3 publikowanie zdarzeń w temacie.

    Zastąp <region>, <accountid> i <S3_BUCKET_ARN> swoimi wartościami:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Tworzenie kolejki SQS dla usługi Defender for Cloud

  1. W usłudze Amazon SQS wybierz pozycję Utwórz kolejkę i wybierz pozycję Standardowa.

  2. Wprowadź nazwę (na przykład DefenderForCloud-SQS) i utwórz kolejkę.

  3. Zaktualizuj zasady dostępu do kolejki SQS, aby umożliwić ARN tematu SNS wykonywanie akcji SQS:SendMessage dla tej kolejki.

    Zastosuj te zasady do każdej kolejki SQS, która subskrybuje temat CloudTrail SNS. Zazwyczaj obejmuje to następujące elementy:

    • Kolejka SQS używana przez usługę Microsoft Sentinel
    • Kolejka SQS utworzona dla usługi Defender for Cloud
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

Subskrybuj obie kolejki SQS do tematu w SNS

  1. W usłudze Amazon SNS otwórz utworzony temat.

  2. Utwórz subskrypcje w temacie SNS dla obu tych elementów:

    • Istniejąca kolejka SQS usługi Microsoft Sentinel

    • Nowa kolejka SQS usługi Defender for Cloud

      Zrzut ekranu przedstawiający stronę tworzenia subskrypcji usługi Amazon Simple Notification Service z wybraną usługą Amazon Simple Queue Service jako protokołem i z włączonym nieprzetworzonym dostarczaniem komunikatów.

  3. Podczas tworzenia każdej subskrypcji:

    • Wybierz pozycję Amazon SQS jako protokół.
    • Wklej ARN kolejki.
    • Włącz dostarczanie nieprzetworzonych komunikatów.

Aktualizowanie zasad dostępu do kolejki SQS usługi Microsoft Sentinel

Jeśli twoje konto platformy AWS było już połączone z usługą Microsoft Sentinel, musisz również zaktualizować istniejącą kolejkę SQS usługi Sentinel, aby umożliwić tematowi SNS wysyłanie komunikatów.

  1. W usłudze Amazon SQS otwórz kolejkę SQS używaną przez usługę Microsoft Sentinel.

  2. Edytuj zasady dostępu.

  3. Dodaj tę samą SQS:SendMessage instrukcję używaną dla kolejki usługi Defender for Cloud, odnosząc się do tematu ARN CloudTrail SNS.

  4. Zapisz zasady.

Jeśli ten krok zostanie pominięty, usługa Microsoft Sentinel przestanie otrzymywać powiadomienia CloudTrail po przełączeniu się do konfiguracji wentylatora SNS.

Aktualizacja powiadomień o zdarzeniach S3, aby publikować dzienniki CloudTrail do usługi SNS

  1. W usłudze Amazon S3 otwórz zasobnik CloudTrail i przejdź do pozycji Powiadomienia o zdarzeniach.

  2. Usuń istniejące powiadomienie o zdarzeniu S3 → SQS używane przez usługę Microsoft Sentinel.

  3. Utwórz nowe powiadomienie o zdarzeniu, aby opublikować w temacie SNS.

  4. Ustaw typ zdarzenia na Object created (PUT).

  5. Skonfiguruj filtr prefiksu , aby tylko pliki dziennika CloudTrail generowały powiadomienia.

    Użyj pełnego formatu ścieżki dziennika CloudTrail:

    AWSLogs/<AccountID>/CloudTrail/

  6. Zapisz konfigurację.

Po tych zmianach zarówno Microsoft Sentinel, jak i Defender for Cloud odbierają powiadomienia o zdarzeniach CloudTrail przy użyciu wzorca rozgłaszania SNS.

Zrzut ekranu przedstawiający listę subskrypcji tematów usługi Amazon Simple Notification Service z dwiema subskrypcjami usługi Amazon Simple Queue Service dla usług Microsoft Sentinel i Defender for Cloud.

Rozwiązywanie konfliktów dostawcy tożsamości OIDC

  1. Wykonaj kroki opisane w sekcji Łączenie kont platformy AWS z usługą Microsoft Defender for Cloud do kroku 8 w sekcji Łączenie konta platformy AWS .

  2. Wybierz Kopiuj.

    Zrzut ekranu przedstawiający lokalizację przycisku kopiowania.

  3. Wklej szablon do lokalnego narzędzia do edycji tekstu.

  4. Wyszukaj sekcję "ASCDefendersOIDCIdentityProvider": { w szablonie i utwórz oddzielną kopię całej ClientIdList.

  5. Wyszukaj sekcję ASCDefendersOIDCIdentityProvider w szablonie i usuń ją.

  6. Zapisz plik lokalnie.

  7. W osobnym oknie przeglądarki zaloguj się do konta platformy AWS.

  8. Przejdź do pozycji Identity and Access Management (IAM)>Identity Providers (Dostawcy tożsamości i zarządzania dostępem).

  9. Wyszukaj i wybierz 33e01921-4d64-4f8c-a055-5bdaffd5e33d.

  10. Wybierz pozycję Akcje>Dodaj odbiorców.

  11. Wklej sekcję ClientIdList skopiowaną w kroku 4.

  12. Przejdź do strony Konfigurowanie dostępu w usłudze Defender for Cloud.

  13. Postępuj zgodnie z instrukcjami Tworzenie stosu na platformie AWS i użyj zapisanego lokalnie szablonu.

    Zrzut ekranu przedstawiający lokalizację instrukcji tworzenia stosu.

  14. Wybierz Dalej.

  15. Wybierz Utwórz.

Dalsze kroki

  • Last updated on