Configurar seu ambiente do AWS (Amazon Web Services) para coletar logs do AWS no Microsoft Sentinel

Os conectores do Amazon Web Services (AWS) simplificam o processo de coleta de logs do Amazon S3 (Serviço de Armazenamento Simples) e a ingestão deles no Microsoft Sentinel. Os conectores fornecem ferramentas para ajudá-lo a configurar seu ambiente do AWS para a coleção de logs do Microsoft Sentinel.

Este artigo descreve a configuração de ambiente do AWS necessária para enviar logs para o Microsoft Sentinel e links para instruções passo a passo para configurar seu ambiente e coletar logs do AWS usando cada conector com suporte.

Visão geral da configuração do ambiente do AWS

Este diagrama mostra como configurar seu ambiente do AWS para enviar logs para o Azure:

1. Crie um bucket de armazenamento S3 (Serviço de Armazenamento Simples) e uma fila do SQS (Simple Queue Service) para a qual o bucket S3 publica notificações quando recebe novos logs.

   Conectores do Microsoft Sentinel:

   • Pesquise a fila do SQS, em intervalos frequentes, em busca de mensagens que contenham os caminhos para novos arquivos de log.
   • Busque os arquivos do bucket S3 com base no caminho especificado nas notificações do SQS.

2. Crie um provedor de identidade web do OIDC (Open ID Connect) e adicione o Microsoft Sentinel como um aplicativo registrado (adicionando-o como público-alvo).

   Os conectores do Microsoft Sentinel usam a ID do Microsoft Entra para autenticar-se com a AWS por meio do OpenID Connect (OIDC) e assumir uma função IAM na AWS.

   Importante

   Se você já tiver um provedor OIDC Connect configurado para o Microsoft Defender para Nuvem, adicione o Microsoft Sentinel como uma audiência ao seu provedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Governo:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Não tente criar um novo provedor OIDC para o Microsoft Sentinel.

3. Crie uma função assumida do AWS para conceder permissões ao conector do Microsoft Sentinel, permitindo acesso ao bucket do AWS S3 e aos recursos do SQS.

   1. Atribua as políticas de permissões de IAM apropriadas para conceder à função assumida acesso aos recursos.

   2. Configure seus conectores para usar a função assumida e a fila do SQS que você criou para acessar o bucket S3 e recuperar logs.

4. Configure os serviços do AWS para enviar logs para o bucket S3.

Instalação manual

Embora você possa configurar o ambiente do AWS manualmente, conforme descrito nesta seção, é altamente recomendável usar as ferramentas automatizadas fornecidas ao implantar conectores AWS .

1. Criar um bucket S3 e uma fila do SQS

1. Crie um bucket S3 para o qual você pode enviar os logs de seus serviços da AWS – VPC, GuardDuty, CloudTrail ou CloudWatch.

   Consulte as instruções para criar um bucket de armazenamento S3 na documentação do AWS.

2. Crie uma fila de mensagens padrão do SQS (Simple Queue Service) na qual o bucket S3 pode publicar notificações.

   Consulte as instruções para criar uma fila padrão do SQS (Simple Queue Service) na documentação do AWS.

3. Configure o bucket S3 para enviar mensagens de notificação para sua fila do SQS.

   Consulte as instruções para publicar notificações na fila do SQS na documentação do AWS.

2. Criar um provedor de identidade web do OIDC (Open ID Connect)

Siga estas instruções na documentação da AWS:
Criando provedores de identidade do OpenID Connect (OIDC).

3. Criar uma função assumida da AWS

1. Siga estas instruções na documentação da AWS:
   Como criar uma função para identidade da Web ou Federação do OpenID Connect.

   Parâmetro	Seleção/Valor	Comentários
   Tipo de entidade confiável	Identidade da Web	Em vez do serviço AWS padrão.
   Provedor de identidade	Comercial: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Governo: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	O provedor que você criou na etapa anterior.
   Público	Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Governo: api://d4230588-5f84-4281-a9c7-2c15194b28f7	O público-alvo que você definiu para o provedor de identidade na etapa anterior.
   Permissões para atribuir	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Outras políticas para a ingestão dos diferentes tipos de logs de serviços da AWS	Para obter informações sobre essas políticas, consulte a página de políticas de permissões de conector do AWS S3 relevante, no repositório GitHub do Microsoft Sentinel. Página de políticas de permissões de conector do AWS Commercial S3 Página de políticas de permissões do conector do AWS Government S3
   Nome	"OIDC_MicrosoftSentinelRole"	Escolha um nome significativo que inclua uma referência ao Microsoft Sentinel. O nome deve incluir o prefixo OIDC_exato; caso contrário, o conector não pode funcionar corretamente.

2. Edite a política de confiança da nova função e adicione outra condição:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Importante

   O valor do sts:RoleSessionName parâmetro deve ter o prefixo MicrosoftSentinel_exato; caso contrário, o conector não funciona corretamente.

   A política de confiança concluída deve ter esta aparência:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX é a ID da conta do AWS.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX é sua ID do workspace do Microsoft Sentinel.

   Atualize (salve) a política quando terminar de editar.

Configurar serviços do AWS para exportar logs para um bucket S3

Consulte a documentação vinculada do Amazon Web Services para obter instruções para enviar cada tipo de log para o bucket S3:

• Publique um log de fluxo de VPC em um bucket S3.

  Observação

  Se você optar por personalizar o formato do log, deverá incluir o atributo start, visto que ele corresponde ao campo TimeGenerated no espaço de trabalho do Log Analytics. Caso contrário, o campo TimeGenerated é preenchido com o tempo ingerido do evento, que não descreve com precisão o evento de log.

• Exporte suas descobertas do GuardDuty para um bucket S3.

  Observação

  • Na AWS, as descobertas são exportadas por padrão a cada 6 horas. Ajuste a frequência de exportação das descobertas ativas atualizadas conforme os requisitos do seu ambiente. Para agilizar o processo, você pode modificar a configuração padrão para exportar descobertas a cada 15 minutos. Veja Como definir a frequência para exportar descobertas ativas atualizadas.

  • O campo TimeGenerated é preenchido com o valor de Atualizado em da detecção.

• As trilhas do AWS CloudTrail são armazenadas em buckets S3 por padrão.

  • Crie uma trilha para uma só conta.
  • Crie uma trilha que abrange várias contas em uma organização.

• Exporte seus dados de log do CloudWatch para um bucket S3.

4. Implantar conectores AWS

O Microsoft Sentinel fornece estes conectores AWS:

• Conector do WAF (Firewall de Aplicativo Web) do Amazon Web Services: ingere logs de WAF do AWS, coletados em buckets do AWS S3, para o Microsoft Sentinel.
• Conector de logs de serviço do Amazon Web Services: importa logs de serviço da AWS, coletados em buckets AWS S3, para o Microsoft Sentinel.

Próximas etapas

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
• Comece a detectar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar os seus dados.