Compartilhar via

Conectar uma conta AWS conectada do Microsoft Sentinel ao Defender para Nuvem

O Microsoft Defender para Nuvem gera um modelo cloudformation que inclui os recursos necessários para integrar sua conta do Amazon Web Services (AWS). O Microsoft Defender para Nuvem e o Microsoft Sentinel podem ingerir eventos do AWS CloudTrail. Por padrão, o conector do Microsoft Sentinel recebe notificações do CloudTrail diretamente do Amazon S3 por meio de uma fila do Amazon SQS. Como uma fila do Amazon SQS dá suporte a apenas um consumidor, habilitar a ingestão do CloudTrail para o Defender para Nuvem requer a configuração de um padrão de fan-out do Amazon SNS para que ambos os serviços possam receber eventos CloudTrail em paralelo.

Este artigo explica como habilitar a ingestão do CloudTrail para o Defender para Nuvem quando sua conta do AWS já estiver conectada ao Microsoft Sentinel.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

  • Uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma gratuita.

  • Configuração do Microsoft Defender para Nuvem em sua assinatura do Azure.

  • Acesso a uma conta do AWS.

  • Permissão de nível de colaborador para a assinatura relevante do Azure.

  • Somente o método de fan-out do SNS:

    • AWS CloudTrail configurado para entregar logs a um bucket do Amazon S3.
    • Um conector AWS existente do Microsoft Sentinel que ingere logs do CloudTrail desse bucket.

Habilitar a ingestão do CloudTrail usando o fan-out do SNS

Se os logs do AWS CloudTrail já forem transmitidos para o Microsoft Sentinel, você poderá habilitar a ingestão do CloudTrail para o Defender para Nuvem usando o Amazon SNS como um mecanismo de fan-out. Essa configuração permite que ambos os serviços recebam eventos CloudTrail em paralelo.

Importante

Estas etapas configuram os recursos do AWS para ingestão de CloudTrail compartilhada. Para finalizar a instalação do Defender para Nuvem, integre os logs do AWS CloudTrail ao Microsoft Defender para Nuvem.

Criar um tópico do SNS da Amazon para CloudTrail

  1. No Console de Gerenciamento do AWS, abra o Amazon SNS.

  2. Selecione Criar tópico e escolha Standard.

  3. Insira um nome descritivo (por exemplo CloudTrail-SNS) e selecione Criar tópico.

  4. Copie a ARN do tópico para uso posterior.

  5. Na página de detalhes do tópico, selecione Editar e expanda a política do Access.

  6. Adicione uma instrução de política que permite que o bucket do CloudTrail S3 publique eventos no tópico.

    Substitua <region>, <accountid>e <S3_BUCKET_ARN> com seus valores:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Criar uma fila do SQS para o Defender para Nuvem

  1. No Amazon SQS, selecione Criar fila e escolha Standard.

  2. Insira um nome (por exemplo DefenderForCloud-SQS) e crie a fila.

  3. Atualize a política de acesso à fila do SQS para permitir que o ARN do tópico do SNS execute a ação SQS:SendMessage para essa fila.

    Aplique essa política a cada fila do SQS que se inscreve no tópico do SNS do CloudTrail. Isso normalmente inclui:

    • A fila do SQS usada pelo Microsoft Sentinel
    • A fila do SQS criada para o Defender para Nuvem
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

Inscreva ambas as filas do SQS no tópico do SNS

  1. No SNS da Amazon, abra o tópico que você criou.

  2. Crie assinaturas para o tópico SNS para ambos os casos:

    • Sua fila existente do Microsoft Sentinel SQS

    • A nova fila do SQS do Defender para Nuvem

      Captura de tela da página de criação de assinatura do Amazon Simple Notification Service mostrando o Amazon Simple Queue Service selecionado como protocolo e a entrega de mensagens brutas habilitada.

  3. Ao criar cada assinatura:

    • Selecione o Amazon SQS como o protocolo.
    • Cole a ARN da fila.
    • Habilitar a entrega de mensagens brutas.

Atualizar a política de acesso à fila do Microsoft Sentinel SQS

Se sua conta do AWS já estiver conectada ao Microsoft Sentinel, você também deverá atualizar a fila existente do Sentinel SQS para permitir que o tópico SNS envie mensagens.

  1. No Amazon SQS, abra a fila do SQS usada pelo Microsoft Sentinel.

  2. Edite a política de acesso.

  3. Adicione a mesma instrução SQS:SendMessage usada para a fila do Defender para Nuvem, fazendo referência ao ARN do tópico do SNS do CloudTrail.

  4. Salve a política.

Se essa etapa for ignorada, o Microsoft Sentinel deixará de receber notificações do CloudTrail depois que você alternar para a configuração de fan-out do SNS.

Atualizar notificações de evento S3 para publicar logs do CloudTrail no SNS

  1. No Amazon S3, abra o bucket do CloudTrail e acesse as notificações de evento.

  2. Exclua a notificação de evento S3 → SQS existente usada pelo Microsoft Sentinel.

  3. Crie uma nova notificação de evento para publicar no tópico SNS.

  4. Defina o tipo de evento como PUT (Object created).

  5. Configure um filtro de prefixo para que apenas os arquivos de log do CloudTrail gerem notificações.

    Use o formato completo do caminho de registro do CloudTrail.

    AWSLogs/<AccountID>/CloudTrail/

  6. Salve a configuração.

Após essas alterações, o Microsoft Sentinel e o Defender para Nuvem recebem notificações de evento do CloudTrail usando o padrão de fan-out do SNS.

Captura de tela da lista de assinaturas de tópicos do Serviço de Notificação Simples da Amazon mostrando duas assinaturas do Amazon Simple Queue Service para Microsoft Sentinel e Defender para Nuvem.

Resolver os conflitos do provedor de identidade OIDC

  1. Siga as etapas em Conectar contas da AWS ao Microsoft Defender para Nuvem até a etapa 8 na seção Conecte sua Conta da AWS.

  2. Selecione Copiar.

    Captura de tela que mostra onde o botão copiar está localizado.

  3. Cole o modelo em uma ferramenta de edição de texto local.

  4. Procure a seção "ASCDefendersOIDCIdentityProvider": { do modelo e faça uma cópia separada de toda a ClientIdList.

  5. Pesquise a seção ASCDefendersOIDCIdentityProvider no modelo e exclua-a.

  6. Salvar o arquivo localmente.

  7. Em uma janela separada do navegador, entre em sua conta do AWS.

  8. Navegue até IAM (Gerenciamento de Identidade e Acesso)>Provedores de Identidade.

  9. Pesquise e selecione 33e01921-4d64-4f8c-a055-5bdaffd5e33d.

  10. Selecione Ações>Adicionar audiência.

  11. Cole a seção ClientIdList copiada na etapa 4.

  12. Navegue até a página Configurar acesso no Defender para Nuvem.

  13. Siga as instruções "Criar uma Pilha no AWS" e use o template que você salvou localmente.

    Captura de tela que mostra onde estão localizadas as instruções de criação de pilha.

  14. Selecione Próximo.

  15. Selecione Criar.

Próximas etapas

  • Last updated on