Configure seu ambiente da Amazon Web Services (AWS) para coletar logs da AWS no Microsoft Sentinel

Os conectores da Amazon Web Services (AWS) simplificam o processo de coleta de logs do Amazon S3 (Simple Storage Service) e sua ingestão no Microsoft Sentinel. Os conectores fornecem ferramentas para ajudá-lo a configurar seu ambiente da AWS para a coleta de logs do Microsoft Sentinel.

Este artigo descreve a configuração do ambiente da AWS necessária para enviar logs para o Microsoft Sentinel e links para instruções passo a passo para configurar seu ambiente e coletar logs da AWS usando cada conector compatível.

Visão geral da configuração do ambiente da AWS

Este diagrama mostra como configurar seu ambiente da AWS para enviar logs para o Azure:

1. Crie um bucket de armazenamento do S3 (Simple Storage Service) e uma fila do Simple Queue Service (SQS) na qual o bucket do S3 publica notificações quando recebe novos logs.

   Conectores Microsoft Sentinel:

   • Sonde a fila SQS, em intervalos frequentes, em busca de mensagens que contenham os caminhos para novos arquivos de log.
   • Obter os ficheiros do bucket S3 com base no caminho especificado nas notificações SQS.

2. Crie um provedor de identidade da Web Open ID Connect (OIDC) e adicione o Microsoft Sentinel como um aplicativo registrado (adicionando-o como público-alvo).

   Os conectores do Microsoft Sentinel usam o Microsoft Entra ID para autenticar com a AWS por meio do OpenID Connect (OIDC) e assumem uma função do AWS IAM.

   Importante

   Se você já tiver um provedor OIDC Connect configurado para o Microsoft Defender for Cloud, adicione o Microsoft Sentinel como público-alvo ao seu provedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Governo:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Não tente criar um novo provedor OIDC para o Microsoft Sentinel.

3. Crie uma função assumida pela AWS para conceder permissões ao conector Microsoft Sentinel para acessar o bucket do AWS S3 e os recursos do SQS.

   1. Atribua as políticas de permissões apropriadas do IAM para conceder à função assumida acesso aos recursos.

   2. Configure os seus conectores para usar a função assumida e a fila SQS que foi criada para aceder ao s3 bucket e extrair registos.

4. Configure os serviços da AWS para enviar logs para o bucket do S3.

Configuração manual

Embora você possa configurar o ambiente da AWS manualmente, conforme descrito nesta seção, é altamente recomendável usar as ferramentas automatizadas fornecidas ao implantar conectores da AWS .

1. Crie um bucket S3 e uma fila SQS

1. Crie um bucket do S3 para o qual você pode enviar os logs de seus serviços da AWS - VPC, GuardDuty, CloudTrail ou CloudWatch.

   Consulte as instruções para criar um bucket de armazenamento do S3 na documentação da AWS.

2. Crie uma fila de mensagens padrão do Simple Queue Service (SQS) na qual o bucket do S3 pode publicar notificações.

   Consulte as instruções para criar uma fila padrão do Simple Queue Service (SQS) na documentação da AWS.

3. Configure o bucket do S3 para enviar mensagens de notificação para a fila do SQS.

   Consulte as instruções para publicar notificações na fila do SQS na documentação da AWS.

2. Crie um fornecedor de identidade web Open ID Connect (OIDC)

Siga estas instruções na documentação da AWS:
Criação de provedores de identidade OpenID Connect (OIDC).

3. Criar uma função assumida pela AWS

1. Siga estas instruções na documentação da AWS:
   Criação de uma função para identidade web ou Federação OpenID Connect.

   Parâmetro	Seleção/Valor	Observações
   Tipo de entidade confiável	Identidade Web	Em vez do serviço padrão da AWS.
   Provedor de identidade	Comercial: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Governo: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	O provedor que você criou na etapa anterior.
   Audiência	Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Governo: api://d4230588-5f84-4281-a9c7-2c15194b28f7	O público que você definiu para o provedor de identidade na etapa anterior.
   Permissões para atribuir	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Outras políticas para incorporar os diferentes tipos de logs de serviço da AWS	Para obter informações sobre essas políticas, consulte a página relevante de políticas de permissões do conector do AWS S3, no repositório GitHub do Microsoft Sentinel. Página de políticas de permissões do conector do AWS Commercial S3 Página de políticas de permissões do conector do AWS Government S3
   Nome	"OIDC_MicrosoftSentinelRole"	Escolha um nome significativo que inclua uma referência ao Microsoft Sentinel. O nome deve incluir o prefixo OIDC_exato, caso contrário, o conector não pode funcionar corretamente.

2. Edite a política de confiança da nova função e adicione outra condição:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Importante

   O valor do sts:RoleSessionName parâmetro deve ter o prefixo MicrosoftSentinel_exato, caso contrário, o conector não funciona corretamente.

   A política de confiança concluída deve ter esta aparência:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX é o ID da sua conta da AWS.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX é a ID do espaço de trabalho do Microsoft Sentinel.

   Atualize (salve) a política quando terminar de editar.

Configurar os serviços da AWS para exportar logs para um bucket do S3

Consulte a documentação vinculada da Amazon Web Services para obter instruções sobre como enviar cada tipo de log para seu bucket do S3:

• Publique um log de fluxo da VPC em um bucket do S3.

  Observação

  Se você optar por personalizar o formato do log, deverá incluir o atributo start , pois ele mapeia para o campo TimeGenerated no espaço de trabalho do Log Analytics. Caso contrário, o campo TimeGenerated será preenchido com o tempo ingerido do evento, que não descreve com precisão o evento de log.

• Exporte suas descobertas do GuardDuty para um bucket do S3.

  Observação

  • Na AWS, as descobertas são exportadas por padrão a cada 6 horas. Ajuste a frequência de exportação para resultados de Atividade atualizados com base nos requisitos do seu ambiente. Para agilizar o processo, você pode modificar a configuração padrão para exportar descobertas a cada 15 minutos. Consulte Definindo a frequência para exportar descobertas ativas atualizadas.

  • O campo TimeGenerated é preenchido com o valor da atualização em.

• As trilhas do AWS CloudTrail são armazenadas em buckets do S3 por padrão.

  • Crie uma trilha para uma única conta.
  • Crie uma trilha abrangendo várias contas em uma organização.

• Exporte seus dados de log do CloudWatch para um bucket do S3.

4. Implante conectores da AWS

O Microsoft Sentinel fornece estes conectores da AWS:

• Conector do Amazon Web Services Web Application Firewall (WAF): ingere logs do AWS WAF, recolhidos em buckets do AWS S3, para o Microsoft Sentinel.
• Conector de log de serviço da Amazon Web Services: ingere logs de serviço da AWS, recolhidos em buckets do AWS S3, para Microsoft Sentinel.

Próximos passos

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Use folhas de cálculo para monitorizar os seus dados.