Partilhar via

Conectar uma conta da AWS conectada ao Microsoft Sentinel ao Defender for Cloud

O Microsoft Defender for Cloud gera um modelo CloudFormation que inclui os recursos necessários para integrar a sua conta Amazon Web Services (AWS). O Microsoft Defender for Cloud e o Microsoft Sentinel podem ambos ingerir eventos AWS CloudTrail. Por padrão, o conector Microsoft Sentinel recebe notificações CloudTrail diretamente da Amazon S3 através de uma fila do Amazon SQS. Como uma fila Amazon SQS suporta apenas um consumidor, é necessário ativar a ingestão de CloudTrail para o Defender for Cloud configurando um padrão fan-out do Amazon SNS, de forma que ambos os serviços recebam eventos CloudTrail em paralelo.

Este artigo explica como ativar a ingestão CloudTrail para o Defender for Cloud quando a sua conta AWS já está ligada ao Microsoft Sentinel.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

  • Uma assinatura do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.

  • Configuração do Microsoft Defender for Cloud na sua subscrição do Azure.

  • Acesso a uma conta da AWS.

  • Permissão de nível de colaborador para a assinatura relevante do Azure.

  • Apenas método de expansão nas redes sociais:

    • AWS CloudTrail configurado para entregar logs num bucket da Amazon S3.
    • Um conector AWS Microsoft Sentinel existente que ingere registos CloudTrail desse bucket.

Ative a ingestão do CloudTrail usando o fan-out do SNS

Se os seus registos de logs do AWS CloudTrail já são enviados para o Microsoft Sentinel, pode ativar a integração do CloudTrail para o Defender for Cloud usando o Amazon SNS como mecanismo de distribuição. Esta configuração permite que ambos os serviços recebam eventos CloudTrail em paralelo.

Importante

Estes passos configuram os recursos AWS para a ingestão partilhada do CloudTrail. Para finalizar a configuração do Defender for Cloud, integre os logs AWS CloudTrail com o Microsoft Defender for Cloud.

Crie um tópico de redes sociais na Amazon para CloudTrail

  1. Na Consola de Gestão da AWS, abra o Amazon SNS.

  2. Selecione Criar tema e escolha Padrão.

  3. Introduza um nome descritivo (por exemplo, CloudTrail-SNS) e selecione Criar tópico.

  4. Copie o ARN do Tópico para uso posterior.

  5. Na página de detalhes do tema, selecione Editar e depois expanda a política de Acesso.

  6. Adicione uma declaração de política que permita ao bucket CloudTrail S3 publicar eventos sobre o tema.

    Substitua <region>, <accountid>, e <S3_BUCKET_ARN> pelos seus valores:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ToPublish",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "<S3_BUCKET_ARN>"
        }
      }
    }
  ]
}

Criar uma fila SQS para o Defender for Cloud

  1. No Amazon SQS, selecione Criar fila e escolha Standard.

  2. Introduza um nome (por exemplo, DefenderForCloud-SQS) e crie a fila.

  3. Atualize a política de acesso à fila do SQS para permitir que o ARN do tópico SNS realize a ação SQS:SendMessage nesta fila.

    Aplique esta política a cada fila SQS que subscreva o tópico CloudTrail SNS. Isto inclui normalmente:

    • A fila SQS usada pelo Microsoft Sentinel
    • A fila SQS criada para o Defender for Cloud
    {
  "Sid": "AllowCloudTrailSnsToSendMessage",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:<region>:<accountid>:<QUEUE_NAME>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:sns:<region>:<accountid>:CloudTrail-SNS"
    }
  }
}

Subscreva ambas as filas SQS ao tópico SNS

  1. Nas redes sociais da Amazon, abre o tópico que criaste.

  2. Crie subscrições para o tópico SNS para ambos:

    • A sua fila Microsoft Sentinel SQS existente

    • A nova fila de SQS do Defender for Cloud

      Captura de ecrã da página de criação de subscrição do Amazon Simple Notification Service, mostrando o Amazon Simple Queue Service selecionado como protocolo e a entrega de mensagens brutas ativada.

  3. Ao criar cada subscrição:

    • Selecione o Amazon SQS como protocolo.
    • Insira o ARN da fila.
    • Ativar a entrega de mensagens brutas.

Atualizar a política de acesso à fila Microsoft Sentinel SQS

Se a sua conta AWS já estava ligada ao Microsoft Sentinel, deve também atualizar a fila existente do Sentinel SQS para permitir que o tópico do SNS envie mensagens.

  1. No Amazon SQS, abra a fila SQS usada pelo Microsoft Sentinel.

  2. Editar a política de Acesso.

  3. Adicione a mesma instrução SQS:SendMessage usada para a fila do Defender for Cloud, referenciando o ARN do tópico SNS do CloudTrail.

  4. Salvar a política.

Se este passo for ignorado, Microsoft Sentinel deixará de receber notificações do CloudTrail depois de alternar para a configuração SNS de fan-out.

Atualizar as notificações do evento S3 para publicar os registos do CloudTrail nas redes sociais

  1. No Amazon S3, abre o teu bucket do CloudTrail e vai às notificações de eventos.

  2. Elimine a notificação de eventos S3 → SQS existente usada pelo Microsoft Sentinel.

  3. Crie uma nova notificação de evento para publicar no tópico da SNS.

  4. Defina o tipo de evento para Objeto criado (PUT).

  5. Configure um filtro de prefixo para que apenas os ficheiros de registo do CloudTrail gerem notificações.

    Utilize o formato completo do caminho do log do CloudTrail.

    AWSLogs/<AccountID>/CloudTrail/

  6. Salve a configuração.

Após estas alterações, tanto o Microsoft Sentinel como o Defender for Cloud recebem notificações de eventos do CloudTrail usando o padrão de difusão do SNS.

Captura de ecrã da lista de subscrições do Amazon Simple Notification Service, mostrando duas subscrições do Amazon Simple Queue Service para Microsoft Sentinel e Defender for Cloud.

Resolver conflitos de fornecedores de identidade OIDC

  1. Siga os passos em Ligar Contas AWS ao Microsoft Defender for Cloud até ao passo 8 na secção Ligar a Sua Conta AWS .

  2. Selecione Copiar.

    Captura de tela que mostra onde o botão de cópia está localizado.

  3. Cole o modelo em uma ferramenta de edição de texto local.

  4. Pesquise por a secção "ASCDefendersOIDCIdentityProvider": { do modelo e faça uma cópia separada de toda a ClientIdList.

  5. Procure a seção ASCDefendersOIDCIdentityProvider no modelo e exclua-a.

  6. Salve o arquivo localmente.

  7. Em uma janela separada do navegador, faça login na sua conta da AWS.

  8. Navegue até Provedores de Identidade e Gerenciamento de Acesso (IAM)>Identity Providers.

  9. Procure e selecione 33e01921-4d64-4f8c-a055-5bdaffd5e33d.

  10. Selecione Ações>Adicionar público.

  11. Cole a secção ClientIdList que copiou no passo 4.

  12. Navegue até a página Configurar acesso no Defender for Cloud.

  13. Siga as instruções para criar uma stack na AWS, e use o modelo salvo localmente.

    Captura de tela que mostra onde as instruções de criação de pilha estão localizadas.

  14. Selecione Seguinte.

  15. Selecione Criar.

Próximos passos

  • Last updated on