Partilhar via

Conecte o Microsoft Sentinel à Amazon Web Services para ingerir dados de log de serviço da AWS

O conector de logs de serviço da Amazon Web Services (AWS) está disponível em duas versões: o conector legado destinado à gestão de logs de dados do CloudTrail e a nova versão, que é capaz de ingerir logs dos seguintes serviços da AWS, extraindo-os de um bucket no S3 (os links direcionam para a documentação da AWS):

Esta guia explica como configurar o conector do AWS S3 usando um dos dois métodos:

Pré-requisitos

  • Você deve ter permissão de gravação no espaço de trabalho do Microsoft Sentinel.

  • Instale a solução Amazon Web Services no Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerir conteúdo do Microsoft Sentinel pronto para uso.

  • Instale o PowerShell e a AWS CLI em sua máquina (apenas para configuração automática):

  • Certifique-se de que os logs do serviço da AWS selecionado usem o formato aceito pelo Microsoft Sentinel:

    • Amazon VPC: arquivo .csv em formato GZIP com cabeçalhos; delimitador: espaço.
    • Amazon GuardDuty: formatos json-line e GZIP.
    • AWS CloudTrail: .json arquivo em formato GZIP.
    • CloudWatch: .csv arquivo num formato GZIP sem um cabeçalho. Se precisar converter seus logs para esse formato, você pode usar essa função lambda do CloudWatch.

Configuração automática

Para simplificar o processo de integração, o Microsoft Sentinel disponibilizou um script do PowerShell para automatizar a configuração do lado da AWS do conector, incluindo os recursos, credenciais e permissões necessárias da AWS.

O roteiro:

  • Cria um provedor de identidade da web OIDC para autenticar usuários do Microsoft Entra ID na AWS. Se já existir um provedor de identidade da Web, o script adicionará o Microsoft Sentinel como público-alvo ao provedor existente.

  • Cria uma função assumida pelo IAM com as permissões mínimas necessárias para conceder aos utilizadores autenticados pelo OIDC acesso aos seus logs num determinado bucket do S3 e numa fila do SQS.

  • Permite que os serviços especificados da AWS enviem logs para esse bucket do S3 e mensagens de notificação para essa fila do SQS.

  • Se necessário, cria esse bucket do S3 e essa fila SQS para essa finalidade.

  • Configura todas as políticas de permissões do IAM necessárias e as aplica à função do IAM criada acima.

Para nuvens do Azure Government, um script especializado cria um provedor de identidade Web OIDC diferente, ao qual atribui a função assumida pelo IAM.

Instruções

Para executar o script para configurar o conector, use as seguintes etapas:

  1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

  2. Selecione Amazon Web Services S3 na galeria de conectores de dados.

    Se você não vir o conector, instale a solução Amazon Web Services a partir do Content Hub no Microsoft Sentinel.

  3. No painel de detalhes do conector, selecione Abrir página do conector.

  4. Na seção Configuração, em 1. Configure o seu ambiente da AWS, expanda Configuração com script PowerShell (recomendado).

  5. Siga as instruções na tela para baixar e extrair o script de configuração do AWS S3 (o link faz download de um arquivo zip contendo o script de configuração principal e os scripts auxiliares) na página do conector.

    Observação

    Para ingerir logs da AWS em uma nuvem do Azure Government, baixe e extraia este script de configuração especializado do AWS S3 Gov .

  6. Antes de executar o script, execute o aws configure comando a partir da linha de comando do PowerShell e insira as informações relevantes conforme solicitado. Consulte a interface de linha de comando da AWS | Noções básicas de configuração (da documentação da AWS) para obter detalhes.

  7. Agora execute o script. Copie o comando da página do conector (em "Executar script para configurar o ambiente") e cole-o na linha de comando.

  8. O script solicita que você insira sua ID do espaço de trabalho. Este ID aparece na página do conector. Copie-o e cole-o na linha de comandos do script.

    Captura de tela do comando para executar o script de instalação e a ID do espaço de trabalho.

  9. Quando o script terminar de ser executado, copie o ARN da função e o URL do SQS da saída do script (veja o exemplo na primeira captura de tela abaixo) e cole-os em seus respetivos campos na página do conector em 2. Adicione conexão (veja a segunda captura de tela abaixo).

    Captura de tela da saída do script de configuração do conector A W S.

    Captura de tela da colagem das informações da função A W S do script no conector S3.

  10. Selecione um tipo de dados na lista suspensa Tabela de destino . Isso informa ao conector quais logs do serviço da AWS essa conexão está sendo estabelecida para coletar e em qual tabela do Log Analytics ele armazena os dados ingeridos. Em seguida, selecione Adicionar conexão.

Observação

O script pode levar até 30 minutos para terminar de ser executado.

Configuração manual

Recomendamos usar o script de configuração automática para implantar esse conector. Se, por qualquer motivo, você não quiser aproveitar essa conveniência, siga as etapas abaixo para configurar o conector manualmente.

  1. Configure seu ambiente da AWS conforme descrito em Configure seu ambiente da Amazon Web Services para coletar logs da AWS para o Microsoft Sentinel.

  2. No console da AWS:

    1. Insira o serviço Gerenciamento de Identidade e Acesso (IAM) e navegue até a lista de Funções. Selecione a função que você criou acima.

    2. Copie o ARN para a área de transferência.

    3. Entre no Serviço de Fila Simples, selecione a fila SQS que criou e copie o URL da fila para a sua área de transferência.

  3. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

  4. Selecione Amazon Web Services S3 na galeria de conectores de dados.

    Se você não vir o conector, instale a solução Amazon Web Services a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerir conteúdo do Microsoft Sentinel pronto para uso.

  5. No painel de detalhes do conector, selecione Abrir página do conector.

  6. Em 2. Adicionar conexão:

    1. Cole o ARN da função do IAM copiado duas etapas atrás no campo Função a ser adicionada .
    2. Cole a URL da fila SQS copiada na última etapa no campo URL SQS .
    3. Selecione um tipo de dados na lista suspensa Tabela de destino . Isso informa ao conector quais logs do serviço da AWS essa conexão está sendo estabelecida para coletar e em qual tabela do Log Analytics ele armazena os dados ingeridos.
    4. Selecione Adicionar ligação.

    Captura de ecrã a mostrar a adição de uma ligação de função A W S ao conector S3.

Problemas conhecidos e solução de problemas

Problemas conhecidos

  • Diferentes tipos de logs podem ser armazenados no mesmo bucket do S3, mas não devem ser armazenados no mesmo caminho.

  • Cada fila do SQS deve referir-se a um único tipo de mensagem. Se você quiser ingerir as descobertas do GuardDuty e os logs de fluxo da VPC, configure filas separadas para cada tipo.

  • Uma única fila SQS pode servir apenas um percurso num bucket S3. Se você estiver armazenando logs em vários caminhos, cada caminho exigirá sua própria fila SQS dedicada.

Solução de problemas

Saiba como solucionar problemas do conector do Amazon Web Services S3.

Enviar eventos formatados do CloudWatch para o S3 usando uma função lambda (opcional)

Se os logs do CloudWatch não estiverem no formato aceite pelo Microsoft Sentinel - .csv ficheiro em formato GZIP sem cabeçalho - use uma função lambda visualize o código-fonte na AWS para enviar eventos do CloudWatch para um bucket do S3 no formato aceite.

A função lambda usa Python 3.9 runtime e arquitetura x86_64.

Para implantar a função lambda:

  1. No Console de Gerenciamento da AWS, selecione o serviço lambda.

  2. Selecione Criar função.

    Captura de tela da tela de informações básicas do Console de Gerenciamento da AWS.

  3. Digite um nome para a função e selecione Python 3.9 como o tempo de execução e x86_64 como a arquitetura.

  4. Selecione Criar função.

  5. Em Escolha uma camada, selecione uma camada e selecione Adicionar.

    Captura de tela da tela Adicionar camada do Console de Gerenciamento da AWS.

  6. Selecione Permissões e, em Função de execução, selecione Nome da função.

  7. Em Políticas de permissões, selecione Adicionar permissões>Anexar políticas.

    Captura de tela da guia Permissões do Console de Gerenciamento da AWS.

  8. Pesquise as políticas AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e anexe-as.

    Captura de tela da tela Adicionar políticas de permissões do Console de Gerenciamento da AWS.

  9. Retorne à função, selecione Código e cole o link de código em Código-fonte.

  10. Os valores padrão para os parâmetros são definidos usando variáveis de ambiente. Se necessário, você pode ajustar manualmente esses valores diretamente no código.

  11. Selecione Implantar e, em seguida, selecione Testar.

  12. Crie um evento preenchendo os campos obrigatórios.

    Captura de tela da tela do evento de teste AWS Management Configure.

  13. Selecione Testar para ver como o evento aparece no bucket do S3.

Próximos passos

Neste documento, você aprendeu como se conectar aos recursos da AWS para ingerir seus logs no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

  • Last updated on