مشاركة عبر

توصيل Microsoft Sentinel بخدمات ويب Amazon لاستيعاب بيانات سجل خدمة AWS

يتوفر موصل سجل خدمة Amazon Web Services (AWS) في إصدارين: الموصل القديم لإدارة CloudTrail وسجلات البيانات، والإصدار الجديد الذي يمكنه استيعاب السجلات من خدمات AWS التالية عن طريق سحبها من مستودع S3 (الارتباطات إلى وثائق AWS):

توضح علامة التبويب هذه كيفية تكوين موصل AWS S3 باستخدام إحدى طريقتين:

المتطلبات الأساسية

  • يجب أن يكون لديك أذن الكتابة على مساحة عمل Microsoft Azure Sentinel.

  • قم بتثبيت حل Amazon Web Services من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

  • تثبيت PowerShell و AWS CLI على جهازك (للإعداد التلقائي فقط):

  • تأكد من أن السجلات من خدمة AWS المحددة تستخدم التنسيق المقبول من قبل Microsoft Sentinel:

    • Amazon VPC: .csv الملف بتنسيق GZIP مع الرؤوس؛ محدد: مسافة.
    • Amazon GuardDuty: تنسيقات json-line وGZIP.
    • AWS CloudTrail: .json الملف بتنسيق GZIP.
    • CloudWatch: .csv الملف بتنسيق GZIP بدون عنوان. إذا كنت بحاجة إلى تحويل سجلاتك إلى هذا التنسيق، يمكنك استخدام وظيفة CloudWatch lambda هذه.

الإعداد التلقائي

لتبسيط عملية الإعداد، قدم Microsoft Sentinel برنامج نصي PowerShell لأتمتة إعداد جانب AWS من الموصل - موارد AWS المطلوبة وبيانات الاعتماد والأذونات.

بيان النص:

  • ينشئ موفر هوية ويب OIDC، لمصادقة مستخدمي معرف Microsoft Entra إلى AWS. إذا كان موفر هوية الويب موجودا بالفعل، يضيف البرنامج النصي Microsoft Sentinel كجمهور إلى الموفر الحالي.

  • ينشئ دور IAM المفترض بأقل قدر من الأذونات الضرورية، لمنح المستخدمين المصادق عليهم OIDC حق الوصول إلى سجلاتك في مستودع S3 معين وقوائم انتظار SQS.

  • تمكين خدمات AWS المحددة من إرسال سجلات إلى مستودع S3 هذا، ورسائل الإعلام إلى قائمة انتظار SQS هذه.

  • إذا لزم الأمر، ينشئ مستودع S3 هذا وقوائم انتظار SQS لهذا الغرض.

  • تكوين أي نهج أذونات IAM ضرورية وتطبيقها على دور IAM الذي تم إنشاؤه أعلاه.

بالنسبة إلى سحابات Azure Government، ينشئ البرنامج النصي المتخصص موفر هوية ويب OIDC مختلفا، والذي يعين له الدور المفترض ل IAM.

الإرشادات

لتشغيل البرنامج النصي لإعداد الموصل، استخدم الخطوات التالية:

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد Amazon Web Services S3 من معرض موصلات البيانات.

    إذا كنت لا ترى الموصل، فقم بتثبيت حل Amazon Web Services من مركز المحتوى في Microsoft Sentinel.

  3. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

  4. في قسم التكوين ، ضمن 1. قم بإعداد بيئة AWS الخاصة بك، وقم بتوسيع الإعداد باستخدام برنامج PowerShell النصي (مستحسن) .

  5. اتبع الإرشادات التي تظهر على الشاشة لتنزيل واستخراج البرنامج النصي لإعداد AWS S3 (يقوم الارتباط بتنزيل ملف مضغوط يحتوي على البرنامج النصي للإعداد الرئيسي والبرامج النصية المساعدة) من صفحة الموصل.

    ملاحظة

    لاستيعاب سجلات AWS في سحابة Azure Government، قم بتنزيل واستخراج برنامج إعداد AWS S3 Gov هذا بدلا من ذلك.

  6. قبل تشغيل البرنامج النصي، قم بتشغيل aws configure الأمر من سطر أوامر PowerShell، وأدخل المعلومات ذات الصلة كما هو موجه. راجع واجهة سطر أوامر AWS | أساسيات التكوين (من وثائق AWS) للحصول على التفاصيل.

  7. الآن قم بتشغيل البرنامج النصي. انسخ الأمر من صفحة الموصل (ضمن "تشغيل البرنامج النصي لإعداد البيئة") والصقه في سطر الأوامر.

  8. يطالبك البرنامج النصي بإدخال معرف مساحة العمل. يظهر هذا المعرف على صفحة الموصل. انسخه والصقه في موجه البرنامج النصي.

    لقطة شاشة لأمر تشغيل البرنامج النصي للإعداد ومعرف مساحة العمل.

  9. عند انتهاء تشغيل البرنامج النصي، انسخ Role ARN وعنوان URL SQS من إخراج البرنامج النصي (راجع المثال في لقطة الشاشة الأولى أدناه) والصقهما في حقولهما الخاصة في صفحة الموصل تحت 2. إضافة اتصال (راجع لقطة الشاشة الثانية أدناه).

    لقطة شاشة لإخراج البرنامج النصي لإعداد موصل W S.

    لقطة شاشة للصق معلومات دور A W S من البرنامج النصي، إلى موصل S3.

  10. حدد نوع بيانات من القائمة المنسدلة جدول الوجهة . يخبر هذا الموصل بسجلات خدمة AWS التي يتم إنشاء هذا الاتصال لجمعها، وأي جدول Log Analytics يخزن فيه البيانات التي تم استيعابها. ثم حدد إضافة اتصال.

ملاحظة

قد يستغرق البرنامج النصي ما يصل إلى 30 دقيقة لإنهاء التشغيل.

إعداد يدوي

نوصي باستخدام البرنامج النصي للإعداد التلقائي لنشر هذا الموصل. إذا كنت لا تريد الاستفادة من هذه الراحة لأي سبب من الأسباب، فاتبع الخطوات أدناه لإعداد الموصل يدويا.

  1. إعداد بيئة AWS كما هو موضح في إعداد بيئة Amazon Web Services لتجميع سجلات AWS إلى Microsoft Sentinel.

  2. في وحدة تحكم AWS:

    1. أدخل خدمة إدارة الهوية والوصول (IAM) وانتقل إلى قائمة الأدوار. حدد الدور الذي أنشأته أعلاه.

    2. انسخ ARN إلى الحافظة الخاصة بك.

    3. أدخل Simple Queue Service، وحدد قائمة انتظار SQS التي أنشأتها، وانسخ عنوان URL لقائمة الانتظار إلى الحافظة.

  3. في Microsoft Sentinel، حدد Data connectors من قائمة التنقل.

  4. حدد Amazon Web Services S3 من معرض موصلات البيانات.

    إذا كنت لا ترى الموصل، فقم بتثبيت حل Amazon Web Services من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

  5. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

  6. تحت 2. إضافة اتصال:

    1. الصق دور IAM ARN الذي نسخته قبل خطوتين في الحقل Role to add .
    2. الصق عنوان URL لقائمة انتظار SQS التي نسختها في الخطوة الأخيرة في حقل SQS URL .
    3. حدد نوع بيانات من القائمة المنسدلة جدول الوجهة . يخبر هذا الموصل بسجلات خدمة AWS التي يتم إنشاء هذا الاتصال لجمعها، وأي جدول Log Analytics يخزن فيه البيانات التي تم استيعابها.
    4. حدد إضافة اتصال.

    لقطة شاشة لإضافة اتصال دور A W S إلى موصل S3.

المشكلات المعروفة واستكشاف الأخطاء وإصلاحها

المشكلات المعروفة

  • يمكن تخزين أنواع مختلفة من السجلات في نفس مستودع S3، ولكن لا ينبغي تخزينها في نفس المسار.

  • يجب أن تشير كل قائمة انتظار SQS إلى نوع واحد من الرسائل. إذا كنت ترغب في استيعاب نتائج GuardDuty وسجلات تدفق VPC، فقم بإعداد قوائم انتظار منفصلة لكل نوع.

  • يمكن أن تخدم قائمة انتظار SQS واحدة مسارا واحدا فقط في مستودع S3. إذا كنت تخزن السجلات في مسارات متعددة، فإن كل مسار يتطلب قائمة انتظار SQS المخصصة الخاصة به.

استكشاف الأخطاء وإصلاحها

تعرف على كيفية استكشاف مشكلات موصل Amazon Web Services S3 وإصلاحها.

إرسال أحداث CloudWatch المنسقة إلى S3 باستخدام دالة lambda (اختياري)

إذا لم تكن سجلات CloudWatch بالتنسيق المقبول من قبل Microsoft Sentinel - .csv الملف بتنسيق GZIP بدون عنوان - فاستخدم طريقة عرض دالة lambda للتعليمات البرمجية المصدر داخل AWS لإرسال أحداث CloudWatch إلى مستودع S3 بالتنسيق المقبول.

تستخدم الدالة lambda وقت تشغيل Python 3.9 وبنية x86_64.

لنشر دالة lambda:

  1. في وحدة تحكم إدارة AWS، حدد خدمة lambda.

  2. حدد إنشاء الدالة.

    لقطة شاشة لشاشة المعلومات الأساسية لوحدة تحكم إدارة AWS.

  3. اكتب اسما للدالة وحدد Python 3.9 كوقت التشغيل x86_64 كبنية.

  4. حدد إنشاء الدالة.

  5. ضمن اختيار طبقة، حدد طبقة وحدد إضافة.

    لقطة شاشة لوحدة تحكم إدارة AWS إضافة شاشة طبقة.

  6. حدد أذونات، وضمن دور التنفيذ، حدد اسم الدور.

  7. ضمن نهج الأذونات، حدد إضافة أذونات>إرفاق النهج.

    لقطة شاشة لعلامة التبويب أذونات وحدة تحكم إدارة AWS.

  8. ابحث عن نهج AmazonS3FullAccess وCloudWatchLogsReadOnlyAccessوأرفقها.

    لقطة شاشة لوحدة تحكم إدارة AWS إضافة نهج الأذونات.

  9. ارجع إلى الدالة، وحدد Code، والصق ارتباط التعليمات البرمجية ضمن مصدر التعليمات البرمجية.

  10. يتم تعيين القيم الافتراضية للمعلمات باستخدام متغيرات البيئة. إذا لزم الأمر، يمكنك ضبط هذه القيم يدويا مباشرة في التعليمات البرمجية.

  11. حدد Deploy، ثم حدد Test.

  12. إنشاء حدث عن طريق ملء الحقول المطلوبة.

    لقطة شاشة لشاشة حدث اختبار تكوين إدارة AWS.

  13. حدد Test لمعرفة كيفية ظهور الحدث في مستودع S3.

الخطوات التالية

في هذا المستند، تعلمت كيفية الاتصال بموارد AWS لاستيعاب سجلاتها في Microsoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: