Připojení služby Microsoft Sentinel k Amazon Web Services za účelem ingestování dat protokolů služeb AWS

Pomocí konektorů Amazon Web Services (AWS) můžete načíst protokoly služby AWS do Microsoft Sentinelu. Tyto konektory fungují tak, že microsoft Sentinel udělí přístup k protokolům prostředků AWS. Nastavení konektoru vytvoří vztah důvěryhodnosti mezi Amazon Web Services a Microsoft Sentinelem. To se provádí v AWS vytvořením role, která dává Službě Microsoft Sentinel oprávnění pro přístup k protokolům AWS.

Tento konektor je k dispozici ve dvou verzích: starší konektor pro správu CloudTrail a protokoly dat a novou verzi, která může ingestovat protokoly z následujících služeb AWS tak, že je stáhnete z kontejneru S3 (odkazy jsou na dokumentaci K AWS):

• Protokoly toku VPC (Amazon Virtual Private Cloud) -
• Amazon GuardDuty - Findings
• AWS CloudTrail - Management a datové události
• Protokoly AWS CloudWatch - CloudWatch

Konektor S3 (nový)

Tato karta vysvětluje, jak nakonfigurovat konektor AWS S3. Proces jeho nastavení má dvě části: stranu AWS a stranu Microsoft Sentinelu. Každý proces vytváří informace používané druhou stranou. Toto obousměrné ověřování vytváří zabezpečenou komunikaci.

Požadavky

• Ujistěte se, že protokoly z vybrané služby AWS používají formát přijatý službou Microsoft Sentinel:

  • Amazon VPC: .csv soubor ve formátu GZIP se záhlavími; oddělovač: mezera.
  • Amazon GuardDuty: formáty json-line a GZIP.
  • AWS CloudTrail: .json soubor ve formátu GZIP.
  • CloudWatch: .csv soubor ve formátu GZIP bez hlavičky. Pokud potřebujete převést protokoly do tohoto formátu, můžete použít tuto funkci lambda CloudWatch.

• Musíte mít oprávnění k zápisu do pracovního prostoru Služby Microsoft Sentinel.

• Nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Přehled architektury

Tento obrázek a následující text ukazují, jak části tohoto řešení konektoru komunikují.

• Služby AWS jsou nakonfigurované tak, aby odesílaly protokoly do kontejnerů úložiště S3 (Simple Storage Service).

• Kontejner S3 odesílá zprávy s oznámeními do fronty zpráv SQS (Simple Queue Service), kdykoli obdrží nové protokoly.

• Konektor Microsoft Sentinel AWS S3 dotazuje frontu SQS v pravidelných častých intervalech. Pokud je ve frontě zpráva, bude obsahovat cestu k souborům protokolu.

• Konektor přečte zprávu s cestou a pak načte soubory z kontejneru S3.

• K připojení k frontě SQS a kontejneru S3 používá Microsoft Sentinel k ověřování s AWS prostřednictvím OpenID Připojení (OIDC) federovaného zprostředkovatele webových identit (Microsoft Entra ID) a za předpokladu role AWS IAM. Role je nakonfigurovaná pomocí zásad oprávnění, které jí umožňují přístup k těmto prostředkům.

Připojení konektorU S3

• V prostředí AWS:

  • Nakonfigurujte služby AWS tak, aby odesílaly protokoly do kontejneru S3.

  • Vytvořte frontu SQS (Simple Queue Service), která poskytuje oznámení.

  • Vytvořte zprostředkovatele webové identity pro ověřování uživatelů v AWS prostřednictvím OpenID Připojení (OIDC).

  • Vytvořte předpokládanou roli pro udělení oprávnění uživatelům ověřeným zprostředkovatelem webové identity OIDC pro přístup k vašim prostředkům AWS.

  • Připojte příslušné zásady oprávnění IAM k udělení přístupu k příslušnému prostředku (kbelík S3, SQS).

  V našem úložišti GitHub jsme zpřístupnili skript, který automatizuje stranu AWS tohoto procesu. Pokyny pro automatické nastavení najdete dále v tomto dokumentu.

• V Microsoft Sentinelu:

  • Povolte a nakonfigurujte Připojení or AWS S3 na portálu Microsoft Sentinel. Projděte si následující pokyny.

Automatické nastavení

Pro zjednodušení procesu onboardingu poskytuje Microsoft Sentinel skript PowerShellu pro automatizaci nastavení strany AWS konektoru – požadovaných prostředků AWS, přihlašovacích údajů a oprávnění.

Skript provede následující akce:

• Vytvoří zprostředkovatele webové identity OIDC pro ověření uživatelů Microsoft Entra ID v AWS.

• Vytvoří roli IAM s minimálními potřebnými oprávněními, která uživatelům ověřeným OIDC udělí přístup k vašim protokolům v daném kontejneru S3 a frontě SQS.

• Umožňuje zadaným službám AWS odesílat protokoly do daného kontejneru S3 a zprávy s oznámeními do této fronty SQS.

• V případě potřeby vytvoří tento kontejner S3 a frontu SQS pro tento účel.

• Nakonfiguruje všechny nezbytné zásady oprávnění IAM a použije je na roli IAM vytvořenou výše.

Pro cloudy Azure Government vytvoří specializovaný skript jiného zprostředkovatele webové identity OIDC, ke kterému přiřadí předpokládanou roli IAM.

Požadavky pro automatické nastavení

• Na počítači musíte mít PowerShell a rozhraní příkazového řádku AWS.
  • Pokyny k instalaci powershellu
  • Pokyny k instalaci rozhraní příkazového řádku AWS (z dokumentace K AWS)

Pokyny

Pokud chcete spustit skript pro nastavení konektoru, použijte následující kroky:

1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

2. V galerii datových konektorů vyberte Amazon Web Services S3 .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu.

3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

4. V části Konfigurace v části 1. Nastavte prostředí AWS a rozbalte instalační program pomocí skriptu PowerShellu (doporučeno).

5. Podle pokynů na obrazovce stáhněte a extrahujte instalační skript AWS S3 (odkaz stáhne soubor ZIP obsahující hlavní instalační skript a pomocné skripty) ze stránky konektoru.

   Poznámka:

   Pokud chcete ingestovat protokoly AWS do cloudu Azure Government, stáhněte a extrahujte místo toho tento specializovaný instalační skript AWS S3 Gov.

6. Před spuštěním skriptu spusťte aws configure příkaz z příkazového řádku PowerShellu a zadejte příslušné informace podle výzvy. Viz rozhraní příkazového řádku AWS | Podrobnosti najdete v základních informacích o konfiguraci (z dokumentace k AWS).

7. Teď spusťte skript. Zkopírujte příkaz ze stránky konektoru (v části Spustit skript pro nastavení prostředí) a vložte ho do příkazového řádku.

8. Skript zobrazí výzvu k zadání ID pracovního prostoru. Toto ID se zobrazí na stránce konektoru. Zkopírujte ho a vložte ho na příkazovém řádku skriptu.

   

9. Po dokončení spuštění skriptu zkopírujte adresu ARN role a adresu URL SQS z výstupu skriptu (viz příklad na prvním snímku obrazovky níže) a vložte je do příslušných polí na stránce konektoru pod 2. Přidejte připojení (viz druhý snímek obrazovky níže).

   

   

10. V rozevíracím seznamu Cílová tabulka vyberte datový typ. Tím sdělíte konektoru, který služba AWS protokoluje, že se toto připojení naváže ke shromažďování a do které tabulky Log Analytics uloží ingestovaná data. Pak vyberte Přidat připojení.

Poznámka:

Spuštění skriptu může trvat až 30 minut.

Ruční nastavení

Microsoft doporučuje k nasazení tohoto konektoru použít skript automatického nastavení. Pokud z jakéhokoli důvodu nechcete tuto výhodu využívat, nastavte konektor ručně podle následujících kroků.

• Příprava prostředků AWS
• Vytvoření předpokládané role AWS a udělení přístupu k účtu služby AWS Sentinel
• Přidání role AWS a informací o frontě do datového konektoru S3
• Konfigurace služby AWS pro export protokolů do kontejneru S3

Příprava prostředků AWS

1. Vytvořte kontejner S3, do kterého budete odesílat protokoly ze služeb AWS – VPC, GuardDuty, CloudTrail nebo CloudWatch.

   • Pokyny k vytvoření kontejneru úložiště S3 najdete v dokumentaci K AWS.

2. Vytvořte standardní frontu zpráv SQS (Simple Queue Service), do které bude kontejner S3 publikovat oznámení.

   • Pokyny k vytvoření standardní fronty služby Simple Queue Service (SQS) najdete v dokumentaci K AWS.

3. Nakonfigurujte kontejner S3 tak, aby odesílal zprávy s oznámeními do fronty SQS.

   • Pokyny k publikování oznámení do fronty SQS najdete v dokumentaci K AWS.

Instalace datového konektoru AWS a příprava prostředí

1. Ve službě Microsoft Sentinel vyberte v navigační nabídce Datové konektory.

2. V galerii datových konektorů vyberte Amazon Web Services S3 .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

4. V části Konfigurace rozbalte instalační program pomocí skriptu PowerShellu (doporučeno) a zkopírujte externí ID (ID pracovního prostoru) do schránky.

Vytvoření zprostředkovatele webové identity open ID Připojení (OIDC) a předpokládané role AWS

1. V jiném okně nebo kartě prohlížeče otevřete konzolu AWS.

2. Vytvořte zprostředkovatele webové identity. Postupujte podle těchto pokynů v dokumentaci k AWS:
   Vytváření zprostředkovatelů identity OpenID Připojení (OIDC).

   Parametr	Výběr/hodnota	Komentáře
   ID klienta	-	Tuto možnost ignorujte, už ji máte. Viz řádek cílové skupiny níže.
   Typ zprostředkovatele	OpenID Connect	Místo výchozího SAML.
   Adresa URL zprostředkovatele	Obchodní: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Vláda: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
   Kryptografický otisk	626d44e704d1ceabe3bf0d53397464ac8080142c	Pokud jste vytvořili v konzole IAM, vyberte get thumbprint by vám měl dát tento výsledek.
   Publikum	Obchodní: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Vláda: api://d4230588-5f84-4281-a9c7-2c15194b28f7

3. Vytvořte předpokládanou roli IAM. Postupujte podle těchto pokynů v dokumentaci k AWS:
   Vytvoření role pro webovou identitu nebo OpenID Připojení Federaci

   Použijte hodnoty v této tabulce pro komerční cloud Azure.

   Parametr	Výběr/hodnota	Komentáře
   Typ důvěryhodné entity	Webová identita	Místo výchozí služby AWS.
   Zprostředkovatel identity	sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/	Zprostředkovatel, který jste vytvořili v předchozím kroku.
   Publikum	api://1462b192-27f7-4cb9-8523-0f4ecb54b47e	Cílová skupina, kterou jste definovali pro zprostředkovatele identity v předchozím kroku.
   Oprávnění k přiřazení	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Další zásady pro ingestování různých typů protokolů služby AWS	Informace o těchto zásadách najdete na stránce zásad oprávnění konektoru AWS S3 v úložišti Microsoft Sentinel na GitHubu.
   Název	Příklad: "OIDC_MicrosoftSentinelRole".	Zvolte smysluplný název, který obsahuje odkaz na Microsoft Sentinel. Název musí obsahovat přesnou předponu OIDC_, jinak konektor nebude správně fungovat.

   Použijte hodnoty v této tabulce pro cloud Azure Government.

   Parametr	Výběr/hodnota	Komentáře
   Typ důvěryhodné entity	Webová identita	Místo výchozí služby AWS.
   Zprostředkovatel identity	sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	Zprostředkovatel, který jste vytvořili v předchozím kroku.
   Publikum	api://d4230588-5f84-4281-a9c7-2c15194b28f7	Cílová skupina, kterou jste definovali pro zprostředkovatele identity v předchozím kroku.
   Oprávnění k přiřazení	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Další zásady pro ingestování různých typů protokolů služby AWS	Informace o těchto zásadách najdete na stránce zásad oprávnění konektoru AWS S3 pro státní správu v úložišti Microsoft Sentinel Na GitHubu.
   Název	Příklad: "OIDC_MicrosoftSentinelRole".	Zvolte smysluplný název, který obsahuje odkaz na Microsoft Sentinel. Název musí obsahovat přesnou předponu OIDC_, jinak konektor nebude správně fungovat.

4. Upravte zásady důvěryhodnosti nové role a přidejte další podmínku:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Důležité

   Hodnota parametru sts:RoleSessionName musí mít přesnou předponu MicrosoftSentinel_, jinak konektor nebude správně fungovat.

   Dokončené zásady důvěryhodnosti by měly vypadat takto:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX je ID vašeho účtu AWS.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX je ID vašeho pracovního prostoru Služby Microsoft Sentinel.

   Po dokončení úprav aktualizujte (uložte) zásadu.

Přidání role AWS a informací o frontě do datového konektoru S3

1. Na kartě prohlížeče otevřete konzolu AWS, zadejte službu Správa identit a přístupu (IAM) a přejděte do seznamu rolí. Vyberte roli, kterou jste vytvořili výše.

2. Zkopírujte ARN do schránky.

3. Zadejte službu Jednoduchá fronta, vyberte frontu SQS, kterou jste vytvořili, a zkopírujte adresu URL fronty do schránky.

4. Vraťte se na kartu prohlížeče Microsoft Sentinel, která by měla být otevřená na stránce datového konektoru Amazon Web Services S3 (Preview). Do 2. Přidat připojení:

   1. Vložte ARN role IAM, kterou jste zkopírovali před dvěma kroky, do role pro přidání pole.
   2. Vložte adresu URL fronty SQS, kterou jste zkopírovali v posledním kroku, do pole adresy URL SQS.
   3. V rozevíracím seznamu Cílová tabulka vyberte datový typ. Tím sdělíte konektoru, který služba AWS protokoluje, že se toto připojení naváže ke shromažďování a do které tabulky Log Analytics uloží ingestovaná data.
   4. Vyberte Přidat připojení.

   

Konfigurace služby AWS pro export protokolů do kontejneru S3

Pokyny pro odesílání jednotlivých typů protokolů do kontejneru S3 najdete v dokumentaci ke službě Amazon Web Services (odkaz níže):

• Publikujte protokol toku VPC do kontejneru S3.

  Poznámka:

  Pokud se rozhodnete přizpůsobit formát protokolu, musíte zahrnout počáteční atribut, protože se mapuje na pole TimeGenerated v pracovním prostoru služby Log Analytics. V opačném případě se pole TimeGenerated vyplní ingestovaným časem události, která přesně nepopisuje událost protokolu.

• Exportujte závěry GuardDuty do kontejneru S3.

  Poznámka:

  • V AWS se zjištění ve výchozím nastavení exportují každých 6 hodin. Upravte frekvenci exportu aktualizovaných aktivních zjištění na základě vašich požadavků na prostředí. Pokud chcete proces urychlit, můžete výchozí nastavení upravit tak, aby se závěry exportovaly každých 15 minut. Viz Nastavení frekvence exportu aktualizovaných aktivních zjištění.

  • Pole TimeGenerated je naplněno hodnotou Update hledání.

• Trasy AWS CloudTrail jsou ve výchozím nastavení uložené v kontejnerech S3.

  • Vytvořte trasu pro jeden účet.
  • Vytvořte trasu pro více účtů v celé organizaci.

• Exportujte data protokolu CloudWatch do kontejneru S3.

Známé problémy a jejich řešení

Známé problémy

• Různé typy protokolů je možné uložit ve stejném kontejneru S3, ale neměly by být uloženy ve stejné cestě.

• Každá fronta SQS by měla odkazovat na jeden typ zprávy, takže pokud chcete ingestovat závěry GuardDuty a protokoly toku VPC, měli byste pro každý typ nastavit samostatné fronty.

• Podobně může jedna fronta SQS obsluhovat pouze jednu cestu v kontejneru S3, takže pokud z nějakého důvodu ukládáte protokoly do více cest, každá cesta vyžaduje svou vlastní vyhrazenou frontu SQS.

Řešení problému

Zjistěte, jak řešit potíže s konektorem Amazon Web Services S3.

Konektor CloudTrail (starší verze)

Tato karta vysvětluje, jak nakonfigurovat konektor AWS CloudTrail. Proces jeho nastavení má dvě části: stranu AWS a stranu Microsoft Sentinelu. Každý proces vytváří informace používané druhou stranou. Toto obousměrné ověřování vytváří zabezpečenou komunikaci.

Poznámka:

AWS CloudTrail má integrovaná omezení v rozhraní API LookupEvents. Umožňuje maximálně dvě transakce za sekundu (TPS) na účet a každý dotaz může vrátit maximálně 50 záznamů. Proto pokud jeden tenant v jedné oblasti neustále generuje více než 100 záznamů za sekundu, dojde k vytváření backlogů a ke zpoždění příjmu dat.

V současné době můžete ke službě Microsoft Sentinel připojit pouze službu AWS Commercial CloudTrail, a ne AWS GovCloud CloudTrail.

Požadavky

• Musíte mít oprávnění k zápisu do pracovního prostoru Služby Microsoft Sentinel.
• Nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Poznámka:

Microsoft Sentinel shromažďuje události správy CloudTrail ze všech oblastí. Doporučujeme nestreamovat události z jedné oblasti do druhé.

Připojení AWS CloudTrail

Nastavení tohoto konektoru má dva kroky:

• Vytvoření předpokládané role AWS a udělení přístupu k účtu služby AWS Sentinel
• Přidání informací o roli AWS do datového konektoru AWS CloudTrail

Vytvoření předpokládané role AWS a udělení přístupu k účtu služby AWS Sentinel

1. Ve službě Microsoft Sentinel vyberte v navigační nabídce Datové konektory.

2. V galerii datových konektorů vyberte Amazon Web Services .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

4. V části Konfigurace zkopírujte ID účtu Microsoft a externí ID (ID pracovního prostoru) do schránky.

5. V jiném okně nebo kartě prohlížeče otevřete konzolu AWS. Postupujte podle pokynů v dokumentaci K AWS pro vytvoření role pro účet AWS.

   • Jako typ účtu zvolte místo tohoto účtu jiný účet AWS.

   • Do pole ID účtu zadejte číslo 197857026523 (nebo ho vložte – ID účtu Microsoft, které jste zkopírovali v předchozím kroku) ze schránky). Toto číslo je ID účtu služby Microsoft Sentinel pro AWS. Říká AWS, že účet, který používá tuto roli, je uživatel Microsoft Sentinelu.

   • V možnostech vyberte Vyžadovat externí ID (nevybírejteVyžadovat vícefaktorové ověřování). Do pole Externí ID vložte ID pracovního prostoru Služby Microsoft Sentinel, které jste zkopírovali v předchozím kroku. Tím se identifikuje váš konkrétní účet Microsoft Sentinelu pro AWS.

   • Přiřaďte AWSCloudTrailReadOnlyAccess zásady oprávnění. Pokud chcete, přidejte značku.

   • Pojmenujte roli smysluplným názvem, který obsahuje odkaz na Microsoft Sentinel. Příklad: MicrosoftSentinelRole.

Přidání informací o roli AWS do datového konektoru AWS CloudTrail

1. Na kartě prohlížeče otevřete konzolu AWS, zadejte službu Správa identit a přístupu (IAM) a přejděte do seznamu rolí. Vyberte roli, kterou jste vytvořili výše.

2. Zkopírujte ARN do schránky.

3. Vraťte se na kartu prohlížeče Microsoft Sentinel, která by měla být otevřená na stránce datového konektoru Amazon Web Services . V části Konfigurace vložte ARN role do role a přidejte pole a vyberte Přidat.

   

4. Pokud chcete použít relevantní schéma v Log Analytics pro události AWS, vyhledejte AWSCloudTrail.

   Důležité

   Od 1. prosince 2020 bylo pole AwsRequestId nahrazeno polem AwsRequestId_ (všimněte si přidaného podtržítka). Data ve starém poli AwsRequestId se zachovají až do konce zadané doby uchovávání dat zákazníka.

Další kroky

V tomto dokumentu jste zjistili, jak se připojit k prostředkům AWS a ingestovat jejich protokoly do Služby Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciální hrozby.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Pomocí sešitů můžete monitorovat data.