Připojení Microsoft Sentinel k Amazon Web Services za účelem ingestování dat protokolu služby AWS

Konektor protokolu služby Amazon Web Services (AWS) je k dispozici ve dvou verzích: starší konektor pro správu CloudTrail a datové protokoly a nová verze, která může ingestovat protokoly z následujících služeb AWS tak, že je stáhnete z kbelíku S3 (odkazy jsou na dokumentaci k AWS):

• Amazon Virtual Private Cloud (VPC) - Protokoly toku VPC
• Amazon GuardDuty - Zjištění
• AWS CloudTrail - Události správy a dat
• AWS CloudWatch - Protokoly CloudWatch

Konektor S3 (nový)

Tato karta vysvětluje, jak nakonfigurovat konektor AWS S3 pomocí jedné ze dvou metod:

• Automatické nastavení (doporučeno)
• Ruční nastavení

Požadavky

• V pracovním prostoru Microsoft Sentinel musíte mít oprávnění k zápisu.

• Nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

• Nainstalujte na svůj počítač PowerShell a rozhraní příkazového řádku AWS (pouze pro automatické nastavení):

  • Pokyny k instalaci PowerShellu
  • Pokyny k instalaci rozhraní příkazového řádku AWS (z dokumentace k AWS)

• Ujistěte se, že protokoly z vybrané služby AWS používají formát, který přijímá Microsoft Sentinel:

  • Amazon VPC: .csv soubor ve formátu GZIP s hlavičkami; oddělovač: mezera.
  • Amazon GuardDuty: formáty json-line a GZIP.
  • AWS CloudTrail: .json soubor ve formátu GZIP.
  • CloudWatch: .csv soubor ve formátu GZIP bez hlavičky. Pokud potřebujete převést protokoly do tohoto formátu, můžete použít tuto funkci lambda CloudWatch.

Automatické nastavení

Pro zjednodušení procesu onboardingu Microsoft Sentinel poskytl skript PowerShellu pro automatizaci nastavení konektoru na straně AWS – požadovaných prostředků AWS, přihlašovacích údajů a oprávnění.

Skript:

• Vytvoří zprostředkovatele webové identity OIDC pro ověření Microsoft Entra ID uživatelů v AWS. Pokud zprostředkovatel webové identity již existuje, skript přidá Microsoft Sentinel jako cílovou skupinu k existujícímu zprostředkovateli.

• Vytvoří roli přebírající IAM s minimálními potřebnými oprávněními, která uživatelům ověřeným OIDC udělí přístup k vašim protokolům v daném kontejneru S3 a frontě SQS.

• Umožňuje zadaným službám AWS odesílat protokoly do kontejneru S3 a oznámení do této fronty SQS.

• V případě potřeby vytvoří kontejner S3 a frontu SQS pro tento účel.

• Nakonfiguruje všechny potřebné zásady oprávnění IAM a použije je na roli IAM vytvořenou výše.

Pro Azure Government cloudy vytvoří specializovaný skript jiného zprostředkovatele webové identity OIDC, kterému přiřadí roli převzetí IAM.

Pokyny

Pokud chcete spustit skript pro nastavení konektoru, postupujte následovně:

1. V navigační nabídce Microsoft Sentinel vyberte Datové konektory.

2. V galerii datových konektorů vyberte Amazon Web Services S3 .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinel.

3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

4. V části Konfigurace v části 1. Nastavte prostředí AWS a rozbaltenastavení pomocí skriptu PowerShellu (doporučeno).

5. Podle pokynů na obrazovce stáhněte a extrahujte instalační skript AWS S3 (odkaz stáhne soubor ZIP obsahující hlavní instalační skript a pomocné skripty) ze stránky konektoru.

   Poznámka

   Pokud chcete ingestovat protokoly AWS do Azure Government cloudu, stáhněte a extrahujte tento specializovaný instalační skript AWS S3 Gov.

6. Před spuštěním skriptu spusťte příkaz z příkazového aws configure řádku PowerShellu a po zobrazení výzvy zadejte příslušné informace. Viz Rozhraní příkazového řádku AWS | Podrobnosti najdete v základních informacích o konfiguraci (z dokumentace k AWS).

7. Teď spusťte skript. Zkopírujte příkaz ze stránky konektoru (v části "Spustit skript pro nastavení prostředí") a vložte ho do příkazového řádku.

8. Skript vás vyzve k zadání ID pracovního prostoru. Toto ID se zobrazí na stránce konektoru. Zkopírujte ho a vložte ho na výzvu skriptu.

   

9. Po dokončení spuštění skriptu zkopírujte ARN role a adresu URL SQS z výstupu skriptu (viz příklad na prvním snímku obrazovky níže) a vložte je do příslušných polí na stránce konektoru pod 2. Přidejte připojení (viz druhý snímek obrazovky níže).

   

   

10. V rozevíracím seznamu Cílová tabulka vyberte datový typ. Tím sdělíte konektoru, který služba AWS protokoluje, aby se toto připojení shromáždilo, a do které tabulky Log Analytics ukládá ingestovaná data. Pak vyberte Přidat připojení.

Poznámka

Spuštění skriptu může trvat až 30 minut.

Ruční nastavení

K nasazení tohoto konektoru doporučujeme použít skript automatické instalace. Pokud z nějakého důvodu nechcete tuto výhodu využívat, nastavte konektor ručně podle následujících kroků.

1. Nastavte prostředí AWS podle pokynů v tématu Nastavení prostředí Amazon Web Services pro shromažďování protokolů AWS pro Microsoft Sentinel.

2. V konzole AWS:

   1. Zadejte službu Správa identit a přístupu (IAM) a přejděte na seznam rolí. Vyberte roli, kterou jste vytvořili výše.

   2. Zkopírujte ARN do schránky.

   3. Zadejte jednoduchou frontovou službu, vyberte frontu SQS, kterou jste vytvořili, a zkopírujte adresu URL fronty do schránky.

3. V Microsoft Sentinel vyberte v navigační nabídce datové konektory.

4. V galerii datových konektorů vyberte Amazon Web Services S3 .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

5. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

6. V části 2. Přidat připojení:

   1. Do pole Role k přidání vložte ARN role IAM, kterou jste zkopírovali před dvěma kroky.
   2. Do pole Adresa URL SQS vložte adresu URL fronty SQS, kterou jste zkopírovali v posledním kroku.
   3. V rozevíracím seznamu Cílová tabulka vyberte datový typ. Tím sdělíte konektoru, který služba AWS protokoluje, aby se toto připojení shromáždilo, a do které tabulky Log Analytics ukládá ingestovaná data.
   4. Vyberte Přidat připojení.

   

Známé problémy a řešení potíží

Známé problémy

• Různé typy protokolů se dají ukládat do stejného kontejneru S3, ale neměly by být uložené ve stejné cestě.

• Každá fronta SQS by měla odkazovat na jeden typ zprávy. Pokud chcete ingestovat zjištění GuardDuty a protokoly toku VPC, nastavte pro každý typ samostatné fronty.

• Jedna fronta SQS může obsluhovat pouze jednu cestu v kbelíku S3. Pokud ukládáte protokoly do více cest, každá cesta vyžaduje vlastní vyhrazenou frontu SQS.

Řešení problémů

Zjistěte, jak řešit potíže s konektorem Amazon Web Services S3.

Konektor CloudTrail (starší verze)

Tato karta vysvětluje, jak nakonfigurovat konektor AWS CloudTrail. Proces jeho nastavení má dvě části: stranu AWS a Microsoft Sentinel stranu. Proces každé strany vytváří informace používané druhou stranou. Toto obousměrné ověřování vytváří zabezpečenou komunikaci.

Poznámka

AWS CloudTrail má ve svém rozhraní LookupEvents API integrovaná omezení . Umožňuje maximálně dvě transakce za sekundu (TPS) na jeden účet a každý dotaz může vrátit maximálně 50 záznamů. Pokud jeden tenant v jedné oblasti neustále generuje více než 100 záznamů za sekundu, výsledkem budou backlogy a zpoždění příjmu dat.

V současné době můžete AWS Commercial CloudTrail připojit pouze ke službě Microsoft Sentinel a ne ke službě AWS GovCloud CloudTrail.

Požadavky

• V pracovním prostoru Microsoft Sentinel musíte mít oprávnění k zápisu.
• Nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

Poznámka

Microsoft Sentinel shromažďuje události správy CloudTrail ze všech oblastí. Doporučujeme nes streamovat události z jedné oblasti do jiné.

Připojení AWS CloudTrail

Nastavení tohoto konektoru má dva kroky:

• Vytvoření role AWS a udělení přístupu k účtu Sentinel AWS
• Přidání informací o roli AWS do datového konektoru AWS CloudTrail

Vytvoření role AWS a udělení přístupu k účtu Sentinel AWS

1. V Microsoft Sentinel vyberte v navigační nabídce datové konektory.

2. V galerii datových konektorů vyberte Amazon Web Services .

   Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

4. V části Konfigurace zkopírujte ID účtu Microsoft a Externí ID (ID pracovního prostoru) do schránky.

5. V jiném okně prohlížeče nebo na jiné kartě otevřete konzolu AWS. Postupujte podle pokynů v dokumentaci k AWS pro vytvoření role pro účet AWS.

   • Jako typ účtu místo Tohoto účtu zvolte Jiný účet AWS.

   • Do pole ID účtu zadejte číslo 197857026523 (nebo ho vložte – ID účtu Microsoft, které jste zkopírovali v předchozím kroku – ze schránky). Toto číslo je ID účtu služby Microsoft Sentinel pro AWS. Informuje AWS, že účet, který tuto roli používá, je Microsoft Sentinel uživatelem.

   • V možnostech vyberte Vyžadovat externí ID (nevybírejteVyžadovat vícefaktorové ověřování). Do pole Externí ID vložte ID pracovního prostoru Microsoft Sentinel, které jste zkopírovali v předchozím kroku. Tím identifikujete váš konkrétní účet Microsoft Sentinel pro AWS.

   • Přiřaďte AWSCloudTrailReadOnlyAccess zásady oprávnění. Pokud chcete, přidejte značku.

   • Pojmenujte roli smysluplným názvem, který obsahuje odkaz na Microsoft Sentinel. Příklad: MicrosoftSentinelRole.

Přidání informací o roli AWS do datového konektoru AWS CloudTrail

1. Na kartě prohlížeče otevřené v konzole AWS zadejte službu Správa identit a přístupu (IAM) a přejděte na seznam rolí. Vyberte roli, kterou jste vytvořili výše.

2. Zkopírujte ARN do schránky.

3. Vraťte se na kartu Microsoft Sentinel prohlížeče, která by měla být otevřená na stránce datového konektoru Amazon Web Services. V části Konfigurace vložte ARN role do pole Role pro přidání a vyberte Přidat.

   

4. Pokud chcete použít příslušné schéma v Log Analytics pro události AWS, vyhledejte AWSCloudTrail.

   Důležité

   Od 1. prosince 2020 bylo pole AwsRequestId nahrazeno polem AwsRequestId_ (všimněte si přidaného podtržítka). Data ve starém poli AwsRequestId se zachovají do konce zadané doby uchovávání dat zákazníka.

Odesílání formátovaných událostí CloudWatch do S3 pomocí funkce lambda (volitelné)

Pokud vaše protokoly CloudWatch nejsou ve formátu, který akceptuje Microsoft Sentinel – .csv soubor ve formátu GZIP bez hlavičky – použijte funkci lambda a zobrazte zdrojový kód v AWS k odesílání událostí CloudWatch do kontejneru S3 v přijatém formátu.

Funkce lambda používá modul runtime Pythonu 3.12 a x86_64 architekturu.

Nasazení funkce lambda:

1. V konzole pro správu AWS vyberte službu lambda.

2. Vyberte Vytvořit funkci.

   

3. Zadejte název funkce a jako modul runtime vyberte Python 3.12 a jako architekturu x86_64 .

4. Vyberte Vytvořit funkci.

5. V části Zvolit vrstvu vyberte vrstvu a vyberte Přidat.

   

6. Vyberte Oprávnění a v části Role spouštění vyberte Název role.

7. V části Zásady oprávnění vyberte Přidat oprávnění>Připojit zásady.

   

8. Vyhledejte zásady AmazonS3FullAccess a CloudWatchLogsReadOnlyAccess a připojte je.

   

9. Vraťte se k funkci, vyberte Kód a vložte odkaz na kód v části Zdroj kódu.

10. Výchozí hodnoty parametrů se nastavují pomocí proměnných prostředí. V případě potřeby můžete tyto hodnoty upravit ručně přímo v kódu.

11. Vyberte Nasadit a pak vyberte Test.

12. Vytvořte událost vyplněním požadovaných polí.

    

13. Vyberte Test a podívejte se, jak se událost zobrazí v kontejneru S3.

Další kroky

V tomto dokumentu jste zjistili, jak se připojit k prostředkům AWS a ingestovat jejich protokoly do Microsoft Sentinel. Další informace o Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o svých datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Microsoft Sentinel.
• K monitorování dat používejte sešity.