In einigen Fällen entsprechen Ihre CloudWatch-Protokolle möglicherweise nicht dem von Microsoft Sentinel akzeptierten Format: CSV-Datei in einem GZIP-Format ohne Header. In diesem Artikel verwenden Sie eine Lambdafunktion (Quellcode anzeigen) in der Amazon Web Services-Umgebung (AWS), um CloudWatch-Ereignisse an einen S3-Bucket zu senden und das Format in das akzeptierte Format zu konvertieren.
Erstellen einer Lambdafunktion zum Senden von CloudWatch-Ereignissen an einen S3-Bucket
Voraussetzungen
Keine
Erstellen der Lambdafunktion
Die Lambdafunktion verwendet die Python 3.9 Runtime und x86_64-Architektur.
Wählen Sie in der AWS Management Console den Lambdadienst aus.
Wählen Sie Funktion erstellen aus.
Geben Sie einen Namen für die Funktion ein, und wählen Sie Python 3.9 als Runtime und x86_64 als Architektur aus.
Wählen Sie Funktion erstellen aus.
Wählen Sie unter Choose a layer eine Ebene und anschließend Add aus.
Wählen Sie Permissions und unter Execution role die Option Role name aus.
Wählen Sie unter Permissions policies die Optionen Add permissions>Attach policies aus.
Suchen Sie nach den Richtlinien AmazonS3FullAccess und CloudWatchLogsReadOnlyAccess, und fügen Sie sie an.
Kehren Sie zur Funktion zurück, wählen Sie Code aus, und fügen Sie den Codelink unter Code source ein.
Die Standardwerte für die Parameter werden mithilfe von Umgebungsvariablen festgelegt. Bei Bedarf können Sie diese Werte manuell direkt im Code anpassen.
Wählen Sie Deploy und anschließend Test aus.
Erstellen Sie ein Ereignis, indem Sie die erforderlichen Felder ausfüllen.
Wählen Sie Test aus, um zu sehen, wie das Ereignis im S3-Bucket angezeigt wird.
