Freigeben über

Verbinden von Microsoft Sentinel mit Amazon Web Services zum Erfassen von AWS-WAF-Protokollen

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Verwenden Sie den auf Amazon Web Services (AWS) S3 basierten Web Application Firewall-Connector, um in AWS S3-Buckets gesammelte AWS-WAF-Protokolle in Microsoft Sentinel zu erfassen. AWS-WAF-Protokolle sind detaillierte Aufzeichnungen des Webdatenverkehrs, der von AWS-WAF anhand von Webzugriffssteuerungslisten (ACLs) analysiert wird. Diese Datensätze enthalten Informationen wie den Zeitpunkt, zu dem AWS-WAF die Anforderung erhalten hat, die Einzelheiten der Anforderung und die Aktion, die von der Regel ausgeführt wird, die der Anforderung entspricht. Diese Protokolle und diese Analyse sind für die Aufrechterhaltung der Sicherheit und Leistung von Webanwendungen unerlässlich.

Dieser Connector verfügt über ein AWS CloudFormation-basiertes Onboarding-Skript, um die Erstellung der vom Connector verwendeten AWS-Ressourcen zu optimieren.

Wichtig

  • Der Datenconnector Amazon Web Services S3-WAF befindet sich derzeit in der Vorschau. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.

  • Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Übersicht

Der Amazon Web Services S3 WAF-Datenkonnektor dient den folgenden Anwendungsfällen:

  • Sicherheitsüberwachung und Bedrohungserkennung: Analysieren Sie AWS WAF-Protokolle, um Sicherheitsbedrohungen wie SQL Injection und XSS-Angriffe (Cross Site Scripting) zu identifizieren und darauf zu reagieren. Indem Sie diese Protokolle in Microsoft Sentinel aufnehmen, können Sie erweiterte Analysen und Bedrohungserkennung verwenden, um schädliche Aktivitäten zu erkennen und zu untersuchen.

  • Compliance und Überwachung: AWS WAF-Protokolle bieten detaillierte Aufzeichnungen des Web-ACL-Datenverkehrs, was für Complianceberichte und Überwachungszwecke von entscheidender Bedeutung sein kann. Der Connector stellt sicher, dass diese Protokolle für einfachen Zugriff und Analyse in Sentinel verfügbar sind.

In diesem Artikel wird erläutert, wie Sie den Amazon Web Services S3-WAF-Connector konfigurieren. Der Einrichtungsprozess besteht aus zwei Teilen: der AWS-Seite und der Microsoft Sentinel-Seite. Der Prozess generiert auf jeder Seite Informationen, die von der anderen Seite verwendet werden. Diese bidirektionale Authentifizierung schafft sichere Kommunikation.

Voraussetzungen

  • Sie benötigen Schreibzugriff auf den Microsoft Sentinel-Arbeitsbereich.

  • Installieren Sie die Amazon Web Services-Lösung aus dem Content Hub in Microsoft Sentinel. Wenn Sie Version 3.0.2 der Lösung (oder niedriger) bereits installiert haben, aktualisieren Sie die Lösung im Inhaltshub, um sicherzustellen, dass Sie über die aktuelle Version verfügen, die diesen Connector enthält. Weitere Informationen finden Sie unter Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel.

Aktivieren und Konfigurieren des Amazon Web Services S3-WAF-Connectors

Der Prozess zum Aktivieren und Konfigurieren des Connectors besteht aus den folgenden Aufgaben:

  • In Ihrer AWS-Umgebung:

    Die Amazon Web Services S3 WAF Connector-Seite in Microsoft Sentinel enthält herunterladbare AWS CloudFormation-Stapelvorlagen, die die folgenden AWS-Aufgaben automatisieren:

    • Konfigurieren Sie Ihre AWS-Dienste so, dass Protokolle an einen S3-Bucket gesendet werden.

    • Erstellen Sie eine SQS-Warteschlange (Simple Queue Service), um Benachrichtigungen bereitzustellen.

    • Erstellen Sie einen Webidentitätsanbieter , um Benutzer über OpenID Connect (OIDC) bei AWS zu authentifizieren.

    • Erstellen Sie eine angenommene Rolle , um Benutzern, die vom OIDC-Webidentitätsanbieter authentifiziert wurden, Berechtigungen für den Zugriff auf Ihre AWS-Ressourcen zu erteilen.

    • Fügen Sie die entsprechenden IAM-Berechtigungsrichtlinien an, um den angenommenen Rollenzugriff auf die entsprechenden Ressourcen (S3 Bucket, SQS) zu gewähren.

  • In Microsoft Sentinel:

Einrichten der AWS-Umgebung

Zur Vereinfachung des Onboardingprozesses enthält die Amazon Web Services S3 WAF Connector-Seite in Microsoft Sentinel herunterladbare Vorlagen, die Sie mit dem AWS CloudFormation-Dienst verwenden können. Der CloudFormation-Dienst verwendet diese Vorlagen, um Ressourcenstapel in AWS automatisch zu erstellen. Diese Stapel enthalten die Ressourcen selbst, wie in diesem Artikel beschrieben, sowie Anmeldeinformationen, Berechtigungen und Richtlinien.

Hinweis

Es wird dringend empfohlen, den automatischen Einrichtungsprozess zu verwenden. Spezielle Fälle finden Sie in den manuellen Einrichtungsanweisungen.

Vorbereiten der Vorlagendateien

Führen Sie die folgenden Schritte aus, um das Skript zum Einrichten der AWS-Umgebung auszuführen:

  1. Erweitern Sie im Azure-Portal im Navigationsmenü von Microsoft Sentinel Konfiguration, und wählen Sie Datenconnectors aus.

    Erweitern Sie im Defender-Portal im Schnellstartmenü Microsoft Sentinel-Konfiguration>, und wählen Sie Datenkonnektoren aus.

  2. Wählen Sie Amazon Web Services S3 WAF aus der Liste der Datenverbindungen aus.

    Wenn der Connector nicht angezeigt wird, installieren Sie die Amazon Web Services-Lösung aus dem Content Hub unter Content Management in Microsoft Sentinel, oder aktualisieren Sie die Lösung auf die neueste Version.

  3. Wählen Sie im Detailbereich für den Verbinder die Option "Verbindungsseite öffnen" aus.

    Screenshot der Datenverbindungsschnittstellengalerie.

  4. Im Abschnitt "Konfiguration" unter 1. AWS CloudFormation Deployment wählen Sie den AWS CloudFormation Stacks Link. Dadurch wird die AWS-Konsole auf einer neuen Browserregisterkarte geöffnet.

  5. Kehren Sie zur Registerkarte des Portals zurück, auf der Sie Microsoft Sentinel geöffnet haben. Klicken Sie auf Download unter Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung, um die Vorlage herunterzuladen, die den OIDC-Webidentitätsanbieter erstellt. Die Vorlage wird als JSON-Datei in den angegebenen Downloadordner heruntergeladen.

    Hinweis

    Wenn Sie bereits über einen OIDC-Webidentitätsanbieter verfügen, überspringen Sie diesen Schritt.

  6. Wählen Sie Download unter Vorlage 2: Bereitstellung von AWS WAF-Ressourcen, um die Vorlage herunterzuladen, die die anderen AWS-Ressourcen erstellt. Die Vorlage wird als JSON-Datei in den angegebenen Downloadordner heruntergeladen.

    Screenshot der Konfigurationsseite des AWS S3 WAF-Connectors.

Erstellen von AWS CloudFormation-Stapeln

Kehren Sie zur Browserregisterkarte der AWS-Konsole zurück, auf der die Seite zum Erstellen eines Stapels in AWS CloudFormation geöffnet ist.

Wenn Sie noch nicht bei AWS angemeldet sind, melden Sie sich jetzt an, und Sie werden zur AWS CloudFormation-Seite weitergeleitet.

Erstellen des OIDC-Webidentitätsanbieters

Wichtig

Wenn Sie bereits über den OIDC-Webidentitätsanbieter aus der vorherigen Version des AWS S3-Connectors verfügen, überspringen Sie diesen Schritt, und fahren Sie mit der Erstellung der verbleibenden AWS-Ressourcen fort.
Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie Microsoft Sentinel als Zielgruppe zu Ihrem vorhandenen Anbieter hinzu (Commercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.

Befolgen Sie die Anweisungen auf der AWS-Konsolenseite zum Erstellen eines neuen Stapels.

  1. Geben Sie eine Vorlage an, und laden Sie eine Vorlagendatei hoch.

  2. Wählen Sie "Datei auswählen " aus, und suchen Sie die heruntergeladene Datei "Vorlage 1_ OpenID Connect-Authentifizierung deployment.json".

  3. Wählen Sie einen Namen für den Stapel aus.

  4. Durchlaufen Sie den restlichen Prozess, und erstellen Sie den Stapel.

Erstellen der verbleibenden AWS-Ressourcen

  1. Kehren Sie zur Stapelseite von AWS CloudFormation zurück, und erstellen Sie einen neuen Stapel.

  2. Wählen Sie "Datei auswählen " aus, und suchen Sie die heruntergeladene Datei "Template 2_ AWS WAF-Ressourcen deployment.json".

  3. Wählen Sie einen Namen für den Stapel aus.

  4. Geben Sie, wo Sie dazu aufgefordert werden, die ID Ihres Microsoft Sentinel-Arbeitsbereichs ein. So suchen Sie Ihre Arbeitsbereichs-ID:

    • Erweitern Sie im Azure-Portal im Microsoft Sentinel-Navigationsmenü die Option "Konfiguration ", und wählen Sie "Einstellungen" aus. Wählen Sie die Registerkarte "Arbeitsbereichseinstellungen " aus, und suchen Sie die Arbeitsbereichs-ID auf der Log Analytics-Arbeitsbereichsseite.

    • Erweitern Sie im Defender-Portal im Schnellstartmenü das System , und wählen Sie "Einstellungen" aus. Wählen Sie Microsoft Sentinel und dann Log Analytics-Einstellungen unter Einstellungen für [WORKSPACE_NAME] aus. Suchen Sie die Arbeitsbereichs-ID auf der Seite „Log Analytics-Arbeitsbereich“, die auf einer neuen Browserregisterkarte geöffnet wird.

  5. Durchlaufen Sie den restlichen Prozess, und erstellen Sie den Stapel.

Hinzufügen von Protokollsammlern

Wenn alle Ressourcenstapel erstellt sind, kehren Sie zur Browserregisterkarte zurück, auf der die Datenconnectorseite in Microsoft Sentinel geöffnet ist, und beginnen Sie den zweiten Teil des Konfigurationsprozesses.

  1. Im Abschnitt "Konfiguration" unter 2. Verbinden neuer Kollektoren, wählen Sie "Neuen Sammler hinzufügen" aus.

    Screenshot des zweiten Teils der AWS-Connectorkonfiguration.

  2. Geben Sie den Rollen-ARN der erstellten IAM-Rolle ein. Der Standardname für die Rolle ist OIDC_MicrosoftSentinelRole, sodass die Rolle ARN folgendermaßen lauten würde:
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Geben Sie den Namen der erstellten SQS-Warteschlange ein. Der Standardname für diese Warteschlange ist SentinelSQSQueue, sodass die URL
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Wählen Sie "Verbinden" aus, um den Sammler hinzuzufügen. Dadurch wird eine Datensammlungsregel für den Azure Monitor-Agent erstellt, um die Protokolle abzurufen und in die dedizierte AWSWAF-Tabelle in Ihrem Log Analytics-Arbeitsbereich aufzunehmen.

    Screenshot: Hinzufügen eines neuen Sammlers für WAF-Protokolle

Testen und Überwachen des Connectors

  1. Nachdem der Connector eingerichtet wurde, wechseln Sie zur Seite "Protokolle " (oder zur Seite " Erweiterte Suche " im Defender-Portal), und führen Sie die folgende Abfrage aus. Wenn Sie Ergebnisse erhalten, funktioniert der Connector ordnungsgemäß.

    AWSWAF
| take 10

  2. Falls die Systemüberwachung des Datenconnectors noch nicht implementiert wurde, wird dies empfohlen, damit Sie erfahren, wann Connectors keine Daten empfangen oder andere Probleme mit Connectors auftreten. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors.