Connecter Microsoft Sentinel à Amazon Web Services pour ingérer les données des journaux des services AWS

Le connecteur de journal du service Amazon Web Services (AWS) est disponible dans deux versions : le connecteur hérité pour la gestion cloudTrail et les journaux de données, ainsi que la nouvelle version qui peut ingérer des journaux à partir des services AWS suivants en les extrayant à partir d’un compartiment S3 (liens vers la documentation AWS) :

• Cloud privé virtuel (VPC) Amazon - Journaux de flux VPC
• Amazon GuardDuty - Résultats
• AWS CloudTrail - Événements de gestion et de données
• AWS CloudWatch - Journaux CloudWatch

Connecteur S3 (nouveau)

Cet onglet explique comment configurer le connecteur AWS S3 à l’aide de l’une des deux méthodes suivantes :

• Configuration automatique (recommandé)
• Installation manuelle

Conditions préalables

• Vous devez disposer de l’autorisation d’accès en écriture sur l’espace de travail Microsoft Sentinel.

• Installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

• Installez PowerShell et AWS CLI sur votre ordinateur (pour l’installation automatique uniquement) :

  • Instructions d’installation pour PowerShell
  • Instructions d'installation pour l'AWS CLI (à partir de la documentation AWS)

• Assurez-vous que les journaux de votre service AWS sélectionné utilisent le format accepté par Microsoft Sentinel :

  • Amazon VPC : .csv fichier au format GZIP avec des en-têtes ; délimiteur : espace.
  • Amazon GuardDuty : formats json-line et GZIP.
  • AWS CloudTrail : fichier .json au format GZIP.
  • CloudWatch : .csv fichier au format GZIP sans en-tête. Si vous devez convertir vos journaux dans ce format, vous pouvez utiliser cette fonction lambda CloudWatch.

Installation automatique

Pour simplifier le processus d’intégration, Microsoft Sentinel a fourni un script PowerShell pour automatiser l’installation du côté AWS du connecteur (les ressources AWS, les informations d’identification et les autorisations requises).

Le script :

• Crée un fournisseur d'identité Web OIDC pour authentifier les utilisateurs Microsoft Entra ID auprès d'AWS. Si un fournisseur d’identité web existe déjà, le script ajoute Microsoft Sentinel en tant qu’audience au fournisseur existant.

• Crée un rôle assumé IAM avec les autorisations minimales nécessaires, pour accorder aux utilisateurs authentifiés par OIDC l'accès à vos journaux dans un compartiment S3 et une file d'attente SQS donnés.

• Permet aux services AWS spécifiés d’envoyer des journaux à ce compartiment S3 et des messages de notification à cette file d’attente SQS.

• Si nécessaire, crée ce compartiment S3 et cette file d’attente SQS.

• Configure toutes les stratégies d’autorisations IAM nécessaires, et les applique au rôle IAM créé ci-dessus.

Pour les cloud Azure Government, un script spécialisé crée un autre fournisseur d'identité Web OIDC, auquel il attribue le rôle assumé IAM.

Les instructions

Pour exécuter le script pour configurer le connecteur, procédez comme suit :

1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.

2. Sélectionnez Amazon Web Services S3 dans la galerie de connecteurs de données.

   Si vous ne voulez pas voir le connecter, installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel.

3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

4. Dans la section Configuration, sous 1. Installez votre environnement AWS, développez Installer avec un script PowerShell (recommandé).

5. Suivez les instructions à l’écran pour télécharger et extraire le Script d’installation d’AWS S3 (le lien télécharge un fichier zip contenant le script d’installation principal et des scripts d’assistance) à partir de la page du connecteur.

   Remarque

   Pour ingérer des journaux AWS dans un cloud Azure Government, téléchargez et extrayez plutôt ce script de configuration AWS S3 Gov spécialisé.

6. Avant d’exécuter le script, exécutez la commande aws configure à partir de votre ligne de commande PowerShell, puis entrez les informations pertinentes quand vous y êtes invité. Voir Interface de ligne de commande AWS | Bases de configuration (à partir de la documentation AWS) pour plus de détails.

7. Maintenant, exécutez le script. Copiez la commande à partir de la page du connecteur (sous « Exécuter le script pour installer l’environnement ») et collez-la dans votre ligne de commande.

8. Le script vous invite à entrer votre ID d’espace de travail. Cet ID s’affiche sur la page du connecteur. Copiez-le et collez-le à l’invite du script.

   

9. Une fois l’exécution du script terminée, copiez le ARN du rôle et l’URL SQS à partir de la sortie du script (consultez l’exemple de la première capture d’écran ci-dessous), puis collez-les dans les champs correspondants de la page du connecteur, sous 2. Ajouter une connexion (voir la deuxième capture d’écran ci-dessous).

   

   

10. Sélectionnez un type de données dans la liste déroulante Table de destination. Cela indique au connecteur les journaux du service AWS pour la collecte desquels cette connexion est établie, et la table Log Analytics dans laquelle stocker les données ingérées. Sélectionnez Ajouter une connexion.

Remarque

L’exécution du script peut prendre jusqu’à 30 minutes.

Installation manuelle

Nous vous recommandons d’utiliser le script d’installation automatique pour déployer ce connecteur. Si, pour une raison quelconque, vous ne souhaitez pas tirer parti de cette commodité, suivez les étapes ci-dessous pour configurer le connecteur manuellement.

1. Paramétrez votre environnement AWS comme décrit dans Configurer votre environnement Amazon Web Services pour collecter les journaux AWS dans Microsoft Sentinel.

2. Dans la console AWS :

   1. Entrez le service Gestion des identités et des accès (IAM) et accédez à la liste des rôles. Sélectionnez le rôle que vous avez créé ci-dessus.

   2. Copiez l'ARN dans votre presse-papiers.

   3. Entrez dans le Service Simple Queue, sélectionnez la file d'attente SQS que vous avez créée et copiez l'URL de la file d'attente dans votre presse-papiers.

3. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

4. Sélectionnez Amazon Web Services S3 dans la galerie de connecteurs de données.

   Si vous ne voulez pas voir le connecter, installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

5. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

6. Sous 2. Ajouter une connexion :

   1. Collez l'ARN du rôle IAM que vous avez copié il y a deux étapes dans le champ Rôle à ajouter.
   2. Collez l’URL de la file d’attente SQS que vous avez copiée à la dernière étape dans le champ URL SQS.
   3. Sélectionnez un type de données dans la liste déroulante Table de destination. Cela indique au connecteur les journaux du service AWS pour la collecte desquels cette connexion est établie, et la table Log Analytics dans laquelle stocker les données ingérées.
   4. Sélectionnez Ajouter une connexion.

   

Problèmes connus et résolution des problèmes

Problèmes connus

• Différents types de journaux peuvent être stockés dans le même compartiment S3, mais ne doivent pas l’être dans le même chemin d’accès.

• Chaque file d’attente SQS doit pointer vers un type de message. Si vous souhaitez ingérer des résultats GuardDuty et des journaux de flux VPC, configurez des files d’attente distinctes pour chaque type.

• Une file d'attente SQS unique ne peut desservir qu'un seul chemin dans un bucket S3. Si vous stockez des journaux dans plusieurs chemins, chaque chemin nécessite sa propre file d’attente SQS dédiée.

Résolution des problèmes

Découvrez comment résoudre les problèmes de connecteur Amazon Web Services S3.

Connecteur CloudTrail (hérité)

Cet onglet explique comment configurer le connecteur AWS CloudTrail. Le processus de configuration de celui-ci comporte deux parties : le côté AWS et le côté Microsoft Sentinel. Le processus de chaque côté produit des informations utilisées par l’autre côté. Cette authentification bidirectionnelle crée une communication sécurisée.

Remarque

AWS CloudTrail dispose de limitations intégrées dans son API LookupEvents. Il n'autorise pas plus de deux transactions par seconde (TPS) par compte, et chaque requête peut renvoyer un maximum de 50 enregistrements. Si un seul locataire génère constamment plus de 100 enregistrements par seconde dans une région, cela entraînera des arriérés et des retards dans la collecte des données.

Actuellement, vous pouvez uniquement connecter votre instance AWS Commercial CloudTrail à Microsoft Sentinel, et non l’instance AWS GovCloud CloudTrail.

Conditions préalables

• Vous devez disposer de l’autorisation d’accès en écriture sur l’espace de travail Microsoft Sentinel.
• Installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Remarque

Microsoft Sentinel collecte les événements de gestion CloudTrail de toutes les régions. Nous vous recommandons de ne pas diffuser d’événements d’une région à une autre.

Connecter AWS CloudTrail

La configuration de ce connecteur comporte deux étapes :

• Créer un rôle donné AWS et accorder l’accès au compte Sentinel AWS
• Ajoutez les informations sur le rôle AWS au connecteur de données AWS CloudTrail

Créer un rôle donné AWS et accorder l’accès au compte Sentinel AWS

1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.

2. Sélectionnez Amazon Web Services dans la galerie de connecteurs de données.

   Si vous ne voulez pas voir le connecter, installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

4. Sous Configuration, copiez l'ID du compte Microsoft et l'ID externe (ID de l'espace de travail) dans votre presse-papiers.

5. Dans une autre fenêtre ou un autre onglet du navigateur, ouvrez la console AWS. Suivez les instructions de la documentation AWS pour créer un rôle pour un compte AWS.

   • Pour le type de compte, au lieu de Ce compte, choisissez Une autre compte AWS.

   • Dans le champ ID de compte, saisissez le numéro 197857026523 (ou collez-le (l'ID de compte Microsoft que vous avez copié à l'étape précédente) depuis votre presse-papiers). Ce nombre est l’ID de compte de service de Microsoft Sentinel pour AWS. Il indique à AWS que le compte utilisant ce rôle est un utilisateur de Microsoft Sentinel.

   • Dans les options, sélectionnez Exiger un identifiant externe (ne sélectionnez pasExiger MFA). Dans le champ ID externe, collez votre ID Microsoft Sentinel Workspace que vous avez copié à l’étape précédente. Cela identifie votre compte Microsoft Sentinel spécifique pour AWS.

   • Attribuez la stratégie d’autorisations AWSCloudTrailReadOnlyAccess. Ajoutez une balise si vous le souhaitez.

   • Nommez le rôle avec un nom significatif qui inclut une référence à Microsoft Sentinel. Exemple : "MicrosoftSentinelRole".

Ajoutez les informations sur le rôle AWS au connecteur de données AWS CloudTrail

1. Dans l'onglet du navigateur ouvert sur la console AWS, entrez le service Identity and Access Management (IAM) et accédez à la liste des Rôles. Sélectionnez le rôle que vous avez créé ci-dessus.

2. Copiez l'ARN dans votre presse-papiers.

3. Revenez à l'onglet de votre navigateur Microsoft Sentinel, qui doit être ouvert sur la page du connecteur de données Amazon Web Services. Dans la section Configuration, collez l'ARN du rôle dans le champ Rôle à ajouter et sélectionnez Ajouter.

   

4. Pour utiliser le schéma pertinent dans Log Analytics pour les événements AWS, recherchez AWSCloudTrail.

   Important

   À compter du 1er décembre 2020, le champ AwsRequestId a été remplacé par le champ AwsRequestId_ (remarquez l’ajout du trait de soulignement). Les données de l’ancien champ AwsRequestId seront conservées jusqu’à la fin de la période spécifiée de rétention des données du client.

Envoyer des événements CloudWatch mis en forme à S3 à l’aide d’une fonction lambda (facultatif)

Si vos journaux CloudWatch ne sont pas au format accepté par Microsoft Sentinel : .csv fichier au format GZIP sans en-tête - utilisez une fonction lambda consultez le code source dans AWS pour envoyer des événements CloudWatch à un compartiment S3 au format accepté.

La fonction lambda utilise le runtime Python 3.9 et l’architecture x86_64.

Pour déployer la fonction lambda :

1. Dans AWS Management Console, sélectionnez le service lambda.

2. Sélectionnez Créer une fonction.

   

3. Tapez un nom pour la fonction, puis sélectionnez Python 3.9 comme runtime et x86_64 comme architecture.

4. Sélectionnez Créer une fonction.

5. Sous Choisir une couche, sélectionnez une couche, puis Ajouter.

   

6. Sélectionnez Autorisations, puis sous Rôle d’exécution, choisissez Nom du rôle.

7. Sous Stratégies d’autorisations, sélectionnez Ajouter des autorisations>Attacher des stratégies.

   

8. Recherchez les stratégies AmazonS3FullAccess et CloudWatchLogsReadOnlyAccess, puis attachez-les.

   

9. Revenez à la fonction, sélectionnez Code, puis collez le lien du code sous Source du code.

10. Les valeurs par défaut des paramètres sont définies à l’aide de variables d’environnement. Si nécessaire, vous pouvez ajuster manuellement ces valeurs directement dans le code.

11. Sélectionnez Déployer, puis Tester.

12. Créez un événement en remplissant les champs obligatoires.

    

13. Sélectionnez Test pour voir l’apparence de l’événement dans le compartiment S3.

Étapes suivantes

Dans ce document, vous avez appris à vous connecter à des ressources AWS pour ingérer leurs journaux dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
• Commencez à détecter des menaces avec Microsoft Sentinel.
• Utilisez des classeurs pour superviser vos données.