Share via

Az AWS S3-összekötővel kapcsolatos problémák elhárítása

  • Cikk

Az Amazon Web Services (AWS) S3-összekötő lehetővé teszi az AWS S3-gyűjtőkben gyűjtött AWS-szolgáltatásnaplók Microsoft Sentinelbe való betöltését. A jelenleg támogatott naplótípusok a következők: AWS CloudTrail, VPC-forgalomnaplók és AWS GuardDuty.

Ez a cikk azt ismerteti, hogyan azonosíthatja gyorsan az AWS S3-összekötővel kapcsolatos problémák okát, hogy megtalálja a problémák megoldásához szükséges lépéseket.

Megtudhatja, hogyan csatlakoztathatja a Microsoft Sentinelt az Amazon Web Serviceshez az AWS szolgáltatás naplóadatainak betöltéséhez.

A Microsoft Sentinel nem fogad adatokat az Amazon Web Services S3-összekötőtől vagy annak egyik adattípusától

Az AWS S3-összekötő (vagy annak egyik adattípusa) naplói az összekötő csatlakoztatása után több mint 30 percig nem láthatók a Microsoft Sentinel-munkaterületen.

Mielőtt okot és megoldást keres, tekintse át az alábbi szempontokat:

  • Az összekötő csatlakoztatásától számítva körülbelül 20–30 percet is igénybe vehet, amíg az adatok betöltődnek a munkaterületre.
  • Az összekötő kapcsolati állapota azt jelzi, hogy létezik gyűjtési szabály, nem pedig azt, hogy az adatok betöltése megtörtént. Ha az Amazon Web Services S3-összekötő állapota zöld, van egy gyűjtési szabály az egyik adattípushoz, de még mindig nincs adat.

A probléma okának meghatározása

Ebben a szakaszban a következő okokkal foglalkozunk:

  1. Az AWS S3-összekötő engedélyszabályzatai nincsenek megfelelően beállítva.
  2. Az adatok nem lesznek betöltve az AWS S3-gyűjtőjében.
  3. Az AWS-felhőben található Amazon Simple Queue Service (SQS) nem kap értesítéseket az S3-gyűjtőtől.
  4. Az adatok nem olvashatók be az AWS-felhőben található SQS-ből/S3-ból. A GuardDuty-naplók esetében a problémát helytelen KMS-engedélyek okozzák.

1. ok: Az AWS S3-összekötő engedélyházirendjei nincsenek megfelelően beállítva

Ezt a problémát az AWS-környezet helytelen engedélyei okozzák.

Engedélyszabályzatok létrehozása

Az AWS S3-adatösszekötő üzembe helyezéséhez engedélyszabályzatok szükségesek. Tekintse át a szükséges engedélyeket, és állítsa be a megfelelőket.

2. ok: A vonatkozó adatok nem léteznek az S3-gyűjtőben

A vonatkozó naplók nem léteznek az S3-gyűjtőben.

Megoldás: Szükség esetén keressen naplókat és exportálja a naplókat

  1. Az AWS-ben nyissa meg az S3 gyűjtőt, keresse meg a megfelelő mappát a szükséges naplók alapján, és ellenőrizze, hogy vannak-e naplófájlok a mappában.
  2. Ha az adatok nem léteznek, probléma van az AWS-konfigurációval. Ebben az esetben konfigurálnia kell egy AWS-szolgáltatást a naplók S3-gyűjtőbe való exportálásához.

3. ok: Az S3-adatok nem érkeztek meg az SQS-hez

Az adatok átvitele nem sikerült az S3-ból az SQS-be.

Megoldás: Ellenőrizze, hogy az adatok megérkeztek-e, és konfigurálja az eseményértesítéseket

  1. Nyissa meg a megfelelő SQS-t az AWS-ben.
  2. A Monitorozás lapon a forgalomnak az Elküldött üzenetek száma vezérlőben kell megjelennie. Ha nincs forgalom az SQS-ben, akkor a probléma az AWS-konfigurációban van.
  3. Ellenőrizze, hogy az SQS eseményértesítés-definíciója tartalmazza-e a megfelelő adatszűrőket (előtagot és utótagot).
    1. Az eseményértesítések megtekintéséhez válassza a Tulajdonságok lapot az S3-gyűjtőben, majd keresse meg az Eseményértesítések szakaszt.
    2. Ha nem találja ezt a szakaszt, hozza létre.
    3. Ügyeljen rá, hogy az SQS rendelkezzen a megfelelő szabályzatokkal az adatok S3-gyűjtőből való lekéréséhez. Az SQS-nek tartalmaznia kell ezt a házirendet a Hozzáférési szabályzat lapon.

4. ok: Az SQS nem olvasta be az adatokat

Az SQS nem tudta beolvasni az S3-adatokat.

Megoldás: Ellenőrizze, hogy az SQS beolvassa-e az adatokat

  1. Nyissa meg a megfelelő SQS-t az AWS-ben.

  2. A Monitorozás lapon a forgalomnak a Törölt üzenetek száma és a Beérkezett üzenetek száma vezérlőben kell megjelennie.

  3. Egyetlen kiugrás az adatok számában nem elegendő. Várjon, amíg elegendő adat (több kiugró érték) nem lesz, majd ellenőrizze, hogy vannak-e problémák.

  4. Ha legalább az egyik vezérlő üres, ellenőrizze az állapotnaplókat a következő lekérdezés futtatásával:

    SentinelHealth 
| where TimeGenerated > ago(1d)
| where SentinelResourceKind in ('AmazonWebServicesCloudTrail', 'AmazonWebServicesS3')
| where OperationName == 'Data fetch failure summary'
| mv-expand TypeOfFailureDuringHour = ExtendedProperties["FailureSummary"]
| extend StatusCode = TypeOfFailureDuringHour["StatusCode"]
| extend StatusMessage = TypeOfFailureDuringHour["StatusMessage"]
| project SentinelResourceKind, SentinelResourceName, StatusCode, StatusMessage, SentinelResourceId, TypeOfFailureDuringHour, ExtendedProperties

  5. Győződjön meg arról, hogy az állapotfunkció engedélyezve van:

    SentinelHealth 
| take 20

  6. Ha az állapotfunkció nincs engedélyezve, engedélyezze.

Az AWS S3-összekötőből (vagy annak egyik adattípusából) származó adatok a Microsoft Sentinelben több mint 30 perces késéssel láthatók

Ez a probléma általában akkor fordul elő, ha a Microsoft nem tud fájlokat olvasni az S3 mappában. A Microsoft nem tudja olvasni a fájlokat, mert titkosítottak vagy nem megfelelő formátumban vannak. Ezekben az esetekben a számos újrapróbálkozás végül késést okoz a betöltés során.

A probléma okának meghatározása

Ebben a szakaszban a következő okokkal foglalkozunk:

  • A naplótitkosítás nincs megfelelően beállítva
  • Az eseményértesítések nincsenek megfelelően definiálva
  • Állapothibák vagy állapot letiltva

1. ok: A naplótitkosítás nincs megfelelően beállítva

Ha a kulcskezelő szolgáltatás (KMS) teljesen vagy részben titkosítja a naplókat, előfordulhat, hogy a Microsoft Sentinel nem rendelkezik engedéllyel a KMS-hez a fájlok visszafejtéséhez.

Megoldás: Naplótitkosítás ellenőrzése

Győződjön meg arról, hogy a Microsoft Sentinel rendelkezik engedéllyel ehhez a KMS-hez a fájlok visszafejtéséhez. Tekintse át a GuardDuty- és CloudTrail-naplókhoz szükséges KMS-engedélyeket.

2. ok: Az eseményértesítések nincsenek megfelelően konfigurálva

Amazon S3 eseményértesítés konfigurálásakor meg kell adnia, hogy az Amazon S3 mely támogatott eseménytípusoknak kell elküldenie az értesítést. Ha egy nem megadott eseménytípus létezik az Amazon S3-gyűjtőben, az Amazon S3 nem küld értesítést.

Megoldás: Ellenőrizze, hogy az eseményértesítések megfelelően vannak-e definiálva

Annak ellenőrzéséhez, hogy az S3 és az SQS közötti eseményértesítések megfelelően vannak-e definiálva, ellenőrizze a következőket:

  • Az értesítés a naplókat tartalmazó mappából van meghatározva, nem pedig a gyűjtőt tartalmazó fő mappából.
  • Az értesítés a .gz utótaggal van definiálva. Például:

3. ok: Állapothibák vagy állapot letiltva

Előfordulhat, hogy hibák vannak az állapotnaplókban, vagy az állapotfunkció nincs engedélyezve.

Megoldás: Ellenőrizze, hogy nincsenek-e hibák az állapotnaplókban, és engedélyezze az állapotot

  1. A következő lekérdezés futtatásával ellenőrizze, hogy nincsenek-e hibák az állapotnaplókban:

    SentinelHealth
| where TimeGenerated between (ago(startTime)..ago(endTime))
| where SentinelResourceKind  == "AmazonWebServicesS3"
| where Status != "Success"
| distinct TimeGenerated, OperationName, SentinelResourceName, Status, Description

  2. Győződjön meg arról, hogy az állapotfunkció engedélyezve van:

    SentinelHealth 
| take 20

  3. Ha az állapotfunkció nincs engedélyezve, engedélyezze.

Következő lépések

Ebből a cikkből megtudhatja, hogyan azonosíthatja gyorsan az okokat, és hogyan háríthatja el az AWS S3-összekötővel kapcsolatos gyakori problémákat.

Szívesen fogadjuk a visszajelzéseket, javaslatokat, a funkciókra, hibajelentésekre vagy fejlesztésekre és kiegészítésekre vonatkozó kéréseket. Lépjen a Microsoft Sentinel GitHub-adattárba , és hozzon létre egy problémát vagy elágaztatást, és töltsön fel egy hozzájárulást.