A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS-szolgáltatásnaplók adatainak betöltéséhez

Az Amazon Web Services (AWS) összekötőivel lekérhet AWS-szolgáltatásnaplókat a Microsoft Sentinelbe. Ezek az összekötők úgy működnek, hogy hozzáférést biztosítanak a Microsoft Sentinelnek az AWS-erőforrásnaplókhoz. Az összekötő beállítása megbízhatósági kapcsolatot létesít az Amazon Web Services és a Microsoft Sentinel között. Ez az AWS-ben egy olyan szerepkör létrehozásával érhető el, amely engedélyt ad a Microsoft Sentinel számára az AWS-naplók eléréséhez.

Ez az összekötő két verzióban érhető el: a CloudTrail-felügyelet és -adatnaplók régi összekötője, valamint az új verzió, amely a következő AWS-szolgáltatások naplóit tudja beolvasni egy S3-gyűjtőből (a hivatkozások az AWS dokumentációjára mutatnak):

• Amazon Virtual Private Cloud (VPC) - VPC-folyamatnaplók
• Amazon GuardDuty - eredmények
• AWS CloudTrail - Management és adatesemények
• AWS CloudWatch - CloudWatch-naplók

S3-összekötő (új)

Ez a lap az AWS S3-összekötő konfigurálását ismerteti. A beállítás két részből áll: az AWS és a Microsoft Sentinel oldalból. Mindkét oldal folyamata a másik fél által használt információkat állítja elő. Ez a kétirányú hitelesítés biztonságos kommunikációt hoz létre.

Előfeltételek

• Győződjön meg arról, hogy a kiválasztott AWS-szolgáltatás naplói a Microsoft Sentinel által elfogadott formátumot használják:

  • Amazon VPC: .csv fájl GZIP formátumban fejlécekkel; elválasztó: szóköz.
  • Amazon GuardDuty: json-line és GZIP formátumok.
  • AWS CloudTrail: .json fájl GZIP formátumban.
  • CloudWatch: élőfej nélküli, GZIP formátumú fájl .csv. Ha a naplókat erre a formátumra kell konvertálnia, használhatja ezt a CloudWatch lambda függvényt.

• Írási engedéllyel kell rendelkeznie a Microsoft Sentinel munkaterületen.

• Telepítse az Amazon Web Services-megoldást a Content Hubról a Microsoft Sentinelben. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Az architektúra áttekintése

Ez a ábra és az alábbi szöveg bemutatja, hogyan működnek együtt az összekötő-megoldás részei.

• Az AWS-szolgáltatások úgy vannak konfigurálva, hogy a naplóikat S3 (Simple Storage Service) tárológyűjtőkbe küldjék.

• Az S3-gyűjtő értesítési üzeneteket küld az SQS (Simple Queue Service) üzenetsornak, amikor új naplókat kap.

• A Microsoft Sentinel AWS S3-összekötő rendszeres, gyakori időközönként kérdezi le az SQS-üzenetsort. Ha egy üzenet szerepel az üzenetsorban, az tartalmazza a naplófájlok elérési útját.

• Az összekötő beolvassa az üzenetet az elérési úttal, majd lekéri a fájlokat az S3 gyűjtőből.

• Az SQS-üzenetsorhoz és az S3-gyűjtőhöz való csatlakozáshoz a Microsoft Sentinel egy összevont webes identitásszolgáltatót (Microsoft Entra ID) használ az AWS-sel való hitelesítéshez openID Csatlakozás (OIDC) keresztül, és AWS IAM-szerepkört feltételezve. A szerepkör olyan engedélyszabályzattal van konfigurálva, amely hozzáférést biztosít az erőforrásokhoz.

az S3-összekötő Csatlakozás

• Az AWS-környezetben:

  • Konfigurálja az AWS-szolgáltatás(ok)t, hogy naplókat küldjön egy S3-gyűjtőbe.

  • Hozzon létre egy egyszerű üzenetsor-szolgáltatás (SQS) üzenetsort az értesítés megadásához.

  • Hozzon létre egy webes identitásszolgáltatót, amely openID Csatlakozás (OIDC) használatával hitelesíti a felhasználókat az AWS-ben.

  • Hozzon létre egy feltételezett szerepkört, amely engedélyeket ad az OIDC webes identitásszolgáltatója által hitelesített felhasználóknak az AWS-erőforrások eléréséhez.

  • Csatolja a megfelelő IAM-engedélyszabályzatokat , hogy a feltételezett szerepkör hozzáférést biztosítson a megfelelő erőforrásokhoz (S3 gyűjtő, SQS).

  A GitHub-adattárban elérhetővé tettünk egy szkriptet, amely automatizálja a folyamat AWS-oldalát. A dokumentum későbbi részében tekintse meg az automatikus beállításra vonatkozó utasításokat.

• A Microsoft Sentinelben:

  • Engedélyezze és konfigurálja az AWS S3 Csatlakozás ort a Microsoft Sentinel portálon. Tekintse meg az alábbi utasításokat.

Automatikus beállítás

Az előkészítési folyamat egyszerűsítése érdekében a Microsoft Sentinel egy PowerShell-szkripttel automatizálja az összekötő AWS-oldalának beállítását – a szükséges AWS-erőforrásokat, hitelesítő adatokat és engedélyeket.

A szkript a következő műveleteket hajtja végre:

• Létrehoz egy OIDC webes identitásszolgáltatót, amely hitelesíti a Microsoft Entra ID-felhasználókat az AWS-ben.

• Létrehoz egy feltételezett IAM-szerepkört a minimálisan szükséges engedélyekkel, hogy az OIDC által hitelesített felhasználók hozzáférjenek a naplókhoz egy adott S3-gyűjtőben és SQS-üzenetsorban.

• Lehetővé teszi, hogy a megadott AWS-szolgáltatások naplókat küldjenek az adott S3-gyűjtőbe, és értesítési üzeneteket küldjenek az SQS-üzenetsorba.

• Szükség esetén létrehozza ezt az S3-gyűjtőt és az SQS-üzenetsort erre a célra.

• Konfigurálja a szükséges IAM-engedélyszabályzatokat, és alkalmazza őket a fent létrehozott IAM-szerepkörre.

Az Azure Government-felhők esetében egy speciális szkript egy másik OIDC webes identitásszolgáltatót hoz létre, amelyhez hozzárendeli a feltételezett IAM-szerepkört.

Az automatikus beállítás előfeltételei

• A gépen a PowerShellnek és az AWS PARANCSSOR-nak kell lennie.
  • Telepítési utasítások a PowerShellhez
  • Telepítési utasítások az AWS parancssori felületéhez (az AWS dokumentációjából)

Utasítások

Az összekötő beállításához futtassa a szkriptet az alábbi lépésekkel:

1. A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.

2. Válassza az Amazon Web Services S3 lehetőséget az adatösszekötők gyűjteményéből.

   Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Microsoft Sentinel content hubjáról .

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. A Konfiguráció szakaszban az 1. Állítsa be az AWS-környezetet, bontsa ki a Telepítőt PowerShell-szkripttel (ajánlott).

5. Kövesse a képernyőn megjelenő utasításokat az AWS S3 beállítási szkript letöltéséhez és kinyeréséhez (a hivatkozás letölt egy zip-fájlt, amely a fő beállítási szkriptet és a segédszkripteket tartalmazza) az összekötő oldaláról.

   Feljegyzés

   Az AWS-naplók Azure Government-felhőbe való betöltéséhez töltse le és bontsa ki ehelyett ezt a speciális AWS S3 Gov beállítási szkriptet.

6. A szkript futtatása előtt futtassa a parancsot a aws configure PowerShell-parancssorból, és adja meg a megfelelő információkat a kérésnek megfelelően. Lásd: AWS parancssori felület | A konfiguráció alapjai (az AWS dokumentációjából) a részletekért.

7. Most futtassa a szkriptet. Másolja ki a parancsot az összekötő oldaláról (a "Szkript futtatása a környezet beállításához") és illessze be a parancssorba.

8. A szkript kérni fogja a munkaterület azonosítójának megadását. Ez az azonosító megjelenik az összekötő oldalán. Másolja ki, és illessze be a szkript parancssorában.

   

9. Amikor a szkript fut, másolja ki a szerepkör ARN-jét és az SQS URL-címét a szkript kimenetéből (lásd az alábbi első képernyőképen látható példát), és illessze be őket a megfelelő mezőkbe a 2. összekötőoldalon . Kapcsolat hozzáadása (lásd az alábbi második képernyőképet).

   

   

10. Válasszon egy adattípust a Céltábla legördülő listából. Ez jelzi az összekötőnek, hogy melyik AWS-szolgáltatás naplózza ezt a kapcsolatot, és hogy melyik Log Analytics-táblába fogja tárolni a betöltött adatokat. Ezután válassza a Kapcsolat hozzáadása lehetőséget.

Feljegyzés

A szkript futtatása akár 30 percet is igénybe vehet.

Manuális beállítás

A Microsoft azt javasolja, hogy az összekötő üzembe helyezéséhez használja az automatikus beállítási szkriptet. Ha valamilyen okból nem szeretné kihasználni ezt a kényelmes használatot, kövesse az alábbi lépéseket az összekötő manuális beállításához.

• Az AWS-erőforrások előkészítése
• Feltételezett AWS-szerepkör létrehozása és hozzáférés biztosítása az AWS Sentinel-fiókhoz
• Az AWS-szerepkör és az üzenetsor adatainak hozzáadása az S3 adatösszekötőhöz
• AWS-szolgáltatás konfigurálása naplók S3-gyűjtőbe való exportálásához

Az AWS-erőforrások előkészítése

1. Hozzon létre egy S3-gyűjtőt , amelybe a naplókat az AWS-szolgáltatásokból ( VPC, GuardDuty, CloudTrail vagy CloudWatch) fogja szállítani.

   • Az AWS dokumentációjában tekintse meg az S3-tároló gyűjtő létrehozásához szükséges utasításokat.

2. Hozzon létre egy szabványos Egyszerű üzenetsor-szolgáltatás (SQS) üzenetsort , amelyen az S3-gyűjtő értesítéseket tesz közzé.

   • Az AWS dokumentációjában megtekintheti a szabványos Egyszerű üzenetsor-szolgáltatás (SQS) létrehozására vonatkozó utasításokat.

3. Konfigurálja az S3-gyűjtőt úgy, hogy értesítési üzeneteket küldjön az SQS-üzenetsorba.

   • Az értesítések SQS-üzenetsoron való közzétételére vonatkozó utasításokat az AWS dokumentációjában találja.

Az AWS-adatösszekötő telepítése és a környezet előkészítése

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.

2. Válassza az Amazon Web Services S3 lehetőséget az adatösszekötők gyűjteményéből.

   Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Microsoft Sentinel content hubjáról . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. A Konfiguráció területen bontsa ki a Telepítőt PowerShell-szkripttel (ajánlott), majd másolja a külső azonosítót (munkaterület-azonosítót) a vágólapra.

Open ID Csatlakozás (OIDC) webes identitásszolgáltató és feltételezett AWS-szerepkör létrehozása

1. Egy másik böngészőablakban vagy lapon nyissa meg az AWS-konzolt.

2. Hozzon létre egy webes identitásszolgáltatót. Kövesse az alábbi utasításokat az AWS dokumentációjában:
   OpenID Csatlakozás (OIDC) identitásszolgáltatók létrehozása.

   Paraméter	Kijelölés/érték	Megjegyzések
   Ügyfélazonosító	-	Hagyja figyelmen kívül ezt, már rendelkezik vele. Lásd alább a Célközönség sort.
   Szolgáltató típusa	OpenID Connect	Az alapértelmezett SAML helyett.
   Szolgáltató URL-címe	Kereskedelmi: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Kormány: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
   Ujjlenyomat	626d44e704d1ceabe3bf0d53397464ac8080142c	Ha az IAM-konzolon van létrehozva, a Get thumbprint (Ujjlenyomat lekérése) lehetőséget választva ez az eredmény jelenik meg.
   Közönség	Kereskedelmi: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Kormány: api://d4230588-5f84-4281-a9c7-2c15194b28f7

3. Feltételezett IAM-szerepkör létrehozása. Kövesse az alábbi utasításokat az AWS dokumentációjában:
   Szerepkör létrehozása webes identitáshoz vagy OpenID Csatlakozás összevonáshoz.

   Használja a táblázatban szereplő értékeket az Azure Commercial Cloudhoz.

   Paraméter	Kijelölés/érték	Megjegyzések
   Megbízható entitás típusa	Webes identitás	Az alapértelmezett AWS-szolgáltatás helyett.
   Identitásszolgáltató	sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/	Az előző lépésben létrehozott szolgáltató.
   Közönség	api://1462b192-27f7-4cb9-8523-0f4ecb54b47e	Az identitásszolgáltatóhoz az előző lépésben definiált célközönség.
   Hozzárendeléshez szükséges engedélyek	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy További szabályzatok az AWS-szolgáltatásnaplók különböző típusainak betöltéséhez	Ezekről a szabályzatokról a Microsoft Sentinel GitHub-adattár AWS S3-összekötő engedélyházirendek oldalán talál további információt.
   Név	Példa: "OIDC_MicrosoftSentinelRole".	Válasszon egy értelmes nevet, amely tartalmazza a Microsoft Sentinelre mutató hivatkozást. A névnek tartalmaznia kell a pontos előtagot OIDC_, különben az összekötő nem fog megfelelően működni.

   Használja a táblázatban szereplő értékeket az Azure Government Cloudhoz.

   Paraméter	Kijelölés/érték	Megjegyzések
   Megbízható entitás típusa	Webes identitás	Az alapértelmezett AWS-szolgáltatás helyett.
   Identitásszolgáltató	sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	Az előző lépésben létrehozott szolgáltató.
   Közönség	api://d4230588-5f84-4281-a9c7-2c15194b28f7	Az identitásszolgáltatóhoz az előző lépésben definiált célközönség.
   Hozzárendeléshez szükséges engedélyek	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy További szabályzatok az AWS-szolgáltatásnaplók különböző típusainak betöltéséhez.	Ezekről a szabályzatokról a Microsoft Sentinel GitHub-adattár AWS S3-összekötő engedélyházirendek lapján talál információt.
   Név	Példa: "OIDC_MicrosoftSentinelRole".	Válasszon egy értelmes nevet, amely tartalmazza a Microsoft Sentinelre mutató hivatkozást. A névnek tartalmaznia kell a pontos előtagot OIDC_, különben az összekötő nem fog megfelelően működni.

4. Szerkessze az új szerepkör megbízhatósági szabályzatát, és adjon hozzá egy másik feltételt:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Fontos

   A paraméter értékének sts:RoleSessionName pontos előtaggal MicrosoftSentinel_kell rendelkeznie, ellenkező esetben az összekötő nem fog megfelelően működni.

   A befejezett megbízhatósági szabályzatnak így kell kinéznie:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX az AWS-fiók azonosítója.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX A Microsoft Sentinel-munkaterület azonosítója.

   Ha végzett a szerkesztéssel, frissítse (mentse) a szabályzatot.

Az AWS-szerepkör és az üzenetsor adatainak hozzáadása az S3 adatösszekötőhöz

1. Az AWS-konzolra megnyitott böngészőlapon adja meg az Identitás- és hozzáférés-kezelés (IAM) szolgáltatást, és keresse meg a szerepkörök listáját. Válassza ki a fent létrehozott szerepkört.

2. Másolja az ARN-t a vágólapra.

3. Írja be az Egyszerű üzenetsor szolgáltatást, válassza ki a létrehozott SQS-üzenetsort, és másolja az üzenetsor URL-címét a vágólapra.

4. Térjen vissza a Microsoft Sentinel böngészőlapjára, amelynek meg kell nyitnia az Amazon Web Services S3 (előzetes verzió) adatösszekötő lapját. 2 alatt . Kapcsolat hozzáadása:

   1. Illessze be a két lépéssel ezelőtt a szerepkörbe másolt ARN IAM-szerepkört a mező hozzáadásához .
   2. Illessze be az utolsó lépésben kimásolt SQS-üzenetsor URL-címét az SQS URL-mezőbe .
   3. Válasszon egy adattípust a Céltábla legördülő listából. Ez jelzi az összekötőnek, hogy melyik AWS-szolgáltatás naplózza ezt a kapcsolatot, és hogy melyik Log Analytics-táblába fogja tárolni a betöltött adatokat.
   4. Válassza a Kapcsolat hozzáadása lehetőséget.

   

AWS-szolgáltatás konfigurálása naplók S3-gyűjtőbe való exportálásához

Az egyes naplótípusok S3-gyűjtőbe való küldésére vonatkozó utasításokat az Amazon Web Services dokumentációjában találja (alább csatolva):

• VPC-folyamatnapló közzététele egy S3-gyűjtőben.

  Feljegyzés

  Ha úgy dönt, hogy testre szabja a napló formátumát, tartalmaznia kell a start attribútumot, mivel az a Log Analytics-munkaterület TimeGenerated mezőjére lesz leképezve. Ellenkező esetben a TimeGenerated mező az esemény betöltési idejével lesz feltöltve, amely nem írja le pontosan a naplóeseményt.

• Exportálja a GuardDuty-eredményeket egy S3-gyűjtőbe.

  Feljegyzés

  • Az AWS-ben a rendszer alapértelmezés szerint 6 óránként exportálja a megállapításokat. A környezeti követelményeknek megfelelően módosítsa a frissített aktív eredmények exportálási gyakoriságát. A folyamat felgyorsításához módosíthatja az alapértelmezett beállítást, hogy 15 percenként exportálja a megállapításokat. Lásd: A frissített aktív eredmények exportálási gyakoriságának beállítása.

  • A TimeGenerated mező a találat érték szerinti frissítésével van feltöltve.

• Az AWS CloudTrail-útvonalak alapértelmezés szerint S3-gyűjtőkben vannak tárolva.

  • Hozzon létre egy nyomvonalat egyetlen fiókhoz.
  • Hozzon létre egy több fiókra kiterjedő nyomvonalat egy szervezeten belül.

• Exportálja a CloudWatch naplóadatait egy S3-gyűjtőbe.

Ismert problémák és hibaelhárítás

Ismert problémák

• A naplók különböző típusai ugyanabban az S3-gyűjtőben tárolhatók, de nem tárolhatók ugyanabban az elérési úton.

• Minden SQS-üzenetsornak egy üzenettípusra kell mutatnia, ezért ha a GuardDuty-eredményeket és a VPC-folyamatnaplókat szeretné beszedni, minden típushoz külön üzenetsorokat kell beállítania.

• Hasonlóképpen, egyetlen SQS-üzenetsor csak egy S3-gyűjtő egyetlen elérési útját képes kiszolgálni, így ha bármilyen okból több elérési útvonalon tárolja a naplókat, minden elérési úthoz saját dedikált SQS-üzenetsor szükséges.

Hibaelhárítás

Megtudhatja, hogyan háríthatja el az Amazon Web Services S3-összekötőkkel kapcsolatos problémákat.

CloudTrail-összekötő (örökölt)

Ez a lap az AWS CloudTrail-összekötő konfigurálását ismerteti. A beállítás két részből áll: az AWS és a Microsoft Sentinel oldalból. Mindkét oldal folyamata a másik fél által használt információkat állítja elő. Ez a kétirányú hitelesítés biztonságos kommunikációt hoz létre.

Feljegyzés

Az AWS CloudTrail beépített korlátozásokkal rendelkezik a LookupEvents API-ban. Fiókonként legfeljebb két tranzakciót (TPS) engedélyez, és minden lekérdezés legfeljebb 50 rekordot adhat vissza. Ezért ha egyetlen bérlő egy régióban másodpercenként több mint 100 rekordot hoz létre, adatbetöltési hátralékok és késések alakulnak ki.

Jelenleg csak a Microsoft Sentinelhez csatlakoztathatja az AWS Kereskedelmi CloudTrailt, az AWS GovCloud CloudTrailt nem.

Előfeltételek

• Írási engedéllyel kell rendelkeznie a Microsoft Sentinel munkaterületen.
• Telepítse az Amazon Web Services-megoldást a Content Hubról a Microsoft Sentinelben. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Feljegyzés

A Microsoft Sentinel minden régióból gyűjti a CloudTrail felügyeleti eseményeit. Javasoljuk, hogy ne streamelje az eseményeket egyik régióból a másikba.

Csatlakozás AWS CloudTrail

Az összekötő beállításának két lépése van:

• Feltételezett AWS-szerepkör létrehozása és hozzáférés biztosítása az AWS Sentinel-fiókhoz
• Az AWS-szerepkör adatainak hozzáadása az AWS CloudTrail-adatösszekötőhöz

Feltételezett AWS-szerepkör létrehozása és hozzáférés biztosítása az AWS Sentinel-fiókhoz

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.

2. Válassza az Amazon Web Services lehetőséget az adatösszekötők gyűjteményéből.

   Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Microsoft Sentinel content hubjáról . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. A Konfiguráció területen másolja a Vágólapra a Microsoft-fiók azonosítóját és a külső azonosítót (munkaterület-azonosítót).

5. Egy másik böngészőablakban vagy lapon nyissa meg az AWS-konzolt. Az AWS-fiók szerepkörének létrehozásához kövesse az AWS-dokumentáció utasításait.

   • A fióktípushoz az Ez a fiók helyett válassza a Másik AWS-fiókot.

   • A Fiókazonosító mezőben adja meg a vágólapról 197857026523 számát (vagy illessze be az előző lépésben másolt Microsoft-fiókazonosítót). Ez a szám a Microsoft Sentinel AWS szolgáltatásfiók-azonosítója. Azt jelzi az AWS-nek, hogy az ezt a szerepkört használó fiók egy Microsoft Sentinel-felhasználó.

   • A beállítások között válassza a Külső azonosító megkövetelése (ne válassza az MFA megkövetelése lehetőséget). A Külső azonosító mezőbe illessze be az előző lépésben másolt Microsoft Sentinel-munkaterület azonosítóját. Ez azonosítja az adott Microsoft Sentinel-fiókot az AWS-nek.

   • Rendelje hozzá az engedélyházirendet AWSCloudTrailReadOnlyAccess . Ha szeretné, vegyen fel egy címkét.

   • Nevezze el a szerepkört egy értelmes névvel, amely tartalmazza a Microsoft Sentinelre mutató hivatkozást. Példa: "MicrosoftSentinelRole".

Az AWS-szerepkör adatainak hozzáadása az AWS CloudTrail-adatösszekötőhöz

1. Az AWS-konzolra megnyitott böngészőlapon adja meg az Identitás- és hozzáférés-kezelés (IAM) szolgáltatást, és keresse meg a szerepkörök listáját. Válassza ki a fent létrehozott szerepkört.

2. Másolja az ARN-t a vágólapra.

3. Térjen vissza a Microsoft Sentinel böngészőlapjára, amelynek meg kell nyitnia az Amazon Web Services adatösszekötő lapját. A Konfiguráció szakaszban illessze be a szerepkör ARN-ét a szerepkörbe a mező hozzáadásához, majd válassza a Hozzáadás lehetőséget.

   

4. Ha AWS-eseményekhez szeretné használni a megfelelő sémát a Log Analyticsben, keresse meg az AWSCloudTrailt.

   Fontos

   2020. december 1-től az AwsRequestId mezőt felváltotta a AwsRequestId_ mező (jegyezze fel a hozzáadott aláhúzást). A régi AwsRequestId mező adatai megmaradnak az ügyfél megadott adatmegőrzési időszakának végéig.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakozhat az AWS-erőforrásokhoz a naplóik Microsoft Sentinelbe való betöltéséhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Munkafüzetek használatával monitorozza az adatokat.