A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS-szolgáltatásnaplók adatainak betöltéséhez
Az Amazon Web Services (AWS) összekötőivel lekérhet AWS-szolgáltatásnaplókat a Microsoft Sentinelbe. Ezek az összekötők úgy működnek, hogy hozzáférést biztosítanak a Microsoft Sentinelnek az AWS-erőforrásnaplókhoz. Az összekötő beállítása megbízhatósági kapcsolatot létesít az Amazon Web Services és a Microsoft Sentinel között. Ez az AWS-ben egy olyan szerepkör létrehozásával érhető el, amely engedélyt ad a Microsoft Sentinel számára az AWS-naplók eléréséhez.
Ez az összekötő két verzióban érhető el: a CloudTrail-felügyelet és -adatnaplók régi összekötője, valamint az új verzió, amely a következő AWS-szolgáltatások naplóit tudja beolvasni egy S3-gyűjtőből (a hivatkozások az AWS dokumentációjára mutatnak):
- Amazon Virtual Private Cloud (VPC) - VPC-folyamatnaplók
- Amazon GuardDuty - eredmények
- AWS CloudTrail - Management és adatesemények
- AWS CloudWatch - CloudWatch-naplók
Ez a lap az AWS S3-összekötő konfigurálását ismerteti. A beállítás két részből áll: az AWS és a Microsoft Sentinel oldalból. Mindkét oldal folyamata a másik fél által használt információkat állítja elő. Ez a kétirányú hitelesítés biztonságos kommunikációt hoz létre.
Előfeltételek
Győződjön meg arról, hogy a kiválasztott AWS-szolgáltatás naplói a Microsoft Sentinel által elfogadott formátumot használják:
- Amazon VPC: .csv fájl GZIP formátumban fejlécekkel; elválasztó: szóköz.
- Amazon GuardDuty: json-line és GZIP formátumok.
- AWS CloudTrail: .json fájl GZIP formátumban.
- CloudWatch: élőfej nélküli, GZIP formátumú fájl .csv. Ha a naplókat erre a formátumra kell konvertálnia, használhatja ezt a CloudWatch lambda függvényt.
Írási engedéllyel kell rendelkeznie a Microsoft Sentinel munkaterületen.
Telepítse az Amazon Web Services-megoldást a Content Hubról a Microsoft Sentinelben. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Az architektúra áttekintése
Ez a ábra és az alábbi szöveg bemutatja, hogyan működnek együtt az összekötő-megoldás részei.
Az AWS-szolgáltatások úgy vannak konfigurálva, hogy a naplóikat S3 (Simple Storage Service) tárológyűjtőkbe küldjék.
Az S3-gyűjtő értesítési üzeneteket küld az SQS (Simple Queue Service) üzenetsornak, amikor új naplókat kap.
A Microsoft Sentinel AWS S3-összekötő rendszeres, gyakori időközönként kérdezi le az SQS-üzenetsort. Ha egy üzenet szerepel az üzenetsorban, az tartalmazza a naplófájlok elérési útját.
Az összekötő beolvassa az üzenetet az elérési úttal, majd lekéri a fájlokat az S3 gyűjtőből.
Az SQS-üzenetsorhoz és az S3-gyűjtőhöz való csatlakozáshoz a Microsoft Sentinel egy összevont webes identitásszolgáltatót (Microsoft Entra ID) használ az AWS-sel való hitelesítéshez openID Csatlakozás (OIDC) keresztül, és AWS IAM-szerepkört feltételezve. A szerepkör olyan engedélyszabályzattal van konfigurálva, amely hozzáférést biztosít az erőforrásokhoz.
az S3-összekötő Csatlakozás
Az AWS-környezetben:
Konfigurálja az AWS-szolgáltatás(ok)t, hogy naplókat küldjön egy S3-gyűjtőbe.
Hozzon létre egy egyszerű üzenetsor-szolgáltatás (SQS) üzenetsort az értesítés megadásához.
Hozzon létre egy webes identitásszolgáltatót, amely openID Csatlakozás (OIDC) használatával hitelesíti a felhasználókat az AWS-ben.
Hozzon létre egy feltételezett szerepkört, amely engedélyeket ad az OIDC webes identitásszolgáltatója által hitelesített felhasználóknak az AWS-erőforrások eléréséhez.
Csatolja a megfelelő IAM-engedélyszabályzatokat , hogy a feltételezett szerepkör hozzáférést biztosítson a megfelelő erőforrásokhoz (S3 gyűjtő, SQS).
A GitHub-adattárban elérhetővé tettünk egy szkriptet, amely automatizálja a folyamat AWS-oldalát. A dokumentum későbbi részében tekintse meg az automatikus beállításra vonatkozó utasításokat.
A Microsoft Sentinelben:
- Engedélyezze és konfigurálja az AWS S3 Csatlakozás ort a Microsoft Sentinel portálon. Tekintse meg az alábbi utasításokat.
Automatikus beállítás
Az előkészítési folyamat egyszerűsítése érdekében a Microsoft Sentinel egy PowerShell-szkripttel automatizálja az összekötő AWS-oldalának beállítását – a szükséges AWS-erőforrásokat, hitelesítő adatokat és engedélyeket.
A szkript a következő műveleteket hajtja végre:
Létrehoz egy OIDC webes identitásszolgáltatót, amely hitelesíti a Microsoft Entra ID-felhasználókat az AWS-ben.
Létrehoz egy feltételezett IAM-szerepkört a minimálisan szükséges engedélyekkel, hogy az OIDC által hitelesített felhasználók hozzáférjenek a naplókhoz egy adott S3-gyűjtőben és SQS-üzenetsorban.
Lehetővé teszi, hogy a megadott AWS-szolgáltatások naplókat küldjenek az adott S3-gyűjtőbe, és értesítési üzeneteket küldjenek az SQS-üzenetsorba.
Szükség esetén létrehozza ezt az S3-gyűjtőt és az SQS-üzenetsort erre a célra.
Konfigurálja a szükséges IAM-engedélyszabályzatokat, és alkalmazza őket a fent létrehozott IAM-szerepkörre.
Az Azure Government-felhők esetében egy speciális szkript egy másik OIDC webes identitásszolgáltatót hoz létre, amelyhez hozzárendeli a feltételezett IAM-szerepkört.
Az automatikus beállítás előfeltételei
- A gépen a PowerShellnek és az AWS PARANCSSOR-nak kell lennie.
- Telepítési utasítások a PowerShellhez
- Telepítési utasítások az AWS parancssori felületéhez (az AWS dokumentációjából)
Utasítások
Az összekötő beállításához futtassa a szkriptet az alábbi lépésekkel:
A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.
Válassza az Amazon Web Services S3 lehetőséget az adatösszekötők gyűjteményéből.
Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Microsoft Sentinel content hubjáról .
Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.
A Konfiguráció szakaszban az 1. Állítsa be az AWS-környezetet, bontsa ki a Telepítőt PowerShell-szkripttel (ajánlott).
Kövesse a képernyőn megjelenő utasításokat az AWS S3 beállítási szkript letöltéséhez és kinyeréséhez (a hivatkozás letölt egy zip-fájlt, amely a fő beállítási szkriptet és a segédszkripteket tartalmazza) az összekötő oldaláról.
Feljegyzés
Az AWS-naplók Azure Government-felhőbe való betöltéséhez töltse le és bontsa ki ehelyett ezt a speciális AWS S3 Gov beállítási szkriptet.
A szkript futtatása előtt futtassa a parancsot a
aws configure
PowerShell-parancssorból, és adja meg a megfelelő információkat a kérésnek megfelelően. Lásd: AWS parancssori felület | A konfiguráció alapjai (az AWS dokumentációjából) a részletekért.Most futtassa a szkriptet. Másolja ki a parancsot az összekötő oldaláról (a "Szkript futtatása a környezet beállításához") és illessze be a parancssorba.
A szkript kérni fogja a munkaterület azonosítójának megadását. Ez az azonosító megjelenik az összekötő oldalán. Másolja ki, és illessze be a szkript parancssorában.
Amikor a szkript fut, másolja ki a szerepkör ARN-jét és az SQS URL-címét a szkript kimenetéből (lásd az alábbi első képernyőképen látható példát), és illessze be őket a megfelelő mezőkbe a 2. összekötőoldalon . Kapcsolat hozzáadása (lásd az alábbi második képernyőképet).
Válasszon egy adattípust a Céltábla legördülő listából. Ez jelzi az összekötőnek, hogy melyik AWS-szolgáltatás naplózza ezt a kapcsolatot, és hogy melyik Log Analytics-táblába fogja tárolni a betöltött adatokat. Ezután válassza a Kapcsolat hozzáadása lehetőséget.
Feljegyzés
A szkript futtatása akár 30 percet is igénybe vehet.
Manuális beállítás
A Microsoft azt javasolja, hogy az összekötő üzembe helyezéséhez használja az automatikus beállítási szkriptet. Ha valamilyen okból nem szeretné kihasználni ezt a kényelmes használatot, kövesse az alábbi lépéseket az összekötő manuális beállításához.
- Az AWS-erőforrások előkészítése
- Feltételezett AWS-szerepkör létrehozása és hozzáférés biztosítása az AWS Sentinel-fiókhoz
- Az AWS-szerepkör és az üzenetsor adatainak hozzáadása az S3 adatösszekötőhöz
- AWS-szolgáltatás konfigurálása naplók S3-gyűjtőbe való exportálásához
Az AWS-erőforrások előkészítése
Hozzon létre egy S3-gyűjtőt , amelybe a naplókat az AWS-szolgáltatásokból ( VPC, GuardDuty, CloudTrail vagy CloudWatch) fogja szállítani.
- Az AWS dokumentációjában tekintse meg az S3-tároló gyűjtő létrehozásához szükséges utasításokat.
Hozzon létre egy szabványos Egyszerű üzenetsor-szolgáltatás (SQS) üzenetsort , amelyen az S3-gyűjtő értesítéseket tesz közzé.
- Az AWS dokumentációjában megtekintheti a szabványos Egyszerű üzenetsor-szolgáltatás (SQS) létrehozására vonatkozó utasításokat.
Konfigurálja az S3-gyűjtőt úgy, hogy értesítési üzeneteket küldjön az SQS-üzenetsorba.
- Az értesítések SQS-üzenetsoron való közzétételére vonatkozó utasításokat az AWS dokumentációjában találja.
Az AWS-adatösszekötő telepítése és a környezet előkészítése
A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.
Válassza az Amazon Web Services S3 lehetőséget az adatösszekötők gyűjteményéből.
Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Microsoft Sentinel content hubjáról . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.
A Konfiguráció területen bontsa ki a Telepítőt PowerShell-szkripttel (ajánlott), majd másolja a külső azonosítót (munkaterület-azonosítót) a vágólapra.
Open ID Csatlakozás (OIDC) webes identitásszolgáltató és feltételezett AWS-szerepkör létrehozása
Egy másik böngészőablakban vagy lapon nyissa meg az AWS-konzolt.
Hozzon létre egy webes identitásszolgáltatót. Kövesse az alábbi utasításokat az AWS dokumentációjában:
OpenID Csatlakozás (OIDC) identitásszolgáltatók létrehozása.Paraméter Kijelölés/érték Megjegyzések Ügyfélazonosító - Hagyja figyelmen kívül ezt, már rendelkezik vele. Lásd alább a Célközönség sort. Szolgáltató típusa OpenID Connect Az alapértelmezett SAML helyett. Szolgáltató URL-címe Kereskedelmi: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/
Kormány:sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
Ujjlenyomat 626d44e704d1ceabe3bf0d53397464ac8080142c
Ha az IAM-konzolon van létrehozva, a Get thumbprint (Ujjlenyomat lekérése) lehetőséget választva ez az eredmény jelenik meg. Közönség Kereskedelmi: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e
Kormány:api://d4230588-5f84-4281-a9c7-2c15194b28f7
Feltételezett IAM-szerepkör létrehozása. Kövesse az alábbi utasításokat az AWS dokumentációjában:
Szerepkör létrehozása webes identitáshoz vagy OpenID Csatlakozás összevonáshoz.Használja a táblázatban szereplő értékeket az Azure Commercial Cloudhoz.
Paraméter Kijelölés/érték Megjegyzések Megbízható entitás típusa Webes identitás Az alapértelmezett AWS-szolgáltatás helyett. Identitásszolgáltató sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/
Az előző lépésben létrehozott szolgáltató. Közönség api://1462b192-27f7-4cb9-8523-0f4ecb54b47e
Az identitásszolgáltatóhoz az előző lépésben definiált célközönség. Hozzárendeléshez szükséges engedélyek AmazonSQSReadOnlyAccess
AWSLambdaSQSQueueExecutionRole
AmazonS3ReadOnlyAccess
ROSAKMSProviderPolicy
- További szabályzatok az AWS-szolgáltatásnaplók különböző típusainak betöltéséhez
Ezekről a szabályzatokról a Microsoft Sentinel GitHub-adattár AWS S3-összekötő engedélyházirendek oldalán talál további információt. Név Példa: "OIDC_MicrosoftSentinelRole". Válasszon egy értelmes nevet, amely tartalmazza a Microsoft Sentinelre mutató hivatkozást.
A névnek tartalmaznia kell a pontos előtagotOIDC_
, különben az összekötő nem fog megfelelően működni.Használja a táblázatban szereplő értékeket az Azure Government Cloudhoz.
Paraméter Kijelölés/érték Megjegyzések Megbízható entitás típusa Webes identitás Az alapértelmezett AWS-szolgáltatás helyett. Identitásszolgáltató sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
Az előző lépésben létrehozott szolgáltató. Közönség api://d4230588-5f84-4281-a9c7-2c15194b28f7
Az identitásszolgáltatóhoz az előző lépésben definiált célközönség. Hozzárendeléshez szükséges engedélyek AmazonSQSReadOnlyAccess
AWSLambdaSQSQueueExecutionRole
AmazonS3ReadOnlyAccess
ROSAKMSProviderPolicy
- További szabályzatok az AWS-szolgáltatásnaplók különböző típusainak betöltéséhez.
Ezekről a szabályzatokról a Microsoft Sentinel GitHub-adattár AWS S3-összekötő engedélyházirendek lapján talál információt. Név Példa: "OIDC_MicrosoftSentinelRole". Válasszon egy értelmes nevet, amely tartalmazza a Microsoft Sentinelre mutató hivatkozást.
A névnek tartalmaznia kell a pontos előtagotOIDC_
, különben az összekötő nem fog megfelelően működni.Szerkessze az új szerepkör megbízhatósági szabályzatát, és adjon hozzá egy másik feltételt:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"
Fontos
A paraméter értékének
sts:RoleSessionName
pontos előtaggalMicrosoftSentinel_
kell rendelkeznie, ellenkező esetben az összekötő nem fog megfelelően működni.A befejezett megbízhatósági szabályzatnak így kell kinéznie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7", "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX" } } } ] }
XXXXXXXXXXXX
az AWS-fiók azonosítója.XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
A Microsoft Sentinel-munkaterület azonosítója.
Ha végzett a szerkesztéssel, frissítse (mentse) a szabályzatot.
Az AWS-szerepkör és az üzenetsor adatainak hozzáadása az S3 adatösszekötőhöz
Az AWS-konzolra megnyitott böngészőlapon adja meg az Identitás- és hozzáférés-kezelés (IAM) szolgáltatást, és keresse meg a szerepkörök listáját. Válassza ki a fent létrehozott szerepkört.
Másolja az ARN-t a vágólapra.
Írja be az Egyszerű üzenetsor szolgáltatást, válassza ki a létrehozott SQS-üzenetsort, és másolja az üzenetsor URL-címét a vágólapra.
Térjen vissza a Microsoft Sentinel böngészőlapjára, amelynek meg kell nyitnia az Amazon Web Services S3 (előzetes verzió) adatösszekötő lapját. 2 alatt . Kapcsolat hozzáadása:
- Illessze be a két lépéssel ezelőtt a szerepkörbe másolt ARN IAM-szerepkört a mező hozzáadásához .
- Illessze be az utolsó lépésben kimásolt SQS-üzenetsor URL-címét az SQS URL-mezőbe .
- Válasszon egy adattípust a Céltábla legördülő listából. Ez jelzi az összekötőnek, hogy melyik AWS-szolgáltatás naplózza ezt a kapcsolatot, és hogy melyik Log Analytics-táblába fogja tárolni a betöltött adatokat.
- Válassza a Kapcsolat hozzáadása lehetőséget.
AWS-szolgáltatás konfigurálása naplók S3-gyűjtőbe való exportálásához
Az egyes naplótípusok S3-gyűjtőbe való küldésére vonatkozó utasításokat az Amazon Web Services dokumentációjában találja (alább csatolva):
VPC-folyamatnapló közzététele egy S3-gyűjtőben.
Feljegyzés
Ha úgy dönt, hogy testre szabja a napló formátumát, tartalmaznia kell a start attribútumot, mivel az a Log Analytics-munkaterület TimeGenerated mezőjére lesz leképezve. Ellenkező esetben a TimeGenerated mező az esemény betöltési idejével lesz feltöltve, amely nem írja le pontosan a naplóeseményt.
Exportálja a GuardDuty-eredményeket egy S3-gyűjtőbe.
Feljegyzés
Az AWS-ben a rendszer alapértelmezés szerint 6 óránként exportálja a megállapításokat. A környezeti követelményeknek megfelelően módosítsa a frissített aktív eredmények exportálási gyakoriságát. A folyamat felgyorsításához módosíthatja az alapértelmezett beállítást, hogy 15 percenként exportálja a megállapításokat. Lásd: A frissített aktív eredmények exportálási gyakoriságának beállítása.
A TimeGenerated mező a találat érték szerinti frissítésével van feltöltve.
Az AWS CloudTrail-útvonalak alapértelmezés szerint S3-gyűjtőkben vannak tárolva.
Ismert problémák és hibaelhárítás
Ismert problémák
A naplók különböző típusai ugyanabban az S3-gyűjtőben tárolhatók, de nem tárolhatók ugyanabban az elérési úton.
Minden SQS-üzenetsornak egy üzenettípusra kell mutatnia, ezért ha a GuardDuty-eredményeket és a VPC-folyamatnaplókat szeretné beszedni, minden típushoz külön üzenetsorokat kell beállítania.
Hasonlóképpen, egyetlen SQS-üzenetsor csak egy S3-gyűjtő egyetlen elérési útját képes kiszolgálni, így ha bármilyen okból több elérési útvonalon tárolja a naplókat, minden elérési úthoz saját dedikált SQS-üzenetsor szükséges.
Hibaelhárítás
Megtudhatja, hogyan háríthatja el az Amazon Web Services S3-összekötőkkel kapcsolatos problémákat.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan csatlakozhat az AWS-erőforrásokhoz a naplóik Microsoft Sentinelbe való betöltéséhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
- Munkafüzetek használatával monitorozza az adatokat.