Sambungkan Microsoft Sentinel ke Amazon Web Services untuk mengonsumsi data log layanan AWS

Gunakan konektor Amazon Web Services (AWS) untuk menarik log layanan AWS ke Microsoft Sentinel. Konektor ini berfungsi dengan memberikan akses Microsoft Sentinel ke log sumber daya AWS Anda. Menyiapkan konektor menetapkan hubungan kepercayaan antara Amazon Web Services dan Microsoft Sentinel. Sambungan ini dibuat di AWS dengan membuat peran yang memberikan izin kepada Microsoft Azure Sentinel untuk mengakses log AWS Anda.

Konektor ini tersedia dalam dua versi: konektor warisan untuk manajemen CloudTrail dan log data, dan versi baru yang dapat menyerap log dari layanan AWS berikut dengan menariknya dari wadah S3 (tautan ke dokumentasi AWS):

• Amazon Virtual Private Cloud (VPC) - VPC Flow Logs
• Amazon GuardDuty - Findings
• AWS CloudTrail - Management dan peristiwa data
• Log AWS CloudWatch - CloudWatch

Konektor S3 (baru)

Tab ini menjelaskan cara mengonfigurasi konektor AWS S3. Proses pengaturannya memiliki dua bagian: sisi AWS dan sisi Microsoft Sentinel. Proses masing-masing sisi menghasilkan informasi yang digunakan oleh sisi lain. Autentikasi dua arah ini menciptakan komunikasi yang aman.

Prasyarat

• Pastikan bahwa log dari layanan AWS yang Anda pilih menggunakan format yang diterima oleh Microsoft Sentinel:

  • Amazon VPC: .csv file dalam format GZIP dengan header; pemisah: spasi.
  • Amazon GuardDuty: format json-line dan GZIP.
  • AWS CloudTrail: .json file dalam format GZIP.
  • CloudWatch: .csv file dalam format GZIP tanpa header. Jika Anda perlu mengonversi log Anda ke format ini, Anda dapat menggunakan fungsi lambda CloudWatch ini.

• Anda harus memiliki izin menulis di ruang kerja Microsoft Azure Sentinel.

• Instal solusi Amazon Web Services dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Ikhtisar arsitektur

Grafik ini dan teks berikut menunjukkan bagaimana bagian dari solusi konektor ini berinteraksi.

• Layanan AWS dikonfigurasi guna mengirim log mereka ke wadah penyimpanan S3 (Layanan Storage Sederhana).

• Wadah S3 mengirimkan pesan notifikasi ke antrean pesan SQS (Simple Queue Service) setiap kali menerima log baru.

• Konektor Microsoft Sentinel AWS S3 mengumpuilkan antrean SQS secara berkala dan sering. Jika ada pesan dalam antrean, akan berisi jalur ke file log.

• Konektor membaca pesan dengan jalur, lalu mengambil file dari wadah S3.

• Untuk menyambungkan ke antrean SQS dan wadah S3, Microsoft Sentinel menggunakan penyedia identitas web federasi (ID Microsoft Entra) untuk mengautentikasi dengan AWS melalui OpenID Koneksi (OIDC), dan dengan asumsi peran AWS IAM. Peran dikonfigurasi dengan kebijakan izin yang memberinya akses ke sumber daya tersebut.

Koneksi konektor S3

• Di lingkungan AWS Anda:

  • Konfigurasikan layanan AWS Anda guna mengirim log ke wadah S3.

  • Buat antrean Simple Queue Service (SQS) guna menyediakan notifikasi.

  • Buat idP web untuk mengautentikasi pengguna ke AWS melalui OpenID Koneksi (OIDC).

  • Buat peran yang diasumsikan untuk memberikan izin kepada pengguna yang diautentikasi oleh idP web OIDC untuk mengakses sumber daya AWS Anda.

  • Lampirkan kebijakan izin IAM yang sesuai untuk memberikan akses peran yang diasumsikan ke sumber daya yang sesuai (wadah S3, SQS).

  Kami telah menyediakan, di repositori GitHub kami, skrip yang mengotomatiskan sisi AWS dari proses ini. Lihat petunjuk untuk penyiapan otomatis nanti dalam dokumen ini.

• Di Microsoft Azure Sentinel:

  • Aktifkan dan konfigurasikan Konektor AWS S3 di portal Microsoft Sentinel. Lihat instruksi di bawah ini.

Penyiapan otomatis

Untuk menyederhanakan proses onboarding, Microsoft Sentinel telah menyediakan skrip PowerShell untuk mengotomatiskan penyiapan sisi AWS konektor - sumber daya, info masuk, dan izin AWS yang diperlukan.

Skrip mengambil tindakan berikut:

• Membuat idP web OIDC, untuk mengautentikasi pengguna ID Microsoft Entra ke AWS.

• Membuat peran yang diasumsikan IAM dengan izin minimal yang diperlukan, untuk memberikan akses pengguna yang diautentikasi OIDC ke log Anda dalam wadah S3 dan antrean SQS tertentu.

• Mengaktifkan layanan AWS tertentu untuk mengirim log ke wadah S3 tersebut, dan pesan pemberitahuan ke antrean SQS tersebut.

• Jika perlu, buat wadah S3 itu dan antrean SQS untuk tujuan ini.

• Mengonfigurasi kebijakan izin IAM yang diperlukan dan menerapkannya pada peran IAM yang dibuat di atas.

Untuk cloud Azure Government, skrip khusus membuat idP web OIDC yang berbeda, yang menetapkan peran yang diasumsikan IAM.

Prasyarat untuk penyiapan otomatis

• Anda harus memiliki PowerShell dan AWS CLI di mesin Anda.
  • Instruksi penginstalan untuk PowerShell
  • Instruksi penginstalan untuk AWS CLI (dari dokumentasi AWS)

Petunjuk

Untuk menjalankan skrip untuk menyiapkan konektor, gunakan langkah-langkah berikut:

1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

2. Pilih Amazon Web Services S3 dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel.

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Di bagian Konfigurasi, di bawah 1. Siapkan lingkungan AWS Anda, perluas Penyiapan dengan skrip PowerShell (disarankan).

5. Ikuti petunjuk di layar untuk mengunduh dan mengekstrak Skrip Penyiapan AWS S3 (link mengunduh file zip yang berisi skrip penyiapan utama dan skrip pembantu) dari halaman konektor.

   Catatan

   Untuk menyerap log AWS ke cloud Azure Government, unduh dan ekstrak Skrip Penyiapan AWS S3 Gov khusus ini sebagai gantinya.

6. Sebelum menjalankan skrip, jalankan perintah aws configure dari baris perintah PowerShell Anda, dan masukkan informasi yang relevan seperti yang diminta. Lihat AWS Command Line Interface | Dasar-dasar konfigurasi (dari dokumentasi AWS) untuk detailnya.

7. Sekarang jalankan skrip. Salin perintah dari halaman konektor (di bawah "Jalankan skrip guna mengatur lingkungan") dan tempelkan di baris perintah Anda.

8. Skrip akan meminta Anda memasukkan ID Ruang kerja Anda. ID ini muncul di halaman konektor. Salin dan tempelkan pada perintah skrip.

   

9. Ketika skrip selesai berjalan, salin Role ARN dan URL SQS dari output skrip (lihat contoh pada cuplikan layar pertama di bawah) dan tempelkan di bidang masing-masing di halaman konektor di bawah 2. Tambahkan koneksi (lihat tangkapan layar kedua di bawah).

   

   

10. Pilih jenis data dari daftar turun bawah tabel Tujuan. Ini memberi tahu konektor yang log layanan AWS koneksi ini sedang dibuat untuk dikumpulkan, dan ke mana tabel Log Analytics akan menyimpan data yang diserap. Kemudian pilih Tambahkan koneksi.

Catatan

Skrip mungkin memakan waktu hingga 30 menit untuk menyelesaikannya.

Penyiapan manual

Microsoft merekomendasikan penggunaan skrip pengaturan otomatis untuk menyebarkan konektor ini. Jika karena alasan apa pun Anda tidak ingin memanfaatkan kenyamanan ini, ikuti langkah-langkah di bawah ini guna mengatur konektor secara manual.

• Menyiapkan sumber daya AWS Anda
• Membuat peran yang diasumsikan AWS dan memberikan akses ke akun AWS Sentinel
• Menambahkan peran AWS dan informasi antrean ke konektor data S3
• Mengonfigurasi layanan AWS guna mengekspor log ke wadah S3

Menyiapkan sumber daya AWS Anda

1. Buat wadah S3 tempat Anda akan mengirim log dari layanan AWS Anda - VPC, GuardDuty, CloudTrail, atau CloudWatch.

   • Lihat instruksi untuk membuat wadah penyimpanan S3 dalam dokumentasi AWS.

2. Buat antrean pesan Simple Queue Service (SQS) standar tempat wadah S3 akan menerbitkan pemberitahuan.

   • Lihat instruksi untuk membuat antrean Simple Queue Service (SQS) standar dalam dokumentasi AWS.

3. Konfigurasikan wadah S3 Anda untuk mengirim pesan pemberitahuan ke antrean SQS Anda.

   • Lihat instruksi untuk menerbitkan pemberitahuan ke antrean SQS Anda dalam dokumentasi AWS.

Memasang konektor data AWS dan menyiapkan lingkungan

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Pilih Amazon Web Services S3 dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Di bawah Konfigurasi, perluas Penyetelan dengan skrip PowerShell (disarankan), lalu salin ID Eksternal (ID Ruang Kerja) ke clipboard Anda.

Membuat idP web Open ID Koneksi (OIDC) dan peran yang diasumsikan AWS

1. Di jendela atau tab browser yang berbeda, buka konsol AWS.

2. Membuat idP web. Ikuti instruksi berikut dalam dokumentasi AWS:
   Membuat penyedia identitas OpenID Koneksi (OIDC).

   Parameter	Pilihan/Nilai	Komentar
   ID klien	-	Abaikan ini, Anda sudah memilikinya. Lihat Baris audiens di bawah ini.
   Jenis penyedia	OpenID Connect	Alih-alih SAML default.
   URL Penyedia	Komersial: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Pemerintah: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
   Thumbprint	626d44e704d1ceabe3bf0d53397464ac8080142c	Jika dibuat di konsol IAM, memilih Dapatkan thumbprint akan memberi Anda hasil ini.
   Audiens	Komersial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Pemerintah: api://d4230588-5f84-4281-a9c7-2c15194b28f7

3. Buat peran yang diasumsikan IAM. Ikuti instruksi berikut dalam dokumentasi AWS:
   Membuat peran untuk identitas web atau OpenID Koneksi Federation.

   Gunakan nilai dalam tabel ini untuk Azure Commercial Cloud.

   Parameter	Pilihan/Nilai	Komentar
   Jenis entitas tepercaya	Identitas web	Alih-alih layanan AWS default.
   IdP	sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/	Penyedia yang Anda buat di langkah sebelumnya.
   Audiens	api://1462b192-27f7-4cb9-8523-0f4ecb54b47e	Audiens yang Anda tentukan untuk penyedia identitas di langkah sebelumnya.
   Izin untuk menetapkan	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Kebijakan tambahan untuk menyerap berbagai jenis log layanan AWS	Untuk informasi tentang kebijakan ini, lihat halaman kebijakan izin konektor AWS S3, di repositori GitHub Microsoft Sentinel.
   Nama	Contoh: "OIDC_MicrosoftSentinelRole".	Pilih nama yang bermakna yang menyertakan referensi ke Microsoft Sentinel. Nama harus menyertakan awalan OIDC_yang tepat , jika tidak, konektor tidak akan berfungsi dengan baik.

   Gunakan nilai dalam tabel ini untuk Azure Government Cloud.

   Parameter	Pilihan/Nilai	Komentar
   Jenis entitas tepercaya	Identitas web	Alih-alih layanan AWS default.
   IdP	sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	Penyedia yang Anda buat di langkah sebelumnya.
   Audiens	api://d4230588-5f84-4281-a9c7-2c15194b28f7	Audiens yang Anda tentukan untuk penyedia identitas di langkah sebelumnya.
   Izin untuk menetapkan	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Kebijakan tambahan untuk menyerap berbagai jenis log layanan AWS.	Untuk informasi tentang kebijakan ini, lihat halaman kebijakan izin konektor AWS S3 untuk Pemerintah, di repositori GitHub Microsoft Sentinel.
   Nama	Contoh: "OIDC_MicrosoftSentinelRole".	Pilih nama yang bermakna yang menyertakan referensi ke Microsoft Sentinel. Nama harus menyertakan awalan OIDC_yang tepat , jika tidak, konektor tidak akan berfungsi dengan baik.

4. Edit kebijakan kepercayaan peran baru dan tambahkan kondisi lain:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Penting

   Nilai parameter harus memiliki awalan sts:RoleSessionNameMicrosoftSentinel_yang tepat , jika tidak, konektor tidak akan berfungsi dengan baik.

   Kebijakan kepercayaan yang sudah selesai akan terlihat seperti ini:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX adalah ID Akun AWS Anda.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX adalah ID ruang kerja Microsoft Azure Sentinel Anda.

   Perbarui (simpan) kebijakan saat Anda selesai mengedit.

Menambahkan peran AWS dan informasi antrean ke konektor data S3

1. Di tab browser yang terbuka ke konsol AWS, masukkan layanan Manajemen Identitas dan Akses (IAM) dan navigasikan ke daftar Peran. Pilih peran yang Anda buat di atas.

2. Salin ARN ke clipboard Anda.

3. Masukkan Simple Queue Service, pilih antrean SQS yang Anda buat, dan salin URL antrean ke clipboard Anda.

4. Kembali ke tab browser Microsoft Azure Sentinel Anda, yang harus terbuka ke halaman konektor data Amazon Web Services S3 (Pratinjau). Di bawah 2. Tambahkan koneksi:

   1. Tempelkan peran IAM ARN yang Anda salin dua langkah yang lalu ke dalam bidang Peran untuk ditambahkan .
   2. Tempel URL antrean SQS yang Anda salin di langkah terakhir ke bidang URL SQS.
   3. Pilih jenis data dari daftar turun bawah tabel Tujuan. Ini memberi tahu konektor yang log layanan AWS koneksi ini sedang dibuat untuk dikumpulkan, dan ke mana tabel Log Analytics akan menyimpan data yang diserap.
   4. Pilih Tambahkan koneksi.

   

Mengonfigurasi layanan AWS untuk mengekspor log ke wadah S3

Lihat dokumentasi Amazon Web Services (ditautkan di bawah) untuk petunjuk mengirim setiap jenis log ke wadah S3 Anda:

• Menerbitkan log alur VPC ke wadah S3.

  Catatan

  Jika Anda memilih untuk menyesuaikan format log, Anda harus menyertakan atribut mulai, karena memetakan ke bidang TimeGenerated di ruang kerja Log Analytics. Jika tidak, bidang TimeGenerated akan diisi dengan waktu yang diserap peristiwa, yang tidak secara akurat menggambarkan peristiwa log.

• Mengekspor temuan GuardDuty Anda ke wadah S3.

  Catatan

  • Di AWS, temuan diekspor secara default setiap 6 jam. Sesuaikan frekuensi ekspor untuk temuan Aktif yang diperbarui berdasarkan persyaratan lingkungan Anda. Untuk mempercepat proses, Anda dapat mengubah pengaturan default untuk mengekspor temuan setiap 15 menit. Lihat Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui.

  • Bidang TimeGenerated diisi dengan nilai Perbarui pada temuan.

• Jejak AWS CloudTrail disimpan dalam wadah S3 secara default.

  • Membuat jejak untuk satu akun.
  • Membuat jejak yang mencakup beberapa akun di seluruh organisasi.

• Ekspor data log CloudWatch Anda ke wadah S3.

Masalah umum dan pemecahan masalah

Masalah yang diketahui

• Berbagai jenis log dapat disimpan dalam wadah S3 yang sama, tetapi tidak boleh disimpan di jalur yang sama.

• Setiap antrean SQS harus mengarah ke satu jenis pesan, jadi jika Anda ingin menyerap temuan GuardDuty dan log alur VPC, Anda harus menyiapkan antrean terpisah untuk setiap jenis.

• Demikian pula, satu antrean SQS hanya dapat melayani satu jalur dalam wadah S3, jadi jika karena alasan apa pun Anda menyimpan log di beberapa jalur, setiap jalur memerlukan antrean SQS khusus sendiri.

Pemecahan Masalah

Pelajari cara memecahkan masalah konektor S3 AWS.

Konektor CloudTrail (warisan)

Tab ini menjelaskan cara mengonfigurasi konektor AWS CloudTrail. Proses pengaturannya memiliki dua bagian: sisi AWS dan sisi Microsoft Sentinel. Proses masing-masing sisi menghasilkan informasi yang digunakan oleh sisi lain. Autentikasi dua arah ini menciptakan komunikasi yang aman.

Catatan

AWS CloudTrail memiliki batasan bawaan dalam API LookupEvents. Cara ini memungkinkan tidak lebih dari dua transaksi per detik (TPS) per akun, dan setiap kueri dapat mengembalikan maksimal 50 rekaman. Akibatnya, jika satu penyewa terus-menerus menghasilkan lebih dari 100 rekaman per detik dalam satu wilayah, backlog dan penundaan pengolahan data akan timbul.

Saat ini, Anda hanya dapat menghubungkan AWS Commercial CloudTrail Anda ke Microsoft Azure Sentinel dan tidak bisa dengan AWS GovCloud CloudTrail.

Prasyarat

• Anda harus memiliki izin menulis di ruang kerja Microsoft Azure Sentinel.
• Instal solusi Amazon Web Services dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Catatan

Microsoft Azure Sentinel mengumpulkan peristiwa manajemen CloudTrail dari semua wilayah. Disarankan agar Anda tidak melakukan streaming peristiwa dari satu wilayah ke wilayah lainnya.

Menghubungkan AWS CloudTrail

Menyiapkan konektor ini memiliki dua langkah:

• Membuat peran yang diasumsikan AWS dan memberikan akses ke akun AWS Sentinel
• Menambahkan informasi peran AWS ke konektor data AWS CloudTrail

Membuat peran yang diasumsikan AWS dan memberikan akses ke akun AWS Sentinel

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Pilih Amazon Web Services dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Di bawah Konfigurasi, salin ID akun Microsoft dan ID Eksternal (ID Ruang Kerja) ke clipboard Anda.

5. Di jendela atau tab browser yang berbeda, buka konsol AWS. Ikuti instruksi dalam dokumentasi AWS untuk membuat peran untuk akun AWS.

   • Untuk jenis akun, alih-alih Akun ini, pilih Akun AWS lain.

   • Di bidang ID Akun, masukkan nomor 197857026523 (atau tempelkan—ID akun Microsoft yang Anda salin di langkah sebelumnya—dari clipboard Anda). Nomor ini adalah ID akun layanan Microsoft Sentinel untuk AWS. Ini memberi tahu AWS bahwa akun yang menggunakan peran ini adalah pengguna Microsoft Sentinel.

   • Dalam opsi, pilih Perlu ID eksternal (jangan pilih Perlu MFA). Di bidang ID Eksternal, tempelKAN ID Ruang Kerja Microsoft Azure Sentinel yang Anda salin di langkah sebelumnya. Ini mengidentifikasi akun Microsoft Sentinel spesifik Anda ke AWS.

   • Tetapkan AWSCloudTrailReadOnlyAccess kebijakan izin. Tambahkan tag jika Anda mau.

   • Beri nama peran dengan nama yang bermakna yang menyertakan referensi ke Microsoft Sentinel. Contoh: "MicrosoftSentinelRole".

Menambahkan informasi peran AWS ke konektor data AWS CloudTrail

1. Di tab browser yang terbuka ke konsol AWS, masukkan layanan Manajemen Identitas dan Akses (IAM) dan navigasikan ke daftar Peran. Pilih peran yang Anda buat di atas.

2. Salin ARN ke clipboard Anda.

3. Kembali ke tab browser Microsoft Azure Sentinel Anda, yang harus terbuka ke halaman konektor data Amazon Web Services . Di bagian Konfigurasi , tempelkan ARN Peran ke dalam bidang Peran untuk menambahkan dan pilih Tambahkan.

   

4. Untuk menggunakan skema yang relevan di Log Analytics untuk peristiwa AWS, cari AWSCloudTrail.

   Penting

   Sejak 1 Desember 2020, bidang AwsRequestId telah digantikan oleh bidang AwsRequestId_ (perhatikan tambahan garis bawah). Data di bidang AwsRequestId lama akan dipertahankan hingga akhir periode retensi data yang ditentukan pelanggan.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menyambungkan ke sumber daya AWS guna menyerap log mereka ke Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Gunakan buku kerja untuk memantau data Anda.