Menyambungkan Microsoft Sentinel ke Amazon Web Services untuk menyerap data log layanan AWS

Konektor log layanan Amazon Web Services (AWS) tersedia dalam dua versi: konektor warisan untuk manajemen CloudTrail dan log data, dan versi baru yang dapat menyerap log dari layanan AWS berikut dengan menariknya dari wadah S3 (tautannya adalah dokumentasi AWS):

• Amazon Virtual Private Cloud (VPC) - Log Lalu Lintas VPC
• Amazon GuardDuty - Temuan
• AWS CloudTrail - Peristiwa Pengelolaan dan Data
• AWS CloudWatch - Log CloudWatch

Konektor S3 (baru)

Tab ini menjelaskan cara mengonfigurasi konektor AWS S3 menggunakan salah satu dari dua metode:

• Penyiapan otomatis (Disarankan)
• Penyiapan manual

Prasyarat

• Anda harus memiliki izin menulis di ruang kerja Microsoft Azure Sentinel.

• Instal solusi Amazon Web Services dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten bawaan Microsoft Sentinel.

• Instal PowerShell dan AWS CLI di komputer Anda (hanya untuk penyiapan otomatis):

  • Instruksi penginstalan untuk PowerShell
  • Instruksi penginstalan untuk AWS CLI (dari dokumentasi AWS)

• Pastikan bahwa log dari layanan AWS yang Anda pilih menggunakan format yang diterima oleh Microsoft Sentinel:

  • Amazon VPC: .csv file dalam format GZIP dengan header; pemisah: spasi.
  • Amazon GuardDuty: format JSON-line dan GZIP.
  • AWS CloudTrail: .json file dalam format GZIP.
  • CloudWatch: .csv file dalam format GZIP tanpa header. Jika Anda perlu mengonversi log Anda ke format ini, Anda dapat menggunakan fungsi lambda CloudWatch ini.

Penyiapan otomatis

Untuk menyederhanakan proses onboarding, Microsoft Sentinel telah menyediakan skrip PowerShell untuk mengotomatiskan penyiapan sisi AWS konektor - sumber daya, kredensial, dan izin AWS yang diperlukan.

Naskah:

• Membuat penyedia identitas web OIDC untuk mengautentikasi pengguna Microsoft Entra ID ke AWS. Jika penyedia identitas web sudah ada, skrip menambahkan Microsoft Sentinel sebagai audiens ke penyedia yang ada.

• Membuat peran yang diasumsikan IAM dengan izin minimal yang diperlukan, untuk memberikan akses pengguna yang diautentikasi OIDC ke log Anda dalam wadah S3 dan antrean SQS tertentu.

• Memungkinkan layanan AWS tertentu untuk mengirim log ke wadah S3 tersebut, dan pesan pemberitahuan ke antrean SQS tersebut.

• Jika perlu, buat wadah S3 tersebut dan antrean SQS tersebut untuk tujuan ini.

• Mengonfigurasi kebijakan izin IAM yang diperlukan dan menerapkannya ke peran IAM yang dibuat di atas.

Untuk cloud Azure Government, skrip khusus membuat penyedia identitas web OIDC yang berbeda, dan menetapkan peran yang diasumsikan pada IAM.

Petunjuk

Untuk menjalankan skrip untuk menyiapkan konektor, gunakan langkah-langkah berikut:

1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

2. Pilih Amazon Web Services S3 dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel.

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Di bagian Konfigurasi , di bawah 1. Siapkan lingkungan AWS Anda, perluas Penyiapan dengan skrip PowerShell (disarankan).

5. Ikuti petunjuk di layar untuk mengunduh dan mengekstrak Skrip Penyiapan AWS S3 (tautan mengunduh file zip yang berisi skrip penyiapan utama dan skrip pembantu) dari halaman konektor.

   Nota

   Untuk memasukkan log AWS ke cloud Azure Government, unduh dan ekstrak Skrip Penyiapan AWS S3 Gov khusus ini sebagai alternatif.

6. Sebelum menjalankan skrip, jalankan aws configure perintah dari baris perintah PowerShell Anda, dan masukkan informasi yang relevan seperti yang diminta. Lihat AWS Command Line Interface | Dasar-dasar konfigurasi (dari dokumentasi AWS) untuk detailnya.

7. Sekarang jalankan skrip. Salin perintah dari halaman konektor (di bawah "Jalankan skrip untuk menyiapkan lingkungan") dan tempelkan di baris perintah Anda.

8. Skrip meminta Anda untuk memasukkan ID Ruang Kerja Anda. ID ini muncul di halaman konektor. Salin dan tempelkan pada perintah skrip.

   

9. Ketika skrip selesai dijalankan, salin ARN Peran dan URL SQS dari output skrip (lihat contoh pada cuplikan layar pertama di bawah) dan tempelkan ke bidang masing-masing di halaman konektor di bawah 2. Tambahkan koneksi (lihat cuplikan layar kedua di bawah).

   

   

10. Pilih tipe data dari daftar drop-down Tabel tujuan . Ini memberi tahu konektor layanan AWS mana yang mencatat koneksi ini sedang dibuat untuk dikumpulkan, dan ke dalam tabel Analitik Log mana ia menyimpan data yang diserap. Kemudian pilih Tambahkan koneksi.

Nota

Skrip mungkin memerlukan waktu hingga 30 menit untuk menyelesaikan proses.

Penyiapan manual

Sebaiknya gunakan skrip penyiapan otomatis untuk menyebarkan konektor ini. Jika karena alasan apa pun Anda tidak ingin memanfaatkan kenyamanan ini, ikuti langkah-langkah di bawah ini untuk menyiapkan konektor secara manual.

1. Siapkan lingkungan AWS Anda seperti yang dijelaskan di Menyiapkan lingkungan Amazon Web Services Anda untuk mengumpulkan log AWS ke Microsoft Sentinel.

2. Di konsol AWS:

   1. Masukkan layanan Manajemen Identitas dan Akses (IAM) dan navigasikan ke daftar Peran. Pilih peran yang Anda buat di atas.

   2. Salin ARN ke clipboard Anda.

   3. Masukkan Simple Queue Service, pilih antrean SQS yang Anda buat, dan salin URL antrean ke clipboard Anda.

3. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

4. Pilih Amazon Web Services S3 dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten bawaan Microsoft Sentinel.

5. Di panel detail untuk konektor, pilih Buka halaman konektor.

6. Di bawah 2. Tambahkan koneksi:

   1. Masukkan ARN dari peran IAM yang Anda salin dua langkah sebelumnya ke dalam Bidang Peran untuk Ditambahkan.
   2. Tempelkan URL antrean SQS yang Anda salin di langkah terakhir ke bidang URL SQS .
   3. Pilih tipe data dari daftar drop-down Tabel tujuan . Ini memberi tahu konektor layanan AWS mana yang mencatat koneksi ini sedang dibuat untuk dikumpulkan, dan ke dalam tabel Analitik Log mana ia menyimpan data yang diserap.
   4. Pilih Tambahkan koneksi.

   

Masalah umum dan pemecahan masalah

Masalah yang diketahui

• Berbagai jenis log dapat disimpan dalam wadah S3 yang sama, tetapi tidak boleh disimpan di jalur yang sama.

• Setiap antrean SQS harus ditujukan untuk satu jenis pesan. Jika Anda ingin menyerap temuan GuardDuty dan log alur VPC, siapkan antrean terpisah untuk setiap jenis.

• Satu antrean SQS hanya dapat melayani satu jalur dalam bucket S3. Jika Anda menyimpan log di beberapa jalur, setiap jalur memerlukan antrean SQS yang khusus.

Pemecahan masalah

Pelajari cara memecahkan masalah konektor Amazon Web Services S3.

Konektor CloudTrail (warisan)

Tab ini menjelaskan cara mengonfigurasi konektor AWS CloudTrail. Proses pengaturannya memiliki dua bagian: sisi AWS dan sisi Microsoft Sentinel. Proses masing-masing sisi menghasilkan informasi yang digunakan oleh sisi lain. Autentikasi dua arah ini menciptakan komunikasi yang aman.

Nota

AWS CloudTrail memiliki batasan bawaan dalam API LookupEvents-nya. Ini memungkinkan tidak lebih dari dua transaksi per detik (TPS) per akun, dan setiap kueri dapat mengembalikan maksimum 50 rekaman. Jika satu penyewa terus-menerus menghasilkan lebih dari 100 rekaman per detik dalam satu wilayah, backlog dan penundaan penyerapan data akan dihasilkan.

Saat ini, Anda hanya dapat menghubungkan AWS Commercial CloudTrail anda ke Microsoft Sentinel dan bukan AWS GovCloud CloudTrail.

Prasyarat

• Anda harus memiliki izin menulis di ruang kerja Microsoft Azure Sentinel.
• Instal solusi Amazon Web Services dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten bawaan Microsoft Sentinel.

Nota

Microsoft Sentinel mengumpulkan peristiwa manajemen CloudTrail dari semua wilayah. Kami menyarankan agar Anda tidak melakukan streaming peristiwa dari satu wilayah ke wilayah lain.

Menyambungkan AWS CloudTrail

Menyiapkan konektor ini memiliki dua langkah:

• Membuat peran yang diasumsikan AWS dan memberikan akses ke akun AWS Sentinel
• Menambahkan informasi peran AWS ke konektor data AWS CloudTrail

Membuat peran yang diasumsikan AWS dan memberikan akses ke akun AWS Sentinel

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Pilih Amazon Web Services dari galeri konektor data.

   Jika Anda tidak melihat konektor, instal solusi Amazon Web Services dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten bawaan Microsoft Sentinel.

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Di bawah Konfigurasi, salin ID akun Microsoft dan ID Eksternal (ID Ruang Kerja) ke clipboard Anda.

5. Di jendela atau tab browser yang berbeda, buka konsol AWS. Ikuti instruksi dalam dokumentasi AWS untuk membuat peran untuk akun AWS.

   • Untuk jenis akun, alih-alih Akun ini, pilih Akun AWS lain.

   • Di bidang ID Akun , masukkan nomor 197857026523 (atau tempelkan—ID akun Microsoft yang Anda salin di langkah sebelumnya—dari clipboard Anda). Nomor ini adalah ID akun layanan Microsoft Sentinel untuk AWS. Ini memberi tahu AWS bahwa akun yang menggunakan peran ini adalah pengguna Microsoft Azure Sentinel.

   • Dalam opsi, pilih Perlu ID eksternal (jangan pilih Perlu MFA). Di bidang ID Eksternal, tempelkan ID Ruang Kerja Microsoft Sentinel yang Anda salin di langkah sebelumnya. Ini mengidentifikasi akun Microsoft Sentinel spesifik Anda ke AWS.

   • Tetapkan AWSCloudTrailReadOnlyAccess kebijakan perizinan. Tambahkan tag jika Anda mau.

   • Beri nama peran dengan nama yang bermakna yang menyertakan referensi ke Microsoft Sentinel. Contoh: "MicrosoftSentinelRole".

Menambahkan informasi peran AWS ke konektor data AWS CloudTrail

1. Di tab browser yang terbuka ke konsol AWS, masukkan layanan Manajemen Identitas dan Akses (IAM) dan navigasikan ke daftar Peran. Pilih peran yang Anda buat di atas.

2. Salin ARN ke clipboard Anda.

3. Kembali ke tab browser Microsoft Sentinel Anda, yang seharusnya terbuka ke halaman konektor data Amazon Web Services. Di bagian Konfigurasi , tempelkan ARN Peran ke dalam bidang Peran untuk menambahkan dan pilih Tambahkan.

   

4. Untuk menggunakan skema yang relevan di Log Analytics untuk peristiwa AWS, cari AWSCloudTrail.

   Penting

   Mulai 1 Desember 2020, bidang AwsRequestId telah digantikan oleh bidang AwsRequestId_ (perhatikan garis bawah yang ditambahkan). Data di bidang AwsRequestId lama akan dipertahankan hingga akhir periode retensi data yang ditentukan pelanggan.

Mengirim peristiwa CloudWatch yang diformat ke S3 menggunakan fungsi lambda (opsional)

Jika log CloudWatch Anda tidak dalam format yang diterima oleh Microsoft Sentinel - file .csv dalam format GZIP tanpa header - gunakan fungsi lambda lihat kode sumber dalam AWS untuk mengirim peristiwa CloudWatch ke wadah S3 dalam format yang diterima.

Fungsi lambda menggunakan runtime Python 3.9 dan arsitektur x86_64.

Untuk menerapkan fungsi Lambda:

1. Di AWS Management Console, pilih layanan lambda.

2. Pilih Buat Fungsi.

   

3. Ketik nama untuk fungsi dan pilih Python 3.9 sebagai runtime dan x86_64 sebagai arsitektur.

4. Pilih Buat Fungsi.

5. Di bawah Pilih lapisan, pilih lapisan dan pilih Tambahkan.

   

6. Pilih Izin, dan di bawah Peran eksekusi, pilih Nama peran.

7. Di bawah Kebijakan izin, pilih Tambahkan izin Lampirkan>kebijakan.

   

8. Cari kebijakan AmazonS3FullAccess dan CloudWatchLogsReadOnlyAccess dan lampirkan.

   

9. Kembali ke fungsi, pilih Kode, dan tempelkan tautan kode di bawah Sumber kode.

10. Nilai default untuk parameter diatur menggunakan variabel lingkungan. Jika perlu, Anda dapat menyesuaikan nilai-nilai ini secara manual langsung dalam kode.

11. Pilih Sebarkan, lalu pilih Uji.

12. Buat acara dengan mengisi bidang yang diperlukan.

    

13. Pilih Uji untuk melihat bagaimana peristiwa muncul di wadah S3.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menyambungkan ke sumber daya AWS untuk menyerap log mereka ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Gunakan buku kerja untuk memantau data Anda.