Microsoft Sentinel verbinden met Amazon Web Services om logboekgegevens van AWS-service op te nemen

De AWS-servicelogboekconnector (Amazon Web Services) is beschikbaar in twee versies: de verouderde connector voor CloudTrail-beheer- en gegevenslogboeken en de nieuwe versie die logboeken van de volgende AWS-services kan opnemen door ze op te halen uit een S3-bucket (koppelingen zijn naar AWS-documentatie):

• Amazon Virtual Private Cloud (VPC) - VPC-stroomlogboeken
• Amazon GuardDuty - Bevindingen
• AWS CloudTrail - Beheer- en gegevensevenementen
• AWS CloudWatch - CloudWatch-logboeken

S3 connector (nieuw)

In dit tabblad wordt uitgelegd hoe u de AWS S3-connector configureert met behulp van een van de twee methoden:

• Automatische installatie (aanbevolen)
• Handmatige installatie

Vereiste voorwaarden

• U moet schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

• Installeer de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Voor meer informatie, zie Ontdek en beheer de Microsoft Sentinel standaardinhoud.

• Installeer PowerShell en de AWS CLI op uw computer (alleen voor automatische installatie):

  • Installatie-instructies voor PowerShell
  • Installatie-instructies voor de AWS CLI (vanuit de AWS-documentatie)

• Zorg ervoor dat de logboeken van de geselecteerde AWS-service de indeling gebruiken die door Microsoft Sentinel wordt geaccepteerd:

  • Amazon VPC: .csv bestand in GZIP-indeling met headers; scheidingsteken: spatie.
  • Amazon GuardDuty: json-line- en GZIP-indelingen.
  • AWS CloudTrail: .json bestand in een GZIP-indeling.
  • CloudWatch: .csv bestand in een GZIP-indeling zonder koptekst. Als u uw logboeken naar deze indeling wilt converteren, kunt u gebruikmaken van deze CloudWatch-lambda-functie.

Automatische installatie

Om het onboardingproces te vereenvoudigen, heeft Microsoft Sentinel een PowerShell-script verstrekt om de installatie van de AWS-zijde van de connector te automatiseren: de vereiste AWS-resources, -referenties en -machtigingen.

Script:

• Hiermee maakt u een OIDC-web-id-provider om Microsoft Entra ID-gebruikers te verifiëren bij AWS. Als er al een web-id-provider bestaat, wordt Microsoft Sentinel als doelgroep toegevoegd aan de bestaande provider.

• Hiermee maakt u een door IAM aangenomen rol met de minimaal benodigde machtigingen om geverifieerde OIDC-gebruikers toegang te verlenen tot uw logboeken in een bepaalde S3-bucket en SQS-wachtrij.

• Hiermee kunnen opgegeven AWS-services logboeken verzenden naar die S3-bucket en meldingsberichten naar die SQS-wachtrij.

• Maakt deze S3-bucket en SQS-wachtrij indien nodig aan voor dit doel.

• Hiermee configureert u alle benodigde IAM-machtigingenbeleidsregels en past u deze toe op de IAM-rol die hierboven is gemaakt.

Voor Azure Government-clouds maakt een speciaal script een andere OIDC-web-id-provider waaraan de IAM-rol is toegewezen.

Aanwijzingen

Voer de volgende stappen uit om het script uit te voeren om de connector in te stellen:

1. Selecteer Gegevensverbindingen in het navigatiemenu van Microsoft Sentinel.

2. Selecteer Amazon Web Services S3 in de galerie met gegevensconnectors.

   Als u de connector niet ziet, installeert u de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel.

3. Selecteer Connectorpagina openen in het detailvenster voor de connector.

4. In de sectie Configuratie onder 1. Stel uw AWS-omgeving in, vouw Setup uit met PowerShell-script (aanbevolen).

5. Volg de instructies op het scherm om het AWS S3-installatiescript te downloaden en uit te pakken (koppeling downloadt een zip-bestand met het hoofdscript en helperscripts) van de connectorpagina.

   Opmerking

   Voor het opnemen van AWS-logboeken in een Azure Government-cloud downloadt en extraheert u in plaats daarvan dit speciale AWS S3 Gov-installatiescript .

6. Voordat u het script uitvoert, voert u de opdracht uit vanaf de aws configure PowerShell-opdrachtregel en voert u de relevante informatie in zoals hierom wordt gevraagd. Zie AWS-opdrachtregelinterface | Basisbeginselen van configuratie (uit aws-documentatie) voor meer informatie.

7. Voer nu het script uit. Kopieer de opdracht vanaf de connectorpagina (onder Script uitvoeren om de omgeving in te stellen) en plak deze in de opdrachtregel.

8. Het script vraagt u om uw werkruimte-id in te voeren. Deze id wordt weergegeven op de connectorpagina. Kopieer deze en plak deze bij de prompt van het script.

   

9. Wanneer het script is uitgevoerd, kopieert u de Role ARN en de SQS-URL uit de uitvoer van het script (zie het voorbeeld in de eerste schermopname hieronder) en plakt u deze in hun respectieve velden op de connectorpagina onder 2. Verbinding toevoegen (zie de tweede schermopname hieronder).

   

   

10. Selecteer een gegevenstype in de vervolgkeuzelijst Doeltabel . Dit vertelt de connector van welke AWS-service de logboeken worden verzameld door deze verbinding, en in welke Log Analytics-tabel de opgenomen gegevens worden opgeslagen. Selecteer vervolgens Verbinding toevoegen.

Opmerking

Het uitvoeren van het script kan maximaal 30 minuten duren.

Handmatige installatie

U wordt aangeraden het script voor automatische installatie te gebruiken om deze connector te implementeren. Als u om welke reden dan ook niet wilt profiteren van dit gemak, volgt u de onderstaande stappen om de connector handmatig in te stellen.

1. Stel uw AWS-omgeving in zoals beschreven in Uw Amazon Web Services-omgeving instellen om AWS-logboeken te verzamelen bij Microsoft Sentinel.

2. In de AWS-console:

   1. Voer de IAM-service (Identity and Access Management) in en navigeer naar de lijst met rollen. Selecteer de rol die u hierboven hebt gemaakt.

   2. Kopieer de ARN naar het klembord.

   3. Voer de Simple Queue Service in, selecteer de SQS-wachtrij die u hebt gemaakt en kopieer de URL van de wachtrij naar het klembord.

3. Selecteer Gegevensconnectors in het navigatiemenu in Microsoft Sentinel.

4. Selecteer Amazon Web Services S3 in de galerie met gegevensconnectors.

   Als u de connector niet ziet, installeert u de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Voor meer informatie, zie Ontdek en beheer de Microsoft Sentinel standaardinhoud.

5. Selecteer Connectorpagina openen in het detailvenster voor de connector.

6. Onder 2. Verbinding toevoegen:

   1. Plak de IAM-rol ARN die u twee stappen geleden hebt gekopieerd in het veld Rol om toe te voegen .
   2. Plak de URL van de SQS-wachtrij die u in de laatste stap hebt gekopieerd in het veld SQS-URL .
   3. Selecteer een gegevenstype in de vervolgkeuzelijst Doeltabel . Dit vertelt de connector van welke AWS-service de logboeken worden verzameld door deze verbinding, en in welke Log Analytics-tabel de opgenomen gegevens worden opgeslagen.
   4. Selecteer Verbinding toevoegen.

   

Bekende problemen en probleemoplossing

Bekende problemen

• Verschillende typen logboeken kunnen worden opgeslagen in dezelfde S3-bucket, maar mogen niet in hetzelfde pad worden opgeslagen.

• Elke SQS-wachtrij moet verwijzen naar één type bericht. Als u GuardDuty-bevindingen en VPC-stroomlogboeken wilt opnemen, moet u afzonderlijke wachtrijen instellen voor elk type.

• Eén SQS-wachtrij kan slechts één pad in een S3-emmer bedienen. Als u logboeken in meerdere paden opslaat, heeft elk pad een eigen toegewezen SQS-wachtrij nodig.

Probleemoplossingsproces

Meer informatie over het oplossen van problemen met de Amazon Web Services S3-connector.

CloudTrail-connector (verouderd)

In dit tabblad wordt uitgelegd hoe u de AWS CloudTrail-connector configureert. Het instellen ervan bestaat uit twee delen: de AWS-zijde en de Microsoft Sentinel-zijde. Het proces van elke zijde produceert informatie die door de andere kant wordt gebruikt. Met deze tweerichtingsverificatie wordt beveiligde communicatie gemaakt.

Opmerking

AWS CloudTrail heeft ingebouwde beperkingen in de LookupEvents-API. Het staat maximaal twee transacties per seconde (TPS) per account toe en elke query kan maximaal 50 records retourneren. Als één tenant voortdurend meer dan 100 records per seconde in één regio genereert, leiden achterstanden en vertragingen in gegevensopname tot gevolg.

Op dit moment kunt u uw COMMERCIËLE AWS CloudTrail alleen verbinden met Microsoft Sentinel en niet AWS GovCloud CloudTrail.

Vereiste voorwaarden

• U moet schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
• Installeer de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Voor meer informatie, zie Ontdek en beheer de Microsoft Sentinel standaardinhoud.

Opmerking

Microsoft Sentinel verzamelt CloudTrail-beheer gebeurtenissen uit alle regio's. U wordt aangeraden geen gebeurtenissen van de ene regio naar de andere te streamen.

Verbinding maken met AWS CloudTrail

Het instellen van deze connector heeft twee stappen:

• Maak een veronderstelde rol in AWS en geef toegang tot het AWS Sentinel-account
• De AWS-rolgegevens toevoegen aan de AWS CloudTrail-gegevensconnector

Een veronderstelde rol in AWS creëren en toegang verlenen tot het AWS Sentinel-account

1. Selecteer Gegevensconnectors in het navigatiemenu in Microsoft Sentinel.

2. Selecteer Amazon Web Services in de galerie met gegevensconnectors.

   Als u de connector niet ziet, installeert u de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Voor meer informatie, zie Ontdek en beheer de Microsoft Sentinel standaardinhoud.

3. Selecteer Connectorpagina openen in het detailvenster voor de connector.

4. Kopieer onder Configuratie de Microsoft-account-id en de externe id (werkruimte-id) naar het klembord.

5. Open de AWS-console in een ander browservenster of tabblad. Volg de instructies in de AWS-documentatie voor het maken van een rol voor een AWS-account.

   • Kies voor het accounttype, in plaats van Dit account, Een ander AWS-account.

   • Voer in het veld Account-id het nummer 197857026523 in (of plak het vanaf uw klembord: de Microsoft-account-id die u in de vorige stap hebt gekopieerd). Dit nummer is de serviceaccount-id van Microsoft Sentinel voor AWS. Het vertelt AWS dat het account dat deze rol gebruikt, een Microsoft Sentinel-gebruiker is.

   • Selecteer Externe id vereisen in de opties (selecteer MFA vereisen niet). Plak in het veld Externe id uw Microsoft Sentinel-werkruimte-id die u in de vorige stap hebt gekopieerd. Hiermee wordt uw specifieke Microsoft Sentinel-account aan AWS geïdentificeerd.

   • Wijs het AWSCloudTrailReadOnlyAccess machtigingsbeleid toe. Voeg desgewenst een tag toe.

   • Geef de rol een beschrijvende naam die een verwijzing naar Microsoft Sentinel bevat. Voorbeeld: 'MicrosoftSentinelRole'.

De AWS-rolgegevens toevoegen aan de AWS CloudTrail-gegevensconnector

1. Open op het browsertabblad de AWS-console, voer de IAM-service (Identity and Access Management) in en navigeer naar de lijst met rollen. Selecteer de rol die u hierboven hebt gemaakt.

2. Kopieer de ARN naar het klembord.

3. Ga terug naar het browsertabblad van Microsoft Sentinel, dat moet zijn geopend op de pagina van de gegevensconnector van Amazon Web Services. Plak in de sectie Configuratie de rol-ARN in het veld Rol om toe te voegen en selecteer Toevoegen.

   

4. Als u het relevante schema in Log Analytics wilt gebruiken voor AWS-gebeurtenissen, zoekt u naar AWSCloudTrail.

   Belangrijk

   Vanaf 1 december 2020 is het veld AwsRequestId vervangen door het veld AwsRequestId_ (let op het toegevoegde onderstrepingsteken). De gegevens in het oude veld AwsRequestId blijven behouden tot het einde van de opgegeven gegevensretentieperiode van de klant.

Geformatteerde CloudWatch-gebeurtenissen verzenden naar S3 met behulp van een lambda-functie (optioneel)

Als uw CloudWatch-logboeken niet de indeling hebben die wordt geaccepteerd door Microsoft Sentinel - .csv bestand in een GZIP-indeling zonder koptekst - gebruikt u een lambda-functie om de broncode in AWS te bekijken om CloudWatch-gebeurtenissen naar een S3-bucket in de geaccepteerde indeling te verzenden.

De lambda-functie maakt gebruik van Python 3.9-runtime en x86_64-architectuur.

De lambda-functie implementeren:

1. Selecteer in de AWS Management Console de lambda-service.

2. Selecteer Functie maken.

   

3. Typ een naam voor de functie en selecteer Python 3.9 als runtime en x86_64 als de architectuur.

4. Selecteer Functie maken.

5. Selecteer onder Een laag kiezen een laag en selecteer Toevoegen.

   

6. Selecteer Machtigingen en selecteer onder Uitvoeringsrol rolnaam.

7. Selecteer onder Machtigingsbeleid de optie Machtigingen koppelen-beleid toevoegen>.

   

8. Zoek naar het AmazonS3FullAccess - en CloudWatchLogsReadOnlyAccess-beleid en voeg ze toe.

   

9. Ga terug naar de functie, selecteer Code en plak de codekoppeling onder Codebron.

10. De standaardwaarden voor de parameters worden ingesteld met behulp van omgevingsvariabelen. Indien nodig kunt u deze waarden handmatig rechtstreeks in de code aanpassen.

11. Selecteer Implementeren en selecteer Vervolgens Testen.

12. Maak een gebeurtenis door de vereiste velden in te vullen.

    

13. Selecteer Testen om te zien hoe de gebeurtenis wordt weergegeven in de S3-bucket.

Volgende stappen

In dit document hebt u geleerd hoe u verbinding kunt maken met AWS-resources om hun logboeken op te nemen in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.