Łączenie Microsoft Sentinel z usługami Amazon Web Services w celu pozyskiwania danych dziennika usługi AWS

Łącznik dziennika usług Amazon Web Services (AWS) jest dostępny w dwóch wersjach: starszym łączniku do zarządzania usługą CloudTrail i dziennikami danych oraz nowej wersji, która może pozyskiwać dzienniki z następujących usług AWS, ściągając je z zasobnika S3 (linki są do dokumentacji platformy AWS):

• Amazon Virtual Private Cloud (VPC) - Dzienniki przepływu VPC
• Amazon GuardDuty - Ustalenia
• AWS CloudTrail - Zdarzenia zarządzania i danych
• AWS CloudWatch - Dzienniki usługi CloudWatch

Łącznik S3 (nowy)

Na tej karcie wyjaśniono, jak skonfigurować łącznik AWS S3 przy użyciu jednej z dwóch metod:

• Konfiguracja automatyczna (zalecane)
• Ręczna konfiguracja

Wymagania wstępne

• Musisz mieć uprawnienie do zapisu w obszarze roboczym Microsoft Sentinel.

• Zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.

• Zainstaluj program PowerShell i interfejs wiersza polecenia platformy AWS na maszynie (tylko w przypadku instalacji automatycznej):

  • Instrukcje instalacji programu PowerShell
  • Instrukcje instalacji interfejsu wiersza polecenia platformy AWS (z dokumentacji platformy AWS)

• Upewnij się, że dzienniki z wybranej usługi AWS używają formatu akceptowanego przez Microsoft Sentinel:

  • Amazon VPC: plik .csv w formacie GZIP z nagłówkami; ogranicznik: spacja.
  • Amazon GuardDuty: formaty json-line i GZIP.
  • AWS CloudTrail: plik .json w formacie GZIP.
  • CloudWatch: .csv plik w formacie GZIP bez nagłówka. Jeśli chcesz przekonwertować dzienniki na ten format, możesz użyć tej funkcji lambda usługi CloudWatch.

Konfiguracja automatyczna

Aby uprościć proces dołączania, Microsoft Sentinel udostępnia skrypt programu PowerShell w celu zautomatyzowania konfiguracji strony platformy AWS łącznika — wymaganych zasobów, poświadczeń i uprawnień platformy AWS.

Skrypt:

• Tworzy dostawcę tożsamości internetowej OIDC w celu uwierzytelniania Microsoft Entra ID użytkowników na platformie AWS. Jeśli dostawca tożsamości internetowej już istnieje, skrypt dodaje Microsoft Sentinel jako odbiorców do istniejącego dostawcy.

• Tworzy rolę przyjętą przez funkcję IAM z minimalnymi niezbędnymi uprawnieniami, aby przyznać użytkownikom uwierzytelnionym przez OIDC dostęp do dzienników w danym zasobniku S3 i kolejce SQS.

• Umożliwia określonym usługom AWS wysyłanie dzienników do tego zasobnika S3 i komunikatów powiadomień do tej kolejki SQS.

• W razie potrzeby tworzy ten zasobnik S3 i kolejkę SQS w tym celu.

• Konfiguruje wszelkie niezbędne zasady uprawnień usługi IAM i stosuje je do roli IAM utworzonej powyżej.

W przypadku chmury Azure Government wyspecjalizowany skrypt tworzy innego dostawcę tożsamości internetowej OIDC, do którego przypisuje rolę przyjętą przez funkcję IAM.

Instrukcje

Aby uruchomić skrypt w celu skonfigurowania łącznika, wykonaj następujące kroki:

1. Z menu nawigacji Microsoft Sentinel wybierz pozycję Łączniki danych.

2. Wybierz pozycję Amazon Web Services S3 z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie amazon web services z centrum zawartości w Microsoft Sentinel.

3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

4. W sekcji Konfiguracja poniżej 1. Skonfiguruj środowisko platformy AWS, rozwiń węzeł Konfiguracja ze skryptem programu PowerShell (zalecane).

5. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby pobrać i wyodrębnić skrypt instalacyjny AWS S3 (link pobiera plik zip zawierający główny skrypt konfiguracji i skrypty pomocnika) ze strony łącznika.

   Uwaga

   Aby pozyskiwać dzienniki platformy AWS w chmurze Azure Government, pobierz i wyodrębnij ten wyspecjalizowany skrypt instalacyjny AWS S3 Gov.

6. Przed uruchomieniem skryptu uruchom aws configure polecenie z wiersza polecenia programu PowerShell i wprowadź odpowiednie informacje w postaci monitu. Zobacz Interfejs wiersza polecenia platformy AWS | Aby uzyskać szczegółowe informacje, podstawowe informacje o konfiguracji (z dokumentacji platformy AWS).

7. Teraz uruchom skrypt. Skopiuj polecenie ze strony łącznika (w obszarze "Uruchom skrypt, aby skonfigurować środowisko") i wklej je w wierszu polecenia.

8. Skrypt monituje o wprowadzenie identyfikatora obszaru roboczego. Ten identyfikator jest wyświetlany na stronie łącznika. Skopiuj go i wklej w wierszu polecenia skryptu.

   

9. Po zakończeniu działania skryptu skopiuj role ARN i adres URL SQS z danych wyjściowych skryptu (zobacz przykład na pierwszym zrzucie ekranu poniżej) i wklej je w odpowiednich polach na stronie łącznika poniżej 2. Dodaj połączenie (zobacz drugi zrzut ekranu poniżej).

   

   

10. Wybierz typ danych z listy rozwijanej Tabela docelowa . Spowoduje to poinformowanie łącznika, które dzienniki usługi AWS to połączenie jest ustanawiane do zbierania i do której tabeli usługi Log Analytics przechowuje pozyskane dane. Następnie wybierz pozycję Dodaj połączenie.

Uwaga

Wykonanie skryptu może potrwać do 30 minut.

Ręczna konfiguracja

Zalecamy wdrożenie tego łącznika przy użyciu skryptu automatycznej konfiguracji. Jeśli z jakiegokolwiek powodu nie chcesz korzystać z tej wygody, wykonaj poniższe kroki, aby ręcznie skonfigurować łącznik.

1. Skonfiguruj środowisko platformy AWS zgodnie z opisem w temacie Konfigurowanie środowiska usług Amazon Web Services w celu zbierania dzienników platformy AWS w celu Microsoft Sentinel.

2. W konsoli platformy AWS:

   1. Wprowadź usługę Zarządzanie tożsamościami i dostępem (IAM) i przejdź do listy ról. Wybierz utworzoną powyżej rolę.

   2. Skopiuj ARN do schowka.

   3. Wprowadź usługę Simple Queue Service, wybierz utworzoną kolejkę SQS i skopiuj adres URL kolejki do schowka.

3. W Microsoft Sentinel wybierz pozycję Łączniki danych z menu nawigacji.

4. Wybierz pozycję Amazon Web Services S3 z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie amazon web services z centrum zawartości w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.

5. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

6. Poniżej 2. Dodaj połączenie:

   1. Wklej rolę IAM ARN skopiowaną dwa kroki temu do pola Rola w celu dodania .
   2. Wklej adres URL kolejki SQS skopiowanej w ostatnim kroku do pola Adres URL SQS .
   3. Wybierz typ danych z listy rozwijanej Tabela docelowa . Spowoduje to poinformowanie łącznika, które dzienniki usługi AWS to połączenie jest ustanawiane do zbierania i do której tabeli usługi Log Analytics przechowuje pozyskane dane.
   4. Wybierz pozycję Dodaj połączenie.

   

Znane problemy i rozwiązywanie problemów

Znane problemy

• Różne typy dzienników mogą być przechowywane w tym samym zasobniku S3, ale nie powinny być przechowywane w tej samej ścieżce.

• Każda kolejka SQS powinna wskazywać jeden typ komunikatu. Jeśli chcesz pozyskiwać wyniki guardduty i dzienniki przepływu VPC, skonfiguruj oddzielne kolejki dla każdego typu.

• Pojedyncza kolejka SQS może obsługiwać tylko jedną ścieżkę w zasobniku S3. Jeśli przechowujesz dzienniki w wielu ścieżkach, każda ścieżka wymaga własnej dedykowanej kolejki SQS.

Rozwiązywanie problemów

Dowiedz się, jak rozwiązywać problemy z łącznikami usługi Amazon Web Services S3.

Łącznik CloudTrail (starsza wersja)

Na tej karcie wyjaśniono, jak skonfigurować łącznik usługi AWS CloudTrail. Proces jego konfigurowania obejmuje dwie części: stronę platformy AWS i stronę Microsoft Sentinel. Proces każdej ze stron generuje informacje używane przez drugą stronę. To uwierzytelnianie dwukierunkowe tworzy bezpieczną komunikację.

Uwaga

Usługa AWS CloudTrail ma wbudowane ograniczenia w interfejsie API LookupEvents. Umożliwia ona nie więcej niż dwie transakcje na sekundę (TPS) na konto, a każde zapytanie może zwrócić maksymalnie 50 rekordów. Jeśli jedna dzierżawa stale generuje więcej niż 100 rekordów na sekundę w jednym regionie, zostaną wyświetlone listy prac i opóźnienia w pozyskiwaniu danych.

Obecnie możesz połączyć usługę AWS Commercial CloudTrail tylko z usługą Microsoft Sentinel, a nie z usługą AWS GovCloud CloudTrail.

Wymagania wstępne

• Musisz mieć uprawnienie do zapisu w obszarze roboczym Microsoft Sentinel.
• Zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.

Uwaga

Microsoft Sentinel zbiera zdarzenia zarządzania usługą CloudTrail ze wszystkich regionów. Zalecamy, aby nie przesyłać strumieniowo zdarzeń z jednego regionu do innego.

Łączenie usługi AWS CloudTrail

Konfigurowanie tego łącznika obejmuje dwa kroki:

• Tworzenie roli przyjętej przez usługę AWS i udzielanie dostępu do konta Sentinel platformy AWS
• Dodawanie informacji o roli platformy AWS do łącznika danych usługi AWS CloudTrail

Tworzenie roli przyjętej przez usługę AWS i udzielanie dostępu do konta Sentinel platformy AWS

1. W Microsoft Sentinel wybierz pozycję Łączniki danych z menu nawigacji.

2. Wybierz pozycję Amazon Web Services z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie amazon web services z centrum zawartości w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.

3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

4. W obszarze Konfiguracja skopiujidentyfikator konta Microsoft i Tożsamość zewnętrzna (identyfikator obszaru roboczego) do schowka.

5. W innym oknie przeglądarki lub na innej karcie otwórz konsolę platformy AWS. Postępuj zgodnie z instrukcjami w dokumentacji platformy AWS dotyczącymi tworzenia roli dla konta platformy AWS.

   • Dla typu konta zamiast Tego konta wybierz pozycję Inne konto platformy AWS.

   • W polu Identyfikator konta wprowadź numer 197857026523 (lub wklej go — identyfikator konta Microsoft skopiowany w poprzednim kroku — ze schowka). Ta liczba jest identyfikatorem konta usługi Microsoft Sentinel dla platformy AWS. Informuje usługę AWS, że konto używające tej roli jest użytkownikiem Microsoft Sentinel.

   • W opcjach wybierz pozycję Wymagaj identyfikatora zewnętrznego (niewybieraj pozycji Wymagaj uwierzytelniania wieloskładnikowego). W polu Tożsamość zewnętrzna wklej identyfikator obszaru roboczego Microsoft Sentinel skopiowany w poprzednim kroku. Spowoduje to zidentyfikowanie konkretnego konta Microsoft Sentinel na platformie AWS.

   • Przypisz AWSCloudTrailReadOnlyAccess zasady uprawnień. Dodaj tag, jeśli chcesz.

   • Nadaj roli nazwę zrozumiałą, która zawiera odwołanie do Microsoft Sentinel. Przykład: "MicrosoftSentinelRole".

Dodawanie informacji o roli platformy AWS do łącznika danych usługi AWS CloudTrail

1. Na karcie przeglądarki otwartej w konsoli platformy AWS wprowadź usługę Zarządzanie tożsamościami i dostępem (IAM) i przejdź do listy ról. Wybierz utworzoną powyżej rolę.

2. Skopiuj ARN do schowka.

3. Wróć do karty przeglądarki Microsoft Sentinel, która powinna być otwarta na stronie łącznika danych usługi Amazon Web Services. W sekcji Konfiguracja wklej nazwę ARN roli w polu Rola, aby dodać pole, a następnie wybierz pozycję Dodaj.

   

4. Aby użyć odpowiedniego schematu w usłudze Log Analytics dla zdarzeń platformy AWS, wyszukaj pozycję AWSCloudTrail.

   Ważna

   Od 1 grudnia 2020 r. pole AwsRequestId zostało zastąpione polem AwsRequestId_ (zwróć uwagę na dodane podkreślenie). Dane w starym polu AwsRequestId zostaną zachowane do końca określonego okresu przechowywania danych klienta.

Wysyłanie sformatowanych zdarzeń cloudwatch do S3 przy użyciu funkcji lambda (opcjonalnie)

Jeśli dzienniki usługi CloudWatch nie są w formacie akceptowanym przez Microsoft Sentinel — .csv plik w formacie GZIP bez nagłówka — użyj funkcji lambda, aby wyświetlić kod źródłowy w usłudze AWS, aby wysłać zdarzenia usługi CloudWatch do zasobnika S3 w akceptowanym formacie.

Funkcja lambda używa środowiska uruchomieniowego języka Python 3.12 i architektury x86_64.

Aby wdrożyć funkcję lambda:

1. W konsoli zarządzania platformy AWS wybierz usługę lambda.

2. Wybierz pozycję Utwórz funkcję.

   

3. Wpisz nazwę funkcji i wybierz pozycję Python 3.12 jako środowisko uruchomieniowe i x86_64 jako architekturę.

4. Wybierz pozycję Utwórz funkcję.

5. W obszarze Wybierz warstwę wybierz warstwę i wybierz pozycję Dodaj.

   

6. Wybierz pozycję Uprawnienia, a następnie w obszarze Rola wykonywania wybierz pozycję Nazwa roli.

7. W obszarze Zasady uprawnień wybierz pozycję Dodaj uprawnienia>Dołącz zasady.

   

8. Wyszukaj zasady AmazonS3FullAccess i CloudWatchLogsReadOnlyAccess i dołącz je.

   

9. Wróć do funkcji, wybierz pozycję Kod i wklej link kodu w obszarze Źródło kodu.

10. Wartości domyślne parametrów są ustawiane przy użyciu zmiennych środowiskowych. W razie potrzeby można ręcznie dostosować te wartości bezpośrednio w kodzie.

11. Wybierz pozycję Wdróż, a następnie wybierz pozycję Testuj.

12. Utwórz zdarzenie, wypełniając wymagane pola.

    

13. Wybierz pozycję Testuj , aby zobaczyć, jak zdarzenie jest wyświetlane w zasobniku S3.

Następne kroki

W tym dokumencie przedstawiono sposób nawiązywania połączenia z zasobami platformy AWS w celu pozyskiwania dzienników do Microsoft Sentinel. Aby dowiedzieć się więcej na temat Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się , jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Wprowadzenie do wykrywania zagrożeń za pomocą Microsoft Sentinel.
• Monitorowanie danych przy użyciu skoroszytów.