Łączenie usługi Microsoft Sentinel z usługami Amazon Web Services w celu pozyskiwania danych dziennika usługi AWS

Łącznik dzienników usługi Amazon Web Services (AWS) jest dostępny w dwóch wersjach: starszy konektor do zarządzania dziennikami CloudTrail i danymi oraz nowa wersja, która może pozyskiwać dzienniki z następujących usług AWS, pobierając je z zasobnika S3 (linki do dokumentacji platformy AWS).

• Amazon Virtual Private Cloud (VPC) - Dzienniki przepływu VPC
• Amazon GuardDuty - Wyniki
• AwS CloudTrail - Zdarzenia zarządzania i danych
• AWS CloudWatch - Dzienniki usługi CloudWatch

Łącznik S3 (nowy)

Na tej karcie wyjaśniono, jak skonfigurować łącznik usługi AWS S3 przy użyciu jednej z dwóch metod:

• Automatyczna konfiguracja (zalecane)
• Konfiguracja ręczna

Wymagania wstępne

• Musisz mieć uprawnienia do zapisu w obszarze roboczym usługi Microsoft Sentinel.

• Zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie i odnajdywanie wstępnie skonfigurowanej zawartości usługi Microsoft Sentinel.

• Zainstaluj program PowerShell i interfejs wiersza polecenia platformy AWS na maszynie (tylko w przypadku instalacji automatycznej):

  • Instrukcje dotyczące instalacji programu PowerShell
  • Instrukcje dotyczące instalacji interfejsu wiersza polecenia platformy AWS (z dokumentacji platformy AWS)

• Upewnij się, że dzienniki z wybranej usługi AWS używają formatu zaakceptowanego przez usługę Microsoft Sentinel:

  • Amazon VPC: .csv plik w formacie GZIP z nagłówkami; ogranicznik: spacja.
  • Amazon GuardDuty: formaty json-line i GZIP.
  • AWS CloudTrail: .json plik w formacie GZIP.
  • CloudWatch: .csv plik w formacie GZIP bez nagłówka. Jeśli chcesz przekonwertować dzienniki na ten format, możesz użyć tej funkcji lambda CloudWatch.

Automatyczna konfiguracja

Aby uprościć proces dołączania, usługa Microsoft Sentinel udostępniła skrypt programu PowerShell umożliwiający zautomatyzowanie konfiguracji po stronie platformy AWS łącznika — wymaganych zasobów, poświadczeń i uprawnień platformy AWS.

Skrypt:

• Tworzy dostawcę tożsamości internetowej OIDC, aby uwierzytelnić użytkowników Microsoft Entra ID w usłudze AWS. Jeśli dostawca tożsamości sieci Web już istnieje, skrypt dodaje usługę Microsoft Sentinel jako odbiorcę dla istniejącego dostawcy.

• Tworzy przypisaną rolę IAM z minimalnymi niezbędnymi uprawnieniami w celu udzielenia użytkownikom uwierzytelnianym przez funkcję OIDC dostępu do dzienników w danym zasobniku S3 i kolejce SQS.

• Umożliwia określonym usługom AWS wysyłanie dzienników do owego zasobnika S3 i komunikatów powiadomień do owej kolejki SQS.

• W razie potrzeby tworzy zasobnik S3 i kolejkę SQS w tym celu.

• Konfiguruje wszelkie niezbędne zasady uprawnień IAM i stosuje je do utworzonej powyżej roli IAM.

W przypadku chmur platformy Azure Government wyspecjalizowany skrypt tworzy oddzielnego dostawcę tożsamości sieci Web OIDC, do którego przypisuje rolę IAM.

Instrukcje

Aby uruchomić skrypt w celu skonfigurowania łącznika, wykonaj następujące kroki:

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

2. Wybierz pozycję Amazon Web Services S3 z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel.

3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

4. W sekcji Konfiguracja, w podpunkcie 1. Skonfiguruj środowisko platformy AWS, rozwiń Konfiguracja przy użyciu skryptu PowerShell (zalecane).

5. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby pobrać i wyodrębnić skrypt instalacyjny usługi AWS S3 (link pobiera plik zip zawierający główny skrypt konfiguracji i skrypty pomocnika) ze strony łącznika.

   Uwaga

   W przypadku pozyskiwania dzienników AWS do chmury Azure Government, pobierz i wyodrębnij ten wyspecjalizowany skrypt AWS S3 Gov Setup.

6. Przed uruchomieniem skryptu uruchom aws configure polecenie z poziomu wiersza polecenia programu PowerShell i wprowadź odpowiednie informacje w wierszu polecenia. Zobacz Interfejs wiersza polecenia AWS | Podstawy konfiguracji (z dokumentacji AWS), aby uzyskać szczegółowe informacje.

7. Teraz uruchom skrypt. Skopiuj polecenie ze strony łącznika (w obszarze "Uruchom skrypt, aby skonfigurować środowisko") i wklej je w wierszu polecenia.

8. Skrypt wyświetla monit o wprowadzenie identyfikatora obszaru roboczego. Ten identyfikator zostanie wyświetlony na stronie łącznika. Skopiuj go i wklej go w wierszu polecenia skryptu.

   

9. Po zakończeniu działania skryptu skopiuj nazwę ARN roli i adres URL SQS z danych wyjściowych skryptu (zobacz przykład na pierwszym zrzucie ekranu poniżej) i wklej je w odpowiednich polach na stronie łącznika poniżej 2. Dodaj połączenie (zobacz drugi zrzut ekranu poniżej).

   

   

10. Wybierz typ danych z listy rozwijanej Tabela docelowa . Łącznik informuje, które dzienniki usługi AWS są zbierane przez to połączenie i do której tabeli Analityki Dzienników przechowuje zebrane dane. Następnie wybierz pozycję Dodaj połączenie.

Uwaga

Uruchomienie skryptu może potrwać do 30 minut.

Konfiguracja ręczna

Zalecamy użycie skryptu automatycznej konfiguracji w celu wdrożenia tego łącznika. Jeśli z jakiegokolwiek powodu nie chcesz korzystać z tej wygody, wykonaj poniższe kroki, aby ręcznie skonfigurować łącznik.

1. Skonfiguruj środowisko platformy AWS zgodnie z opisem w temacie Konfigurowanie środowiska usług Amazon Web Services w celu zbierania dzienników platformy AWS w usłudze Microsoft Sentinel.

2. W konsoli platformy AWS:

   1. Wprowadź usługę Identity and Access Management (IAM) i przejdź do listy Role. Wybierz utworzoną powyżej rolę.

   2. Skopiuj ARN do schowka.

   3. Wejdź do usługi Simple Queue Service, wybierz utworzoną kolejkę SQS i skopiuj adres URL kolejki do schowka.

3. W usłudze Microsoft Sentinel wybierz z menu nawigacji pozycję Łączniki danych.

4. Wybierz pozycję Amazon Web Services S3 z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie i odnajdywanie wstępnie skonfigurowanej zawartości usługi Microsoft Sentinel.

5. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

6. Poniżej 2. Dodaj połączenie:

   1. Wklej ARN roli IAM skopiowany dwa kroki temu do pola Rola do dodania.
   2. Wklej adres URL kolejki SQS skopiowanej w ostatnim kroku do pola Adres URL SQS .
   3. Wybierz typ danych z listy rozwijanej Tabela docelowa . Łącznik informuje, które dzienniki usługi AWS są zbierane przez to połączenie i do której tabeli Analityki Dzienników przechowuje zebrane dane.
   4. Wybierz opcję Dodaj połączenie.

   

Znane problemy i rozwiązywanie problemów

Znane problemy

• Różne typy dzienników mogą być przechowywane w tym samym zasobniku S3, ale nie powinny być przechowywane w tej samej ścieżce.

• Każda kolejka SQS powinna wskazywać jeden typ komunikatu. Jeśli chcesz zebrać wyniki GuardDuty i dzienniki przepływu VPC, skonfiguruj oddzielne kolejki dla każdego typu.

• Pojedyncza kolejka SQS może obsługiwać tylko jedną ścieżkę w zasobniku S3. Jeśli przechowujesz logi w wielu ścieżkach, każda ścieżka wymaga własnej dedykowanej kolejki SQS.

Rozwiązywanie problemów

Dowiedz się, jak rozwiązywać problemy z łącznikiem usługi Amazon Web Services S3.

Łącznik CloudTrail (starsza wersja)

Na tej karcie wyjaśniono, jak skonfigurować łącznik AWS CloudTrail. Proces jego konfigurowania obejmuje dwie części: stronę platformy AWS i stronę usługi Microsoft Sentinel. Każdy proces strony generuje informacje używane przez drugą stronę. To dwukierunkowe uwierzytelnianie tworzy bezpieczną komunikację.

Uwaga

Usługa AWS CloudTrail ma wbudowane ograniczenia w API LookupEvents. Umożliwia nie więcej niż dwie transakcje na sekundę (TPS) na każde konto, a każde zapytanie może zwrócić maksymalnie 50 zapisów. Jeśli pojedynczy najemca stale generuje ponad 100 rekordów na sekundę w jednym regionie, zaległości i opóźnienia we wczytywaniu danych będą przez to skutkować.

Obecnie możesz połączyć usługę AWS Commercial CloudTrail z usługą Microsoft Sentinel, a nie z usługą AWS GovCloud CloudTrail.

Wymagania wstępne

• Musisz mieć uprawnienia do zapisu w obszarze roboczym usługi Microsoft Sentinel.
• Zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie i odnajdywanie wstępnie skonfigurowanej zawartości usługi Microsoft Sentinel.

Uwaga

Usługa Microsoft Sentinel zbiera zdarzenia zarządzania CloudTrail ze wszystkich regionów. Zalecamy, aby nie przesyłać strumieniowo zdarzeń z jednego regionu do innego.

Łączenie usługi AWS CloudTrail

Skonfigurowanie tego łącznika obejmuje dwa kroki:

• Tworzenie roli przyjętej przez platformę AWS i udzielanie dostępu do konta usługi AWS Sentinel
• Dodawanie informacji o roli platformy AWS do łącznika danych AWS CloudTrail

Tworzenie roli przyjętej przez platformę AWS i udzielanie dostępu do konta usługi AWS Sentinel

1. W usłudze Microsoft Sentinel wybierz z menu nawigacji pozycję Łączniki danych.

2. Wybierz pozycję Amazon Web Services z galerii łączników danych.

   Jeśli łącznik nie jest widoczny, zainstaluj rozwiązanie Amazon Web Services z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie i odnajdywanie wstępnie skonfigurowanej zawartości usługi Microsoft Sentinel.

3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

4. W obszarze Konfiguracja skopiuj identyfikator konta Microsoft i identyfikator zewnętrzny (identyfikator obszaru roboczego) do schowka.

5. W innym oknie lub karcie przeglądarki otwórz konsolę platformy AWS. Postępuj zgodnie z instrukcjami w dokumentacji platformy AWS na potrzeby tworzenia roli dla konta platformy AWS.

   • Dla typu konta zamiast tego konta wybierz pozycję Inne konto platformy AWS.

   • W polu Identyfikator konta wprowadź numer 197857026523 (lub wklej go — identyfikator konta Microsoft skopiowany w poprzednim kroku— ze schowka). Ten numer to identyfikator konta usługi microsoft Sentinel dla platformy AWS. Informuje ona platformę AWS, że konto korzystające z tej roli jest użytkownikiem usługi Microsoft Sentinel.

   • W opcjach wybierz pozycję Wymagaj identyfikatora zewnętrznego (niewybieraj opcji Wymagaj uwierzytelniania wieloskładnikowego). W polu Identyfikator zewnętrzny wklej identyfikator obszaru roboczego usługi Microsoft Sentinel skopiowany w poprzednim kroku. Spowoduje to zidentyfikowanie konkretnego konta usługi Microsoft Sentinel na platformie AWS.

   • AWSCloudTrailReadOnlyAccess Przypisz zasady uprawnień. Dodaj tag, jeśli chcesz.

   • Nadaj roli nazwę zrozumiałą, która zawiera odwołanie do usługi Microsoft Sentinel. Przykład: "MicrosoftSentinelRole".

Dodawanie informacji o roli platformy AWS do łącznika danych AWS CloudTrail

1. Na karcie przeglądarki otwórz konsolę platformy AWS, wprowadź usługę Identity and Access Management (IAM) i przejdź do listy Role. Wybierz utworzoną powyżej rolę.

2. Skopiuj ARN do schowka.

3. Wróć do karty przeglądarki usługi Microsoft Sentinel, która powinna być otwarta na stronie łącznika danych usługi Amazon Web Services . W sekcji Konfiguracja wklej ARN roli do pola Rola do dodania i wybierz Dodaj.

   

4. Aby użyć odpowiedniego schematu w usłudze Log Analytics dla zdarzeń platformy AWS, wyszukaj ciąg AWSCloudTrail.

   Ważne

   Od 1 grudnia 2020 r. pole AwsRequestId zostało zastąpione polem AwsRequestId_ (zwróć uwagę na dodane podkreślenie). Dane w starym polu AwsRequestId zostaną zachowane na końcu określonego okresu przechowywania danych klienta.

Wysyłanie sformatowanych zdarzeń usługi CloudWatch do usługi S3 przy użyciu funkcji lambda (opcjonalnie)

Jeśli dzienniki usługi CloudWatch nie są w formacie akceptowanym przez Microsoft Sentinel — .csv plik w formacie GZIP bez nagłówka — użyj funkcji lambda, aby przetworzyć kod źródłowy w AWS i wysłać zdarzenia CloudWatch do zasobnika S3 w akceptowanym formacie.

Funkcja lambda używa środowiska uruchomieniowego języka Python 3.9 i architektury x86_64.

Aby wdrożyć funkcję lambda:

1. W konsoli zarządzania platformy AWS wybierz usługę lambda.

2. Wybierz pozycję Utwórz funkcję.

   

3. Wpisz nazwę funkcji i wybierz język Python 3.9 jako środowisko uruchomieniowe i x86_64 jako architekturę.

4. Wybierz pozycję Utwórz funkcję.

5. W obszarze Wybierz warstwę wybierz warstwę i wybierz pozycję Dodaj.

   

6. Wybierz pozycję Uprawnienia, a następnie w obszarze Rola wykonywania wybierz pozycję Nazwa roli.

7. W obszarze Zasady uprawnień wybierz pozycję Dodaj uprawnienia>Dołącz zasady.

   

8. Wyszukaj zasady AmazonS3FullAccess i CloudWatchLogsReadOnlyAccess i dołącz je.

   

9. Wróć do funkcji, wybierz pozycję Kod i wklej link kodu w obszarze Źródło kodu.

10. Wartości domyślne parametrów są ustawiane przy użyciu zmiennych środowiskowych. W razie potrzeby możesz ręcznie dostosować te wartości bezpośrednio w kodzie.

11. Wybierz pozycję Wdróż, a następnie wybierz pozycję Testuj.

12. Utwórz zdarzenie, wypełniając wymagane pola.

    

13. Wybierz pozycję Testuj , aby zobaczyć, jak zdarzenie pojawia się w zasobniku S3.

Następne kroki

W tym dokumencie dowiedziałeś się, jak nawiązać połączenie z zasobami platformy AWS, aby wprowadzić ich dzienniki do usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .