Conectar o Microsoft Sentinel ao Amazon Web Services para ingerir dados de log de serviço do AWS

O conector de logs de serviço da Amazon Web Services (AWS) está disponível em duas versões: o conector legado para gerenciamento e logs de dados do CloudTrail, e a nova versão que pode ingerir logs dos seguintes serviços da AWS, puxando-os de um bucket S3 (os links são para a documentação da AWS):

• Nuvem Virtual Privada da Amazon (VPC) - Logs de fluxo do VPC
• Amazon GuardDuty - Resultados
• AWS CloudTrail - Eventos de gerenciamento e dados
• AWS CloudWatch - Logs do CloudWatch

Conector S3 (novo)

Esta guia explica como configurar o conector do AWS S3 usando um dos dois métodos:

• Configuração automática (recomendado)
• Configuração manual

Pré-requisitos

• Você precisa ter permissão de gravação no espaço de trabalho do Microsoft Sentinel.

• Instale a solução do Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

• Instale o PowerShell e a CLI do AWS em seu computador (somente para instalação automática):

  • Instruções de instalação para o PowerShell
  • Instruções de instalação para a CLI do AWS (da documentação da AWS)

• Verifique se os logs do serviço AWS selecionado usam o formato aceito pelo Microsoft Sentinel:

  • Amazon VPC: arquivo .csv em formato GZIP com cabeçalhos; delimitador: espaço.
  • Amazon GuardDuty: formatos de linha json e GZIP.
  • AWS CloudTrail: arquivo .json em um formato compactado GZIP.
  • CloudWatch: arquivo .csv no formato GZIP sem cabeçalho. Se você precisar converter seus logs para esse formato, poderá usar essa função lambda do CloudWatch.

Configuração automática

Para simplificar o processo de integração, o Microsoft Sentinel forneceu um script do PowerShell para automatizar a configuração do conector no lado da AWS – os recursos, permissões e credenciais necessárias do AWS.

O script:

• Cria um provedor de identidade da web OIDC para autenticar usuários do Microsoft Entra ID na AWS. Se um provedor de identidade da Web já existir, o script adicionará o Microsoft Sentinel como público-alvo ao provedor existente.

• Cria uma função assumida pelo IAM com as permissões mínimas necessárias, para conceder aos usuários autenticados pelo OIDC acesso aos seus logs em um determinado bucket S3 e fila SQS.

• Permite que os serviços AWS especificados enviem logs para esse bucket S3 e mensagens de notificação para essa fila do SQS.

• Se necessário, cria esse bucket S3 e essa fila do SQS para essa finalidade.

• Configura as políticas de permissões de IAM necessárias e as aplica à função IAM criada acima.

Para nuvens do Azure Government, um script especializado cria um provedor de identidade Web OIDC diferente, ao qual ele atribui à função assumida pelo IAM.

Instruções

Para executar o script para configurar o conector, use as seguintes etapas:

1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

2. Selecione o Amazon Web Services S3 na galeria de conectores de dados.

   Se você não vir o conector, instale a solução Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel.

3. No painel de detalhes do conector, selecione Abrir página do conector.

4. Na seção Configuração, em 1. Configure seu ambiente do AWS, expanda Configuração com script do PowerShell (recomendado).

5. Siga as instruções na tela para baixar e extrair o Script de Instalação do AWS S3 (o link baixa um arquivo zip que contém o script de instalação principal e scripts auxiliares) da página do conector.

   Observação

   Para ingerir logs da AWS em uma nuvem do Azure Governamental, baixe e extraia esse script de instalação do AWS S3 Gov especializado.

6. Antes de executar o script, execute o aws configure comando na linha de comando do PowerShell e insira as informações relevantes conforme solicitado. Consulte a interface de linha de comando do AWS | Noções básicas de configuração (da documentação da AWS) para obter detalhes.

7. Agora, execute o script. Copie o comando da página do conector (em "Executar script para configurar o ambiente") e cole-o na linha de comando.

8. O script solicita que você insira sua ID do Workspace. Essa ID aparece na página do conector. Copie-o e cole-o no prompt do script.

   

9. Quando a execução do script terminar, copie o ARN da Função e a URL do SQS da saída do script (confira o exemplo na primeira captura de tela abaixo) e copie-os nos respectivos campos na página do conector em 2. Adicionar conexão (confira a segunda captura de tela abaixo).

   

   

10. Selecione um tipo de dados na lista suspensa Tabela de destino. Isso informa ao conector com quais logs do serviço AWS essa conexão está sendo estabelecida para coletar e em qual tabela do Log Analytics armazenar os dados ingeridos. Depois, selecione Adicionar conexão.

Observação

O script pode levar até 30 minutos para concluir a execução.

Instalação manual

É recomendável usar o script de instalação automática para implantar esse conector. Se por algum motivo você não quiser aproveitar essa conveniência, siga as etapas abaixo para configurar o conector manualmente.

1. Configure seu ambiente do AWS conforme descrito em Configurar seu ambiente do Amazon Web Services para coletar logs do AWS para o Microsoft Sentinel.

2. No console do AWS:

   1. Insira o serviço IAM (Gerenciamento de Identidade e Acesso) e navegue até a lista de funções. Selecione a função que você criou acima.

   2. Copie o ARN para sua área de transferência.

   3. Insira o Serviço Fila Simples, selecione a fila do SQS que você criou e copie o URL da fila para a área de transferência.

3. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

4. Selecione o Amazon Web Services S3 na galeria de conectores de dados.

   Se você não vir o conector, instale a solução Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

5. No painel de detalhes do conector, selecione Abrir página do conector.

6. Em 2. Adicionar conexão:

   1. Cole o ARN da função IAM que você copiou há duas etapas no campo Função para adicionar.
   2. Cole a URL da fila do SQS copiada na última etapa no campo URL do SQS .
   3. Selecione um tipo de dados na lista suspensa Tabela de destino. Isso informa ao conector com quais logs do serviço AWS essa conexão está sendo estabelecida para coletar e em qual tabela do Log Analytics armazenar os dados ingeridos.
   4. Selecione Adicionar conexão.

   

Problemas conhecidos e soluções de problemas

Problemas conhecidos

• Diferentes tipos de logs podem ser armazenados no mesmo bucket S3, mas não devem ser armazenados no mesmo caminho.

• Cada fila do SQS deve apontar para um tipo de mensagem. Se você quiser ingerir descobertas do GuardDuty e logs de fluxo de VPC, configure filas separadas para cada tipo.

• Uma única fila do SQS pode servir apenas um caminho em um bucket S3. Se você estiver armazenando logs em vários caminhos, cada caminho exigirá sua própria fila de SQS dedicada.

Resolução de problemas

Saiba como solucionar problemas de conector do Amazon Web Services S3.

Conector do CloudTrail (herdado)

Esta guia explica como configurar o conector do CloudTrail do AWS. O processo de configuração tem duas partes: o lado da AWS e o lado do Microsoft Sentinel. O processo de cada lado produz informações usadas pelo outro lado. Essa autenticação bidirecional cria uma comunicação segura.

Observação

A AWS CloudTrail tem limitações internas em sua API LookupEvents. Ele permite no máximo duas transações por segundo (TPS) por conta e cada consulta pode retornar no máximo 50 registros. Se um único locatário gerar constantemente mais de 100 registros por segundo em uma região, atrasos e pendências na ingestão de dados ocorrerão.

Atualmente, você só pode conectar o CloudTrail Comercial da AWS ao Microsoft Sentinel e não ao AWS GovCloud CloudTrail.

Pré-requisitos

• Você precisa ter permissão de gravação no espaço de trabalho do Microsoft Sentinel.
• Instale a solução do Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Observação

O Microsoft Sentinel coleta eventos de gerenciamento do CloudTrail de todas as regiões. Recomendamos que você não transmita eventos de uma região para outra.

Conectar o CloudTrail do AWS

A configuração desse conector tem duas etapas:

• Criar uma função assumida do AWS e conceder acesso à conta do AWS Sentinel
• Adicionar as informações de função do AWS ao conector de dados do CloudTrail do AWS

Criar uma função assumida do AWS e conceder acesso à conta do AWS Sentinel

1. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

2. Selecione o Amazon Web Services na galeria de conectores de dados.

   Se você não vir o conector, instale a solução Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

3. No painel de detalhes do conector, selecione Abrir página do conector.

4. Em Configuração, copie a ID da conta Microsoft e a ID Externa (ID do workspace) para sua área de transferência.

5. Em outra janela ou guia do navegador, abra o console do AWS. Siga as instruções na documentação da AWS para criar uma função para uma conta da AWS.

   • Para o tipo de conta, em vez dessa conta, escolha Outra conta do AWS.

   • No campo ID da conta, insira o número 197857026523 (ou cole-o – a ID da conta Microsoft que você copiou na etapa anterior – da área de transferência). Esse número é a ID da conta de serviço do Microsoft Sentinel para AWS. Ele informa à AWS que a conta que usa essa função é um usuário do Microsoft Sentinel.

   • Nas opções, selecione Exigir ID externa (não selecione Exigir MFA). No campo ID externa, cole sua ID do Workspace do Microsoft Sentinel copiada na etapa anterior. Isso identifica sua conta específica do Microsoft Sentinel para a AWS.

   • Atribua a política de permissões AWSCloudTrailReadOnlyAccess. Adicione uma etiqueta, se desejar.

   • Nomeie a função com um nome significativo que inclua uma referência ao Microsoft Sentinel. Exemplo: "MicrosoftSentinelRole".

Adicionar as informações de função da AWS ao conector de dados do AWS CloudTrail

1. Na guia navegador aberta para o console do AWS, insira o serviço IAM (Gerenciamento de Identidade e Acesso) e navegue até a lista de Funções. Selecione a função que você criou acima.

2. Copie o ARN para sua área de transferência.

3. Volte para a guia do navegador Microsoft Sentinel, que deve estar aberta na página do conector de dados da Amazon Web Services. Na seção Configuração , cole a Função ARN na Função para adicionar campo e selecione Adicionar.

   

4. Para usar o esquema relevante no Log Analytics para eventos do AWS, pesquise por AWSCloudTrail.

   Importante

   A partir de 1º de dezembro de 2020, o campo AwsRequestId foi substituído pelo campo AwsRequestId_ (observe o sublinhado adicionado). Os dados no campo AwsRequestId antigo serão preservados até o final do período de retenção de dados especificado pelo cliente.

Enviar eventos do CloudWatch formatados para S3 usando uma função lambda (opcional)

Se os logs do CloudWatch não estiverem no formato aceito pelo Microsoft Sentinel – .csv arquivo em um formato GZIP sem um cabeçalho – use uma função lambda para exibir o código-fonte dentro da AWS para enviar eventos do CloudWatch para um bucket S3 no formato aceito.

A função lambda usa o runtime do Python 3.9 e a arquitetura x86_64.

Para implantar a função lambda:

1. No Console de Gerenciamento do AWS, selecione o serviço lambda.

2. Selecione Criar função.

   

3. Digite um nome para a função e selecione Python 3.9 como o runtime e x86_64 como a arquitetura.

4. Selecione Criar função.

5. Em Escolher uma camada, selecione uma camada e selecione Adicionar.

   

6. Selecione Permissões e, em Função de execução, selecione Nome da função.

7. Em Políticas de permissões, selecione Adicionar permissões>Anexar políticas.

   

8. Pesquise as políticas AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e anexe-as.

   

9. Retorne à função, selecione Código e cole o link de código em Código-fonte.

10. Os valores padrão para os parâmetros são definidos usando variáveis de ambiente. Se necessário, você pode ajustar manualmente esses valores diretamente no código.

11. Selecione Implantar e, em seguida, Testar.

12. Criar um evento preenchendo os campos necessários.

    

13. Selecione Testar para ver como o evento aparece no bucket S3.

Próximas etapas

Neste documento, você aprendeu a se conectar aos recursos do AWS para ingerir seus logs no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
• Comece a detectar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar os seus dados.