AWS hizmet günlüğü verilerini almak için Microsoft Sentinel'i Amazon Web Services'e bağlama

Amazon Web Services (AWS) hizmet günlüğü bağlayıcısı iki sürümde kullanılabilir: CloudTrail yönetimi ve veri günlükleri için eski bağlayıcı ve aşağıdaki AWS hizmetlerinden günlükleri bir S3 demetinden çekerek alabilen yeni sürüm (bağlantılar AWS belgelerine yöneliktir):

• Amazon Virtual Private Cloud (VPC) - VPC Akış Günlükleri
• Amazon GuardDuty - Bulgu -ları
• AWS CloudTrail - Yönetim ve veri olayları
• AWS CloudWatch - CloudWatch günlükleri

S3 bağlayıcısı (yeni)

Bu sekmede, iki yöntemden birini kullanarak AWS S3 bağlayıcısını yapılandırma adımları açıklanmaktadır:

• Otomatik kurulum (Önerilen)
• El ile kurulum

Önkoşullar

• Microsoft Sentinel çalışma alanında yazma izniniz olmalıdır.

• Microsoft Sentinel'de İçerik Merkezi'nden Amazon Web Services çözümünü yükleyin. Daha fazla bilgi için Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme başlığına bakın.

• Makinenize PowerShell ve AWS CLI yükleyin (yalnızca otomatik kurulum için):

  • PowerShell için yükleme yönergeleri
  • AWS CLI için yükleme yönergeleri (AWS belgelerinden)

• Seçtiğiniz AWS hizmetindeki günlüklerin Microsoft Sentinel tarafından kabul edilen biçimi kullandığından emin olun:

  • Amazon VPC: Üst bilgiyle GZIP formatında .csv dosyası; sınırlayıcı: boşluk.
  • Amazon GuardDuty: json-line ve GZIP biçimleri.
  • AWS CloudTrail: GZIP biçiminde .json dosyası.
  • CloudWatch: Üst bilgi olmadan GZIP biçiminde dosya .csv. Günlüklerinizi bu biçime dönüştürmeniz gerekiyorsa bu CloudWatch lambda işlevini kullanabilirsiniz.

Otomatik kurulum

Microsoft Sentinel, ekleme işlemini basitleştirmek için bağlayıcının AWS tarafının kurulumunu (gerekli AWS kaynakları, kimlik bilgileri ve izinler) otomatikleştirmek için bir PowerShell betiği sağlamıştır.

Betik:

• Aws'de Microsoft Entra ID kullanıcılarının kimliğini doğrulamak için bir OIDC web kimliği sağlayıcısı oluşturur. Bir web kimliği sağlayıcısı zaten varsa, betik Microsoft Sentinel'i mevcut sağlayıcıya hedef kitle olarak ekler.

• OIDC kimliği doğrulanmış kullanıcılara belirli bir S3 kovası ve SQS kuyruğundaki günlüklerinize erişim vermek için gerekli en düşük izinlere sahip bir IAM varsayılan rolü oluşturur.

• Belirtilen AWS hizmetlerinin günlükleri o S3 depolama birimine ve bildirim iletilerini o SQS kuyruğuna göndermesini sağlar.

• Gerekirse, bu amacı gerçekleştirmek için S3 bucket'ını ve SQS kuyruğunu oluşturur.

• Gerekli IAM izin ilkelerini yapılandırarak yukarıda oluşturulan IAM rolüne uygular.

Azure Kamu bulutları için özel bir betik, IAM'nin varsayılan rolünü atadığı farklı bir OIDC web kimliği sağlayıcısı oluşturur.

Yönergeler

Bağlayıcıyı ayarlamak üzere betiği çalıştırmak için aşağıdaki adımları kullanın:

1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin.

2. Veri bağlayıcıları galerisinden Amazon Web Services S3'i seçin.

   Bağlayıcıyı görmüyorsanız Microsoft Sentinel'deki İçerik Merkezi'nden Amazon Web Services çözümünü yükleyin.

3. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

4. Yapılandırma bölümünde, 1'in altında. AWS ortamınızı ayarlayın, PowerShell betiğiyle Kurulum (önerilen) seçeneğini genişletin.

5. Bağlayıcı sayfasından AWS S3 Kurulum Betiğini (bağlantı ana kurulum betiğini ve yardımcı betikleri içeren bir zip dosyasını indirir) indirip ayıklamak için ekrandaki yönergeleri izleyin.

   Uyarı

   AWS loglarını bir Azure Kamu bulutuna aktarmak için bunun yerine bu özel AWS S3 Gov Kurulum Komut Dosyasını indirip ayıklayın.

6. Betiği çalıştırmadan önce PowerShell komut satırınızdan komutunu çalıştırın aws configure ve istendiği gibi ilgili bilgileri girin. Bkz. AWS Komut Satırı Arabirimi | Ayrıntılar için yapılandırma temel bilgileri (AWS belgelerinden).

7. Artık komut dosyasını çalıştırın. Bağlayıcı sayfasından komutu kopyalayın ("Ortamı ayarlamak için betiği çalıştır" altında) ve komut satırınıza yapıştırın.

8. Betik, Çalışma Alanı Kimliğinizi girmeye yönlendirir. Bu kimlik bağlayıcı sayfasında görünür. Onu kopyalayıp betiğin komut istemine yapıştırın.

   

9. Betiğin çalışması tamamlandığında, betiğin çıktısından Rol ARN'sini ve SQS URL'sini kopyalayın (aşağıdaki ilk ekran görüntüsünde yer alan örneğe bakın) ve bağlayıcı sayfasındaki 2. Bağlantı ekle bölümüne yapıştırın (aşağıdaki ikinci ekran görüntüsüne bakın).

   

   

10. Hedef tablo açılan listesinden bir veri türü seçin. Bu, bağlayıcıya hangi AWS hizmetinin günlüklerini topladığını ve alınan verileri hangi Log Analytics tablosuna depoladığını bildirir. Ardından Bağlantı ekle seçeneğini seçin.

Uyarı

Betik çalıştırmasının tamamlanması 30 dakika kadar sürebilir.

El ile kurulum

Bu bağlayıcıyı dağıtmak için otomatik kurulum betiğini kullanmanızı öneririz. Hangi nedenle olursa olsun bu kolaylıklardan yararlanmak istemiyorsanız, bağlayıcıyı el ile ayarlamak için aşağıdaki adımları izleyin.

1. AWS günlüklerini Microsoft Sentinel'e toplamak için Amazon Web Services ortamınızı ayarlama bölümünde açıklandığı gibi AWS ortamınızı ayarlayın.

2. AWS konsolunda:

   1. Kimlik ve Erişim Yönetimi (IAM) hizmetine girin ve Roller listesine gidin. Yukarıda oluşturduğunuz rolü seçin.

   2. ARN'yi panonuza kopyalayın.

   3. Basit Kuyruk Hizmeti'ni girin, oluşturduğunuz SQS kuyruğunu seçin ve kuyruğun URL'sini panonuza kopyalayın.

3. Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.

4. Veri bağlayıcıları galerisinden Amazon Web Services S3'i seçin.

   Bağlayıcıyı görmüyorsanız Microsoft Sentinel'deki İçerik Merkezi'nden Amazon Web Services çözümünü yükleyin. Daha fazla bilgi için Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme başlığına bakın.

5. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

6. 2'nin altında. Bağlantı ekle:

   1. İki adım önce kopyaladığınız IAM rol ARN'sini Eklemek için Rol alanına yapıştırın.
   2. Son adımda kopyaladığınız SQS kuyruğunun URL'sini SQS URL'si alanına yapıştırın.
   3. Hedef tablo açılan listesinden bir veri türü seçin. Bu, bağlayıcıya hangi AWS hizmetinin günlüklerini topladığını ve alınan verileri hangi Log Analytics tablosuna depoladığını bildirir.
   4. Bağlantı ekle'yi seçin.

   

Bilinen sorunlar ve sorun giderme

Bilinen sorunlar

• Farklı günlük türleri aynı S3 kovasında depolanabilir, ancak aynı yolda depolanmamalıdır.

• Her SQS kuyruğu bir ileti türüne işaret etmelidir. GuardDuty bulgularını ve VPC akış günlüklerini entegre etmek istiyorsanız, her tür için ayrı kuyruklar oluşturun.

• Tek bir SQS kuyruğu, bir S3 kovasında yalnızca bir yola hizmet verebilir. Günlükleri birden çok yolda depoluyorsanız, her yol için kendine ait bir SQS kuyruğu gerekir.

Sorun giderme

Amazon Web Services S3 bağlayıcısı sorunlarını gidermeyi öğrenin.

CloudTrail bağlayıcısı (eski)

Bu sekmede AWS CloudTrail bağlayıcısını yapılandırma açıklanmaktadır. Ayarlama işleminin iki bölümü vardır: AWS tarafı ve Microsoft Sentinel tarafı. Her tarafın işlemi, diğer taraf tarafından kullanılan bilgileri üretir. Bu iki yönlü kimlik doğrulaması güvenli iletişim oluşturur.

Uyarı

AWS CloudTrail'in LookupEvents API'sinde yerleşik sınırlamaları vardır. Hesap başına saniyede en fazla iki işleme (TPS) izin verir ve her sorgu en fazla 50 kayıt döndürebilir. Tek bir kiracı sürekli olarak bir bölgede saniyede 100'den fazla kayıt oluşturuyorsa, veri alımında birikmeler ve gecikmeler meydana gelecektir.

Şu anda AWS Ticari CloudTrail'inizi AWS GovCloud CloudTrail'e değil yalnızca Microsoft Sentinel'e bağlayabilirsiniz.

Önkoşullar

• Microsoft Sentinel çalışma alanında yazma izniniz olmalıdır.
• Microsoft Sentinel'de İçerik Merkezi'nden Amazon Web Services çözümünü yükleyin. Daha fazla bilgi için Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme başlığına bakın.

Uyarı

Microsoft Sentinel, tüm bölgelerden CloudTrail yönetim olaylarını toplar. Bir bölgeden diğerine olay akışı yapmamanızı öneririz.

AWS CloudTrail'i bağlama

Bu bağlayıcıyı ayarlamanın iki adımı vardır:

• AWS varsayılan rolü oluşturma ve AWS Sentinel hesabına erişim verme
• AWS rol bilgilerini AWS CloudTrail veri bağlayıcısına ekleme

AWS varsayılan rolü oluşturma ve AWS Sentinel hesabına erişim verme

1. Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.

2. Veri bağlayıcıları galerisinden Amazon Web Services'i seçin.

   Bağlayıcıyı görmüyorsanız Microsoft Sentinel'deki İçerik Merkezi'nden Amazon Web Services çözümünü yükleyin. Daha fazla bilgi için Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme başlığına bakın.

3. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

4. Yapılandırma'nın altında Microsoft hesap kimliğini ve Dış Kimlik'i (Çalışma Alanı Kimliği) panonuza kopyalayın.

5. Farklı bir tarayıcı penceresinde veya sekmesinde AWS konsolunu açın. AWS hesabı için rol oluşturmaya yönelik AWS belgelerindeki yönergeleri izleyin.

   • Hesap türü için Bu hesap yerine Başka bir AWS hesabı'nı seçin.

   • Hesap Kimliği alanına, panonuzdan 197857026523 numarasını girin (veya önceki adımda kopyaladığınız Microsoft hesap kimliği) yapıştırın. Bu numara , Microsoft Sentinel'in AWS hizmet hesabı kimliğidir. AWS'ye bu rolü kullanan hesabın bir Microsoft Sentinel kullanıcısı olduğunu bildirir.

   • Seçeneklerde Harici kimlik gerektir'i (MFA gerektir'i seçmeyin) seçin. Dış Kimlik alanına, önceki adımda kopyaladığınız Microsoft Sentinel Çalışma Alanı Kimliğinizi yapıştırın. Bu, AWS'ye özel Microsoft Sentinel hesabınızı tanımlar.

   • Yetki politikasını AWSCloudTrailReadOnlyAccess atayın. İstersenize etiket ekleyin.

   • Rolü, Microsoft Sentinel'e başvuru içeren anlamlı bir adla adlandırın. Örnek: "MicrosoftSentinelRole".

AWS rol bilgilerini AWS CloudTrail veri bağlayıcısına ekleme

1. AWS konsolunun açık tarayıcı sekmesinde Kimlik ve Erişim Yönetimi (IAM) hizmetini girin ve Roller listesine gidin. Yukarıda oluşturduğunuz rolü seçin.

2. ARN'yi panonuza kopyalayın.

3. Amazon Web Services veri bağlayıcısı sayfasına açık olması gereken Microsoft Sentinel tarayıcı sekmenize dönün. Yapılandırma bölümünde Rol ARN'sinieklenecek rol alanına yapıştırın ve Ekle'yi seçin.

   

4. Log Analytics'te AWS olayları için ilgili şemayı kullanmak için AWSCloudTrail araması yapın.

   Önemli

   1 Aralık 2020 itibarıyla AwsRequestId alanının yerini AwsRequestId_ alanı almıştır (eklenen alt çizgiye dikkat edin). Eski AwsRequestId alanındaki veriler, müşterinin belirtilen veri saklama süresi sona ererken korunur.

Lambda işlevi kullanarak biçimlendirilmiş CloudWatch olaylarını S3'e gönderme (isteğe bağlı)

BulutWatch günlükleriniz Microsoft Sentinel tarafından kabul edilen biçime - üst bilgi içermeyen bir GZIP formatında .csv dosyası - uygun değilse, CloudWatch olaylarını Microsoft Sentinel tarafından kabul edilen biçimde bir S3 deposuna göndermek için AWS'deki lambda işlevini kullanarak kaynak kodunu görüntüleyin.

Lambda işlevi Python 3.9 çalışma zamanını ve x86_64 mimarisini kullanır.

Lambda işlevini dağıtmak için:

1. AWS Yönetim Konsolu'nda lambda hizmetini seçin.

2. İşlev oluştur'u seçin.

   

3. İşlev için bir ad yazın ve çalışma zamanı olarak Python 3.9'ı seçin ve mimari olarak x86_64.

4. İşlev oluştur'u seçin.

5. Katman seçin'in altında bir katman seçin ve Ekle'yi seçin.

   

6. İzinler'i seçin ve Yürütme rolü'nin altında Rol adı'yı seçin.

7. İzin ilkeleri'nin altında İzin ekle İlke ekle'yi

   

8. AmazonS3FullAccess ve CloudWatchLogsReadOnlyAccess ilkelerini arayın ve ekleyin.

   

9. İşleve dönün, Kod'ı seçin ve kod bağlantısını Kod kaynağı altına yapıştırın.

10. Parametreler için varsayılan değerler ortam değişkenleri kullanılarak ayarlanır. Gerekirse, bu değerleri doğrudan kodda el ile ayarlayabilirsiniz.

11. Dağıt'ı ve ardından Test'i seçin.

12. Gerekli alanları doldurarak bir olay oluşturun.

    

13. Olayın S3 demetinde nasıl göründüğünü görmek için Test'i seçin.

Sonraki Adımlar

Bu belgede, günlüklerini Microsoft Sentinel'e almak için AWS kaynaklarına bağlanmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.