Condividi tramite

Connettere Microsoft Sentinel ad Amazon Web Services per inserire i dati di log del servizio AWS

Il connettore di log del servizio Amazon Web Services (AWS) è disponibile in due versioni: il connettore legacy per la gestione cloudTrail e i log dei dati e la nuova versione in grado di inserire i log dai servizi AWS seguenti eseguendo il pull da un bucket S3 (i collegamenti sono alla documentazione di AWS):

Questa scheda illustra come configurare il connettore AWS S3 usando uno dei due metodi seguenti:

Prerequisiti

Configurazione automatica

Per semplificare il processo di onboarding, Microsoft Sentinel ha fornito uno script di PowerShell per automatizzare la configurazione del lato AWS del connettore, ovvero le risorse, le credenziali e le autorizzazioni AWS necessarie.

Lo script:

  • Crea un provider di identità Web OIDC per autenticare gli utenti di Microsoft Entra ID in AWS. Se esiste già un provider di identità Web, lo script aggiunge Microsoft Sentinel come gruppo di destinatari al provider esistente.

  • Creare un ruolo assunto da IAM con le autorizzazioni minime necessarie, per concedere agli utenti che hanno eseguito l'autenticazione OIDC l'accesso ai log in un determinato bucket S3 e coda SQS.

  • Consente ai servizi AWS specificati di inviare log a tale bucket S3 e messaggi di notifica a tale coda SQS.

  • Se necessario, crea il bucket S3 e la coda SQS per questo scopo.

  • Configura i criteri di autorizzazioni IAM necessari e li applica al ruolo IAM creato in precedenza.

Per i cloud di Azure per enti pubblici, uno script specializzato crea un provider di identità web OIDC diverso, a cui assegna il ruolo IAM assunto.

Disposizioni

Per eseguire lo script per configurare il connettore, seguire questa procedura:

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

  2. Selezionare Amazon Web Services S3 dalla raccolta connettori dati.

    Se il connettore non viene visualizzato, installare la soluzione Amazon Web Services dal Content Hub in Microsoft Sentinel.

  3. Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.

  4. Nella sezione Configurazione, in 1. Configurare l'ambiente AWS, espandere Installazione con script di PowerShell (scelta consigliata).

  5. Seguire le istruzioni visualizzate per scaricare ed estrarre lo script di installazione di AWS S3 (il collegamento scarica un file ZIP contenente lo script di installazione principale e gli script helper) dalla pagina del connettore.

    Annotazioni

    Per inserire i log AWS in un cloud Azure per enti pubblici, scaricare ed estrarre questo Script di configurazione di AWS S3 Gov specializzato.

  6. Prima di eseguire lo script, eseguire il aws configure comando dalla riga di comando di PowerShell e immettere le informazioni pertinenti come richiesto. Vedere l'interfaccia della riga di comando di AWS | Nozioni di base sulla configurazione (dalla documentazione di AWS) per informazioni dettagliate.

  7. Eseguire ora lo script. Copiare il comando dalla pagina del connettore (in "Esegui script per configurare l'ambiente") e incollarlo nella riga di comando.

  8. Lo script richiede di immettere l'ID dell'area di lavoro. Questo ID viene visualizzato nella pagina del connettore. Copiarlo e incollarlo nel prompt dello script.

    Screenshot del comando per eseguire lo script di installazione e l'ID dell'area di lavoro.

  9. Al termine dell'esecuzione dello script, copiare il ruolo ARN e l'URL SQS dall'output dello script (vedere l'esempio nella prima schermata seguente) e incollarli nei rispettivi campi nella pagina del connettore sotto 2. Aggiungere la connessione (vedere la seconda schermata seguente).

    Screenshot dell'output dello script di configurazione del connettore A W S.

    Screenshot dell'inserimento delle informazioni sul ruolo A W S dallo script al connettore S3.

  10. Selezionare un tipo di dati dall'elenco a discesa Tabella di destinazione . Questo indica al connettore il servizio AWS che registra questa connessione da raccogliere e in quale tabella di Log Analytics archivia i dati inseriti. Selezionare quindi Aggiungi connessione.

Annotazioni

Il completamento dell'esecuzione dello script può richiedere fino a 30 minuti.

Configurazione manuale

È consigliabile usare lo script di installazione automatica per distribuire questo connettore. Se per qualsiasi motivo non si vuole sfruttare questa praticità, seguire questa procedura per configurare manualmente il connettore.

  1. Configurare l'ambiente AWS come descritto in Configurare l'ambiente Amazon Web Services per raccogliere i log AWS in Microsoft Sentinel.

  2. Nella console DI AWS:

    1. Immettere il servizio Identity and Access Management (IAM) e passare all'elenco dei ruoli. Selezionare il ruolo creato in precedenza.

    2. Copiare l'ARN negli Appunti.

    3. Digitare Simple Queue Service, selezionare la coda SQS creata e copiare l'URL della coda negli Appunti.

  3. In Microsoft Sentinel selezionare Connettori dati dal menu di spostamento.

  4. Selezionare Amazon Web Services S3 dalla raccolta connettori dati.

    Se il connettore non viene visualizzato, installare la soluzione Amazon Web Services dal Content Hub in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

  5. Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.

  6. Sotto 2. Aggiungi connessione:

    1. Incollare il ruolo IAM ARN copiato due passaggi fa nel campo Ruolo da aggiungere .
    2. Incollare l'URL della coda SQS copiata nel passaggio precedente nel campo URL SQS.
    3. Selezionare un tipo di dati dall'elenco a discesa Tabella di destinazione . Questo indica al connettore il servizio AWS che registra questa connessione da raccogliere e in quale tabella di Log Analytics archivia i dati inseriti.
    4. Selezionare Aggiungi connessione.

    Screenshot dell'aggiunta di una connessione ruolo A W S al connettore S3.

Problemi noti e risoluzione

Problemi noti

  • Diversi tipi di log possono essere archiviati nello stesso bucket S3, ma non devono essere archiviati nello stesso percorso.

  • Ogni coda SQS deve puntare a un tipo di messaggio. Per inserire i risultati di GuardDuty e i log dei flussi VPC, configurare code separate per ogni tipo.

  • Una singola coda SQS può servire solo un percorso in un bucket S3. Se si archiviano i log in più percorsi, ogni percorso richiede la propria coda SQS dedicata.

Risoluzione dei problemi

Informazioni su come risolvere i problemi del connettore Amazon Web Services S3.

Inviare eventi CloudWatch formattati a S3 usando una funzione lambda (facoltativo)

Se i log di CloudWatch non sono nel formato accettato da Microsoft Sentinel - .csv file in formato GZIP senza intestazione - usare una funzione lambda per visualizzare il codice sorgente all'interno di AWS per inviare eventi CloudWatch a un bucket S3 nel formato accettato.

La funzione lambda usa il runtime Python 3.9 e l'architettura x86_64.

Per distribuire la funzione lambda:

  1. Nella console di gestione di AWS, selezionare il servizio lambda.

  2. Selezionare Crea funzione.

    Screenshot della schermata di informazioni di base della console di gestione di AWS.

  3. Digitare un nome per la funzione e selezionare Python 3.9 come runtime e x86_64 come architettura.

  4. Selezionare Crea funzione.

  5. In Sceglie un livello, selezionare un livello e selezionare Aggiungi.

    Screenshot della schermata di aggiunta del livello della console di gestione di AWS.

  6. Selezionare Autorizzazioni e in Ruolo esecuzione selezionare Nome ruolo.

  7. In Criteri autorizzazioni, selezionare Aggiungi autorizzazioni>Allega criteri.

    Screenshot della scheda delle autorizzazioni della console di gestione di AWS.

  8. Cercare AmazonS3FullAccess e i criteri CloudWatchLogsReadOnlyAccess e collegarli.

    Screenshot della schermata dei criteri delle autorizzazioni della console di gestione di AWS.

  9. Tornare alla funzione, selezionare Codice e incollare il collegamento di codice in Codice sorgente.

  10. I valori predefiniti per i parametri vengono impostati usando variabili di ambiente. Se necessario, è possibile modificare manualmente questi valori direttamente nel codice.

  11. Selezionare Distribuisci e quindi selezionare Test.

  12. Creare un evento compilando i campi obbligatori.

    Screenshot della schermata di configurazione dell'evento di test nella console di gestione di AWS.

  13. Selezionare Test per vedere come appare l'evento nel bucket S3.

Passaggi successivi

In questo documento si è appreso come connettersi alle risorse AWS per inserire i log in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: