Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соединители Amazon Web Services (AWS) упрощают сбор журналов из Amazon S3 (простая служба хранилища) и их прием в Microsoft Sentinel. Соединители предоставляют средства, помогающие настроить среду AWS для Microsoft Sentinel сбора журналов.
В этой статье описывается настройка среды AWS, необходимая для отправки журналов в Microsoft Sentinel, а также ссылки на пошаговые инструкции по настройке среды и сбору журналов AWS с помощью каждого поддерживаемого соединителя.
Общие сведения о настройке среды AWS
На этой схеме показано, как настроить среду AWS для отправки журналов в Azure:
Создайте контейнер хранилища S3 (простая служба хранилища) и очередь службы простых очередей (SQS ), в которую контейнер S3 публикует уведомления при получении новых журналов.
соединители Microsoft Sentinel:
- Опрашивает очередь SQS с частыми интервалами на наличие сообщений, содержащих пути к новым файлам журнала.
- Извлеките файлы из контейнера S3 по пути, указанному в уведомлениях SQS.
Создайте поставщик веб-удостоверений Open ID Connect (OIDC) и добавьте Microsoft Sentinel в качестве зарегистрированного приложения (добавив его в качестве аудитории).
соединители Microsoft Sentinel используют Microsoft Entra ID для проверки подлинности в AWS через OpenID Connect (OIDC) и принимают на себя роль AWS IAM.
Важно!
Если у вас уже есть поставщик OIDC Connect для Microsoft Defender для облака, добавьте Microsoft Sentinel в качестве аудитории к существующему поставщику (коммерческие:
api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, для государственных организаций:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Не пытайтесь создать новый поставщик OIDC для Microsoft Sentinel.Создайте роль AWS, чтобы предоставить соединителю Microsoft Sentinel разрешения на доступ к контейнеру AWS S3 и ресурсам SQS.
Назначьте соответствующие политики разрешений IAM , чтобы предоставить предполагаемой роли доступ к ресурсам.
Настройте соединители для использования предполагаемой роли и очереди SQS, созданной для доступа к контейнеру S3 и получения журналов.
Настройте службы AWS для отправки журналов в контейнер S3.
Настройка вручную
Хотя вы можете настроить среду AWS вручную, как описано в этом разделе, мы настоятельно рекомендуем использовать автоматизированные средства, предоставляемые при развертывании соединителей AWS .
1. Создание контейнера S3 и очереди SQS
Создайте контейнер S3 , в который можно отправлять журналы из служб AWS : VPC, GuardDuty, CloudTrail или CloudWatch.
См. инструкции по созданию контейнера хранилища S3 в документации AWS.
Создайте стандартную очередь сообщений службы простых очередей (SQS ), в которую контейнер S3 может публиковать уведомления.
Инструкции по созданию стандартной очереди службы SQS см. в документации AWS.
Настройте контейнер S3 для отправки уведомлений в очередь SQS.
Инструкции по публикации уведомлений в очереди SQS см. в документации AWS.
2. Создание поставщика веб-удостоверений Open ID Connect (OIDC)
Важно!
Если у вас уже есть поставщик OIDC Connect для Microsoft Defender для облака, добавьте Microsoft Sentinel в качестве аудитории к существующему поставщику (коммерческие: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, для государственных организаций:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Не пытайтесь создать новый поставщик OIDC для Microsoft Sentinel.
Следуйте приведенным ниже инструкциям в документации по AWS.
Создание поставщиков удостоверений OpenID Connect (OIDC).
| Параметр | Выбор или значение | Comments |
|---|---|---|
| Идентификатор клиента | - | Проигнорируйте это, у вас уже есть. См. раздел Аудитория. |
| Тип поставщика | Подключение OpenID | Вместо SAML по умолчанию. |
| URL-адрес поставщика | Коммерческих:sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/Правительство: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/ |
|
| Отпечаток | 626d44e704d1ceabe3bf0d53397464ac8080142c |
Если он создан в консоли IAM, при выборе получить отпечаток вы получите этот результат. |
| Аудитория | Коммерческих:api://1462b192-27f7-4cb9-8523-0f4ecb54b47eПравительство: api://d4230588-5f84-4281-a9c7-2c15194b28f7 |
3. Создание принятой роли AWS
Важно!
Имя должно содержать точный префикс OIDC_; в противном случае соединитель не может работать должным образом.
Следуйте приведенным ниже инструкциям в документации по AWS.
Создание роли для веб-удостоверения или федерации OpenID Connect.Параметр Выбор или значение Comments Тип доверенной сущности Веб-удостоверение Вместо службы AWS по умолчанию. Поставщик удостоверений Коммерческих: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/
Правительство:sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/Поставщик, созданный на предыдущем шаге. Аудитория Коммерческих: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e
Правительство:api://d4230588-5f84-4281-a9c7-2c15194b28f7Аудитория, определенная для поставщика удостоверений на предыдущем шаге. Разрешения для назначения AmazonSQSReadOnlyAccessAWSLambdaSQSQueueExecutionRoleAmazonS3ReadOnlyAccessROSAKMSProviderPolicy- Другие политики для приема различных типов журналов служб AWS
Сведения об этих политиках см. на соответствующей странице политик разрешений соединителя AWS S3 в репозитории Microsoft Sentinel GitHub. Название "OIDC_MicrosoftSentinelRole" Выберите понятное имя, включающее ссылку на Microsoft Sentinel.
Имя должно содержать точный префиксOIDC_; в противном случае соединитель не может работать должным образом.Измените политику доверия новой роли и добавьте другое условие:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"Важно!
Значение
sts:RoleSessionNameпараметра должно иметь точный префиксMicrosoftSentinel_; в противном случае соединитель работает неправильно.Готовая политика доверия должна выглядеть следующим образом:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7", "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX" } } } ] }-
XXXXXXXXXXXX— это идентификатор учетной записи AWS. -
XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX— это идентификатор рабочей области Microsoft Sentinel.
Обновите (сохраните) политику по завершении редактирования.
-
Настройка служб AWS для экспорта журналов в контейнер S3
Инструкции по отправке каждого типа журнала в контейнер S3 см. в документации по Amazon Web Services:
Публикация журнала потока VPC в контейнере S3.
Примечание.
Если вы решили настроить формат журнала, необходимо включить атрибут start , так как он сопоставляется с полем TimeGenerated в рабочей области Log Analytics. В противном случае поле TimeGenerated заполняется временем приема события, которое не точно описывает событие журнала.
Экспортируйте результаты GuardDuty в контейнер S3.
Примечание.
В AWS результаты экспортируются по умолчанию каждые 6 часов. Настройте частоту экспорта для обновленных активных выводов в соответствии с требованиями среды. Чтобы ускорить процесс, можно изменить параметр по умолчанию, чтобы экспортировать результаты каждые 15 минут. См . раздел Настройка частоты экспорта обновленных активных результатов.
Поле TimeGenerated заполняется значением Update объекта поиска.
Трассы AWS CloudTrail по умолчанию хранятся в контейнерах S3.
4. Развертывание соединителей AWS
Microsoft Sentinel предоставляет следующие соединители AWS:
- Соединитель Amazon Web Services Брандмауэр веб-приложений (WAF): прием журналов AWS WAF, собранных в контейнерах AWS S3, для Microsoft Sentinel.
- Соединитель журналов служб Amazon Web Services: прием журналов служб AWS, собранных в контейнерах AWS S3, для Microsoft Sentinel.
- Соединитель журналов Amazon Web Services Elastic Kubernetes Service (EKS): прием журналов аудита AWS EKS, собранных в контейнерах AWS S3, Microsoft Sentinel.
Дальнейшие действия
Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Узнайте , как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.