Настройка среды Amazon Web Services (AWS) для сбора журналов AWS для Microsoft Sentinel

Соединители Amazon Web Services (AWS) упрощают сбор журналов из Amazon S3 (простая служба хранилища) и их прием в Microsoft Sentinel. Соединители предоставляют средства, помогающие настроить среду AWS для Microsoft Sentinel сбора журналов.

В этой статье описывается настройка среды AWS, необходимая для отправки журналов в Microsoft Sentinel, а также ссылки на пошаговые инструкции по настройке среды и сбору журналов AWS с помощью каждого поддерживаемого соединителя.

Общие сведения о настройке среды AWS

На этой схеме показано, как настроить среду AWS для отправки журналов в Azure:

Снимок экрана: архитектура соединителя A W S S 3.

  1. Создайте контейнер хранилища S3 (простая служба хранилища) и очередь службы простых очередей (SQS ), в которую контейнер S3 публикует уведомления при получении новых журналов.

    соединители Microsoft Sentinel:

    • Опрашивает очередь SQS с частыми интервалами на наличие сообщений, содержащих пути к новым файлам журнала.
    • Извлеките файлы из контейнера S3 по пути, указанному в уведомлениях SQS.
  2. Создайте поставщик веб-удостоверений Open ID Connect (OIDC) и добавьте Microsoft Sentinel в качестве зарегистрированного приложения (добавив его в качестве аудитории).

    соединители Microsoft Sentinel используют Microsoft Entra ID для проверки подлинности в AWS через OpenID Connect (OIDC) и принимают на себя роль AWS IAM.

    Важно!

    Если у вас уже есть поставщик OIDC Connect для Microsoft Defender для облака, добавьте Microsoft Sentinel в качестве аудитории к существующему поставщику (коммерческие: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, для государственных организаций:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Не пытайтесь создать новый поставщик OIDC для Microsoft Sentinel.

  3. Создайте роль AWS, чтобы предоставить соединителю Microsoft Sentinel разрешения на доступ к контейнеру AWS S3 и ресурсам SQS.

    1. Назначьте соответствующие политики разрешений IAM , чтобы предоставить предполагаемой роли доступ к ресурсам.

    2. Настройте соединители для использования предполагаемой роли и очереди SQS, созданной для доступа к контейнеру S3 и получения журналов.

  4. Настройте службы AWS для отправки журналов в контейнер S3.

Настройка вручную

Хотя вы можете настроить среду AWS вручную, как описано в этом разделе, мы настоятельно рекомендуем использовать автоматизированные средства, предоставляемые при развертывании соединителей AWS .

1. Создание контейнера S3 и очереди SQS

  1. Создайте контейнер S3 , в который можно отправлять журналы из служб AWS : VPC, GuardDuty, CloudTrail или CloudWatch.

    См. инструкции по созданию контейнера хранилища S3 в документации AWS.

  2. Создайте стандартную очередь сообщений службы простых очередей (SQS ), в которую контейнер S3 может публиковать уведомления.

    Инструкции по созданию стандартной очереди службы SQS см. в документации AWS.

  3. Настройте контейнер S3 для отправки уведомлений в очередь SQS.

    Инструкции по публикации уведомлений в очереди SQS см. в документации AWS.

2. Создание поставщика веб-удостоверений Open ID Connect (OIDC)

Важно!

Если у вас уже есть поставщик OIDC Connect для Microsoft Defender для облака, добавьте Microsoft Sentinel в качестве аудитории к существующему поставщику (коммерческие: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, для государственных организаций:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Не пытайтесь создать новый поставщик OIDC для Microsoft Sentinel.

Следуйте приведенным ниже инструкциям в документации по AWS.
Создание поставщиков удостоверений OpenID Connect (OIDC).

Параметр Выбор или значение Comments
Идентификатор клиента - Проигнорируйте это, у вас уже есть. См. раздел Аудитория.
Тип поставщика Подключение OpenID Вместо SAML по умолчанию.
URL-адрес поставщика Коммерческих:
sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/

Правительство:
sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
Отпечаток 626d44e704d1ceabe3bf0d53397464ac8080142c Если он создан в консоли IAM, при выборе получить отпечаток вы получите этот результат.
Аудитория Коммерческих:
api://1462b192-27f7-4cb9-8523-0f4ecb54b47e

Правительство:
api://d4230588-5f84-4281-a9c7-2c15194b28f7

3. Создание принятой роли AWS

Важно!

Имя должно содержать точный префикс OIDC_; в противном случае соединитель не может работать должным образом.

  1. Следуйте приведенным ниже инструкциям в документации по AWS.
    Создание роли для веб-удостоверения или федерации OpenID Connect.

    Параметр Выбор или значение Comments
    Тип доверенной сущности Веб-удостоверение Вместо службы AWS по умолчанию.
    Поставщик удостоверений Коммерческих:
    sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/

    Правительство:
    sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/
    Поставщик, созданный на предыдущем шаге.
    Аудитория Коммерческих:
    api://1462b192-27f7-4cb9-8523-0f4ecb54b47e

    Правительство:
    api://d4230588-5f84-4281-a9c7-2c15194b28f7
    Аудитория, определенная для поставщика удостоверений на предыдущем шаге.
    Разрешения для назначения
    • AmazonSQSReadOnlyAccess
    • AWSLambdaSQSQueueExecutionRole
    • AmazonS3ReadOnlyAccess
    • ROSAKMSProviderPolicy
    • Другие политики для приема различных типов журналов служб AWS
    Сведения об этих политиках см. на соответствующей странице политик разрешений соединителя AWS S3 в репозитории Microsoft Sentinel GitHub.
    Название "OIDC_MicrosoftSentinelRole" Выберите понятное имя, включающее ссылку на Microsoft Sentinel.

    Имя должно содержать точный префикс OIDC_; в противном случае соединитель не может работать должным образом.
  2. Измените политику доверия новой роли и добавьте другое условие:
    "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

    Важно!

    Значение sts:RoleSessionName параметра должно иметь точный префикс MicrosoftSentinel_; в противном случае соединитель работает неправильно.

    Готовая политика доверия должна выглядеть следующим образом:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
          },
          "Action": "sts:AssumeRoleWithWebIdentity",
          "Condition": {
            "StringEquals": {
              "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
              "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
            }
          }
        }
      ]
    }
    
    • XXXXXXXXXXXX — это идентификатор учетной записи AWS.
    • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX— это идентификатор рабочей области Microsoft Sentinel.

    Обновите (сохраните) политику по завершении редактирования.

Настройка служб AWS для экспорта журналов в контейнер S3

Инструкции по отправке каждого типа журнала в контейнер S3 см. в документации по Amazon Web Services:

4. Развертывание соединителей AWS

Microsoft Sentinel предоставляет следующие соединители AWS:


Дальнейшие действия

Дополнительные сведения о Microsoft Sentinel см. в следующих статьях: