Подключение Microsoft Sentinel к Amazon Web Services для приема данных журнала службы AWS

На этой вкладке объясняется, как настроить соединитель AWS S3 с помощью одного из двух методов:

• Автоматическая настройка (рекомендуется)
• Настройка вручную

Предпосылки

• У вас должны быть разрешения на запись в рабочую область Microsoft Sentinel.

• Установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление стандартным содержимым Microsoft Sentinel.

• Установите PowerShell и ИНТЕРФЕЙС командной строки AWS на компьютере (только для автоматической настройки):

  • Инструкции по установке PowerShell
  • Инструкции по установке ИНТЕРФЕЙСА командной строки AWS (из документации по AWS)

• Убедитесь, что журналы из выбранной службы AWS используют формат, принятый Microsoft Sentinel:

  • Amazon VPC: .csv файл в формате GZIP с заголовками; разделитель: пробел.
  • Amazon GuardDuty: форматы json-line и GZIP.
  • AWS CloudTrail: .json файл в формате GZIP.
  • CloudWatch: .csv файл в формате GZIP без заголовка. Если вам нужно преобразовать журналы в этот формат, можно использовать эту лямбда-функцию CloudWatch.

Автоматическая настройка

Чтобы упростить процесс подключения, Microsoft Sentinel предоставил скрипт PowerShell для автоматизации настройки стороны AWS соединителя — необходимых ресурсов AWS, учетных данных и разрешений.

Сценарий:

• Создает поставщика удостоверений OIDC, чтобы проверять подлинность пользователей Microsoft Entra ID в AWS. Если поставщик веб-удостоверений уже существует, сценарий добавляет Microsoft Sentinel в качестве аудитории к существующему поставщику.

• Создает предполагаемую роль IAM с минимальными необходимыми разрешениями, чтобы предоставить пользователям, прошедшим проверку подлинности OIDC, доступ к журналам в заданном контейнере S3 и очереди SQS.

• Позволяет указанным службам AWS отправлять журналы в этот контейнер S3 и отправлять уведомления в очередь SQS.

• При необходимости создается контейнер S3 и очередь SQS для этой цели.

• Настраивает все необходимые политики разрешений IAM и применяет их к роли IAM, созданной выше.

Для облаков Azure для государственных организаций специализированный скрипт создает другого поставщика удостоверений веб-идентификации OIDC, которому назначается роль IAM.

Инструкции

Чтобы запустить скрипт для настройки соединителя, выполните следующие действия.

1. В меню навигации Microsoft Sentinel выберите Соединители данных.

2. Выберите Amazon Web Services S3 из коллекции соединителей данных.

   Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel.

3. В панели сведений о соединителе выберите Открыть страницу соединителя.

4. В разделе "Конфигурация" под 1. Настройте среду AWS, разверните раздел "Настройка" с помощью скрипта PowerShell (рекомендуется).

5. Следуйте инструкциям на экране, чтобы скачать и извлечь скрипт установки AWS S3 (ссылка загружает ZIP-файл, содержащий основной скрипт установки и вспомогательные скрипты) на странице соединителя.

   Примечание.

   Для интеграции логов AWS в облако Azure для государственных организаций загрузите и распакуйте этот специализированный скрипт установки AWS S3 Gov.

6. Перед выполнением скрипта выполните aws configure команду из командной строки PowerShell и введите соответствующие сведения, как показано в командной строке. См . интерфейс командной строки AWS | Основы конфигурации (из документации ПО AWS) для получения дополнительных сведений.

7. Теперь запустите скрипт. Скопируйте команду на странице соединителя (в разделе "Запуск скрипта для настройки среды") и вставьте его в командную строку.

8. Скрипт предложит ввести идентификатор рабочей области. Этот идентификатор отображается на странице соединителя. Скопируйте его и вставьте его в запрос скрипта.

   

9. После завершения выполнения скрипта скопируйте Role ARN и URL-адрес SQS из выходных данных скрипта (см. пример на первом снимке экрана ниже) и вставьте их в соответствующие поля на странице соединителя в разделе 2. Добавление подключения (см. второй снимок экрана ниже).

   

   

10. Выберите тип данных из раскрывающегося списка в целевой таблице. Это указывает соединителю, журналы какой службы AWS будут собираться с помощью этого подключения, и в какую таблицу Log Analytics он сохраняет полученные данные. Затем выберите Добавить подключение.

Ручная настройка

Мы рекомендуем использовать скрипт автоматической установки для развертывания этого соединителя. Если по какой-либо причине вы не хотите воспользоваться этим удобством, выполните приведенные ниже действия, чтобы настроить соединитель вручную.

1. Настройте среду AWS, как описано в разделе "Настройка среды Amazon Web Services" для сбора журналов AWS в Microsoft Sentinel.

2. В консоли AWS:

   1. Введите службу управления удостоверениями и доступом (IAM) и перейдите к списку ролей. Выберите созданную выше роль.

   2. Скопируйте ARN в буфер обмена.

   3. Введите простую службу очередей, выберите созданную очередь SQS и скопируйте URL-адрес очереди в буфер обмена.

3. В меню навигации Microsoft Sentinel выберите Соединители данных.

4. Выберите Amazon Web Services S3 из коллекции соединителей данных.

   Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление стандартным содержимым Microsoft Sentinel.

5. В панели сведений о соединителе выберите Открыть страницу соединителя.

6. Под 2. Добавление подключения:

   1. Вставьте ARN роли IAM, скопированную двумя шагами назад, в поле Role to add.
   2. Вставьте URL-адрес очереди SQS, скопированной на последнем шаге, в поле URL-адреса SQS .
   3. Выберите тип данных из раскрывающегося списка в целевой таблице. Это указывает соединителю, журналы какой службы AWS будут собираться с помощью этого подключения, и в какую таблицу Log Analytics он сохраняет полученные данные.
   4. Выберите Добавить подключение.

   

Известные проблемы и устранение неполадок

Известные проблемы

• Различные типы журналов могут храниться в одном контейнере S3, но не должны храниться в одном пути.

• Каждая очередь SQS должна указывать на один тип сообщения. Если вы хотите ингестировать результаты GuardDuty и логи потоков VPC, настройте отдельные очереди для каждого типа.

• Одна очередь SQS может обслуживать только один путь в контейнере S3. Если вы храните журналы в нескольких каталогах, каждый каталог требует собственной выделенной очереди SQS.

Устранение неполадок

Узнайте, как устранить неполадки соединителя Amazon Web Services S3.

На этой вкладке объясняется, как настроить соединитель AWS CloudTrail. Процесс настройки состоит из двух частей: на стороне AWS и на стороне Microsoft Sentinel. Процесс каждой стороны генерирует информацию, используемую другой стороной. Эта двусторонняя проверка подлинности создает безопасный обмен данными.

Предпосылки

• У вас должны быть разрешения на запись в рабочую область Microsoft Sentinel.
• Установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление стандартным содержимым Microsoft Sentinel.

Подключение AWS CloudTrail

Настройка этого соединителя состоит из двух шагов.

• Создание предполагаемой роли AWS и предоставление доступа к учетной записи AWS Sentinel
• Добавление сведений о роли AWS в соединитель данных AWS CloudTrail

Создание предполагаемой роли AWS и предоставление доступа к учетной записи AWS Sentinel

1. В меню навигации Microsoft Sentinel выберите Соединители данных.

2. Выберите Amazon Web Services из коллекции соединителей данных.

   Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление стандартным содержимым Microsoft Sentinel.

3. В панели сведений о соединителе выберите Открыть страницу соединителя.

4. В разделе "Конфигурация" скопируйте идентификатор учетной записи Майкрософт и внешний идентификатор (идентификатор рабочей области) в буфер обмена.

5. Откройте консоль AWS в другом окне браузера или на вкладке. Следуйте инструкциям в документации AWS по созданию роли для учетной записи AWS.

   • Для типа учетной записи вместо этой учетной записи выберите другую учетную запись AWS.

   • В поле "Идентификатор учетной записи" введите номер 197857026523 (или вставьте его — идентификатор учетной записи Майкрософт, скопированный на предыдущем шаге) из буфера обмена. Это число — идентификатор учетной записи службы Microsoft Sentinel для AWS. Он сообщает AWS, что учетная запись, использующая эту роль, используется как пользователь Microsoft Sentinel.

   • В параметрах выберите "Требовать внешний идентификатор" (не нажимайте кнопку "Требовать MFA"). В поле "Внешний идентификатор" вставьте идентификатор рабочей области Microsoft Sentinel, скопированный на предыдущем шаге. Это определяет определенную учетную запись Microsoft Sentinel в AWS.

   • AWSCloudTrailReadOnlyAccess Назначьте политику разрешений. Добавьте тег, если вы хотите.

   • Присвойт роли понятное имя, включающее ссылку на Microsoft Sentinel. Пример: MicrosoftSentinelRole.

Добавление сведений о роли AWS в соединитель данных AWS CloudTrail

1. На вкладке браузера откройте консоль AWS, введите службу управления удостоверениями и доступом (IAM) и перейдите к списку ролей. Выберите созданную выше роль.

2. Скопируйте ARN в буфер обмена.

3. Вернитесь на вкладку браузера Microsoft Sentinel, которая должна быть открыта на странице соединителя данных Amazon Web Services . В разделе "Конфигурация" вставьте ARN роли в поле 'Роль для добавления' и выберите "Добавить".

   

4. Чтобы использовать соответствующую схему в Log Analytics для событий AWS, найдите AWSCloudTrail.

   Это важно

   По состоянию на 1 декабря 2020 г. поле AwsRequestId заменено полем AwsRequestId_ (обратите внимание на добавленный подчеркивание). Данные в старом поле AwsRequestId будут сохранены до конца указанного периода хранения данных клиента.