Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Brug AWS-connectoren (Amazon Web Services) S3-baseret WAF (Web Application Firewall) til at indtage AWS WAF-logge, der indsamles i AWS S3-buckets, til at Microsoft Sentinel. AWS WAF-logfiler er detaljerede poster over den webtrafik, der analyseres af AWS WAF i forhold til ACL'er (Web Access Control Lists). Disse poster indeholder oplysninger som f.eks. det tidspunkt, hvor AWS WAF modtog anmodningen, specifikationerne for anmodningen og den handling, der blev udført af den regel, som anmodningen matchede. Disse logge og denne analyse er vigtige for at opretholde sikkerheden og ydeevnen af webprogrammer.
Denne connector indeholder et AWS CloudFormation-baseret onboardingscript for at strømline oprettelsen af de AWS-ressourcer, der bruges af connectoren.
Vigtigt!
Amazon Web Services S3 WAF-dataconnectoren er i øjeblikket en prøveversion. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
-
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.
Oversigt
Amazon Web Services S3 WAF-dataconnectoren har følgende anvendelsesområder:
Sikkerhedsovervågning og trusselsregistrering: Analysér AWS WAF-logge for at hjælpe med at identificere og reagere på sikkerhedstrusler, f.eks. SQL-injektion og XSS-angreb (cross-site scripting). Ved at overføre disse logge til Microsoft Sentinel kan du bruge dens avancerede analyse- og trusselsintelligens til at registrere og undersøge skadelige aktiviteter.
Overholdelse og overvågning: AWS WAF-logge indeholder detaljerede registreringer af web-ACL-trafik, hvilket kan være afgørende for rapportering af overholdelse og overvågning. Connectoren sikrer, at disse logge er tilgængelige i Sentinel for nem adgang og analyse.
I denne artikel forklares det, hvordan du konfigurerer Amazon Web Services S3 WAF-connectoren. Processen med at konfigurere den har to dele: AWS-siden og den Microsoft Sentinel side. Hver sides proces producerer oplysninger, der bruges af den anden side. Denne tovejsgodkendelse opretter sikker kommunikation.
Forudsætninger
Du skal have skrivetilladelse til det Microsoft Sentinel arbejdsområde.
Installér Amazon Web Services-løsningen fra Content Hub i Microsoft Sentinel. Hvis du allerede har version 3.0.2 af løsningen (eller tidligere), skal du opdatere løsningen i indholdshubben for at sikre, at du har den nyeste version, der omfatter denne connector. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.
Aktivér og konfigurer Amazon Web Services S3 WAF-connectoren
Processen til aktivering og konfiguration af connectoren består af følgende opgaver:
I dit AWS-miljø:
Amazon Web Services S3 WAF-connectorsiden i Microsoft Sentinel indeholder AWS CloudFormation-stakskabeloner, der kan downloades, og som automatiserer følgende AWS-opgaver:
Konfigurer dine AWS-tjenester for at sende logge til en S3-bucket.
Opret en SQS-kø (Simple Queue Service) for at give besked.
Opret en webidentitetsudbyder for at godkende brugere til AWS via OIDC (OpenID Connect).
Opret en formodet rolle for at give de brugere, der er godkendt af OIDC-webidentitetsudbyderen, tilladelse til at få adgang til dine AWS-ressourcer.
Vedhæft de relevante politikker for IAM-tilladelser for at give den formodede rolle adgang til de relevante ressourcer (S3 bucket, SQS).
I Microsoft Sentinel:
- Konfigurer Amazon Web Services S3 WAF Connector på Microsoft Sentinel-portalen ved at tilføje logindsamlere, der forespørger køen, og hente logdata fra S3-bucket'en. Se vejledningen nedenfor.
Konfigurer AWS-miljøet
For at forenkle onboardingprocessen indeholder Amazon Web Services S3 WAF-connectorsiden i Microsoft Sentinel skabeloner, der kan downloades, og som du kan bruge med AWS CloudFormation-tjenesten. Tjenesten CloudFormation bruger disse skabeloner til automatisk at oprette ressourcestak i AWS. Disse stakke omfatter selve ressourcerne som beskrevet i denne artikel og legitimationsoplysninger, tilladelser og politikker.
Bemærk!
Vi anbefaler på det kraftigste, at du bruger den automatiske konfigurationsproces. Hvis du har særlige tilfælde, skal du se vejledningen til manuel konfiguration.
Forbered skabelonfilerne
Hvis du vil køre scriptet for at konfigurere AWS-miljøet, skal du bruge følgende trin:
Udvid Konfiguration i navigationsmenuen Microsoft Sentinel i Azure Portal, og vælg Dataconnectors.
Udvid Microsoft Sentinel > Konfiguration i menuen hurtig start på Defender-portalen, og vælg Dataconnectors.
Vælg Amazon Web Services S3 WAF på listen over dataconnectors.
Hvis du ikke kan se connectoren, skal du installere Amazon Web Services-løsningen fra Indholdshubben under Indholdsstyring i Microsoft Sentinel eller opdatere løsningen til den nyeste version.
Vælg Åbn connectorside i detaljeruden for connectoren.
Under 1 i afsnittet Konfiguration. AWS CloudFormation Deployment skal du vælge linket AWS CloudFormation Stacks. Dette åbner AWS-konsollen i en ny browserfane.
Gå tilbage til fanen på den portal, hvor du har Microsoft Sentinel åben. Vælg Download under Skabelon 1: OpenID Connect-godkendelsesinstallation for at downloade den skabelon, der opretter OIDC-webidentitetsudbyderen. Skabelonen downloades som en JSON-fil til den angivne downloadmappe.
Bemærk!
Hvis du allerede har en OIDC-webidentitetsudbyder, skal du springe dette trin over.
Vælg Download under Skabelon 2: Udrulning af AWS WAF-ressourcer for at downloade den skabelon, der opretter de andre AWS-ressourcer. Skabelonen downloades som en JSON-fil til den angivne downloadmappe.
Opret AWS CloudFormation-stakke
Gå tilbage til fanen AWS-konsolbrowser, som er åben for siden AWS CloudFormation, hvor du kan oprette en stak.
Hvis du ikke allerede er logget på AWS, skal du logge på nu, og du omdirigeres til siden AWS CloudFormation.
Opret OIDC-webidentitetsudbyderen
Vigtigt!
Hvis du allerede har OIDC-webidentitetsudbyderen fra den tidligere version af AWS S3-connectoren, skal du springe dette trin over og fortsætte til Opret de resterende AWS-ressourcer.
Hvis du allerede har konfigureret en OIDC Connect-provider til Microsoft Defender til Cloud, skal du føje Microsoft Sentinel som målgruppe til din eksisterende udbyder (Commercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Prøv ikke at oprette en ny OIDC-provider til Microsoft Sentinel.
Følg vejledningen på AWS-konsolsiden for at oprette en ny stak.
Angiv en skabelon, og upload en skabelonfil.
Vælg Vælg fil , og find filen "Template 1_ OpenID connect authentication deployment.json", du har downloadet.
Vælg et navn til stakken.
Gå videre gennem resten af processen, og opret stakken.
Opret de resterende AWS-ressourcer
Gå tilbage til siden AWS CloudFormation-stakke, og opret en ny stak.
Vælg Vælg fil , og find filen "Template 2_ AWS WAF-ressourcer deployment.json", du har downloadet.
Vælg et navn til stakken.
Angiv id'et for dit Microsoft Sentinel arbejdsområde, hvor du bliver bedt om det. Sådan finder du dit arbejdsområde-id:
Udvid Konfiguration i navigationsmenuen Microsoft Sentinel i Azure Portal, og vælg Indstillinger. Vælg fanen Indstillinger for arbejdsområde , og find arbejdsområde-id'et på siden Log Analytics-arbejdsområdet.
På Defender-portalen skal du i menuen til hurtig start udvide System og vælge Indstillinger. Vælg Microsoft Sentinel, og vælg derefter Log Analytics-indstillinger under Indstillinger for
[WORKSPACE_NAME]. Find arbejdsområde-id'et på siden Log Analytics-arbejdsområdet, som åbnes i en ny browserfane.
Gå videre gennem resten af processen, og opret stakken.
Tilføj logindsamlere
Når alle ressourcestakkene er oprettet, skal du gå tilbage til browserfanen åbne dataconnectorsiden i Microsoft Sentinel og starte den anden del af konfigurationsprocessen.
Under 2 i afsnittet Konfiguration. Forbind nye samlere, vælg Tilføj ny samler.
Angiv rollen ARN for den IAM-rolle, der blev oprettet. Standardnavnet for rollen er OIDC_MicrosoftSentinelRole, så rollen ARN vil blive
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.Angiv navnet på den SQS-kø, der blev oprettet. Standardnavnet for denne kø er SentinelSQSQueue, så URL-adressen vil blive
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.Vælg Opret forbindelse for at tilføje samleren. Dette opretter en regel for dataindsamling for Azure Monitor Agent for at hente loggene og overføre dem til den dedikerede AWSWAF-tabel i dit Log Analytics-arbejdsområde.
Test og overvåg connectoren
Når connectoren er konfigureret, skal du gå til siden Logge (eller siden Avanceret jagt på Defender-portalen) og køre følgende forespørgsel. Hvis du får nogen resultater, fungerer connectoren korrekt.
AWSWAF | take 10Hvis du ikke allerede har gjort det, anbefaler vi, at du implementerer tilstandsovervågning af dataconnectorer , så du kan vide, når connectors ikke modtager data eller andre problemer med connectors. Du kan få flere oplysninger under Overvåg tilstanden af dine dataconnectors.