Richten Sie Ihre AWS-Umgebung (Amazon Web Services) ein, um AWS-Protokolle für Microsoft Sentinel

Aws-Connectors (Amazon Web Services) vereinfachen das Sammeln von Protokollen von Amazon S3 (Simple Storage Service) und deren Erfassung in Microsoft Sentinel. Die Connectors bieten Tools, mit denen Sie Ihre AWS-Umgebung für Microsoft Sentinel Protokollsammlung konfigurieren können.

In diesem Artikel wird die AWS-Umgebungseinrichtung beschrieben, die zum Senden von Protokollen an Microsoft Sentinel erforderlich ist, sowie Links zu schrittweisen Anweisungen zum Einrichten Ihrer Umgebung und zum Sammeln von AWS-Protokollen mit jedem unterstützten Connector.

Übersicht über die Einrichtung der AWS-Umgebung

Dieses Diagramm zeigt, wie Sie Ihre AWS-Umgebung einrichten, um Protokolle an Azure zu senden:

Screenshot der Architektur des A W S S 3-Connectors.

Erstellen Sie einen S3-Speicherbucket (Simple Storage Service) und eine SQS-Warteschlange (Simple Queue Service), in der der S3-Bucket Benachrichtigungen veröffentlicht, wenn er neue Protokolle empfängt.

Microsoft Sentinel Connectors:
- Rufen Sie die SQS-Warteschlange in regelmäßigen Abständen nach Nachrichten ab, die die Pfade zu neuen Protokolldateien enthalten.
- Rufen Sie die Dateien aus dem S3-Bucket basierend auf dem pfad ab, der in den SQS-Benachrichtigungen angegeben ist.
Erstellen Sie einen OIDC-Webidentitätsanbieter (Open ID Connect), und fügen Sie Microsoft Sentinel als registrierte Anwendung hinzu (indem Sie sie als Zielgruppe hinzufügen).

Microsoft Sentinel Connectors verwenden Microsoft Entra ID für die Authentifizierung bei AWS über OpenID Connect (OIDC) und übernehmen eine AWS IAM-Rolle.

Wichtig

Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie ihrem vorhandenen Anbieter Microsoft Sentinel als Zielgruppe hinzu (kommerziell: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.
Erstellen Sie eine von AWS übernommene Rolle, um Ihrem Microsoft Sentinel Connector Berechtigungen für den Zugriff auf Ihren AWS S3-Bucket und Ihre SQS-Ressourcen zu gewähren.
1. Weisen Sie die entsprechenden IAM-Berechtigungsrichtlinien zu, um der angenommenen Rolle Zugriff auf die Ressourcen zu gewähren.
2. Konfigurieren Sie Ihre Connectors für die Verwendung der angenommenen Rolle und der SQS-Warteschlange, die Sie erstellt haben, um auf den S3-Bucket zuzugreifen und Protokolle abzurufen.
Konfigurieren Sie AWS-Dienste zum Senden von Protokollen an den S3-Bucket.

Manuelle Einrichtung

Sie können die AWS-Umgebung zwar manuell einrichten, wie in diesem Abschnitt beschrieben, es wird jedoch dringend empfohlen, stattdessen die automatisierten Tools zu verwenden, die beim Bereitstellen von AWS-Connectors bereitgestellt werden.

1. Erstellen eines S3-Buckets und einer SQS-Warteschlange

Erstellen Sie einen S3-Bucket , an den Sie die Protokolle von Ihren AWS-Diensten senden können – VPC, GuardDuty, CloudTrail oder CloudWatch.

Weitere Informationen finden Sie in den Anweisungen zum Erstellen eines S3-Speicherbuckets in der AWS-Dokumentation.
Erstellen Sie eine standardmäßige SQS-Nachrichtenwarteschlange (Simple Queue Service), in der der S3-Bucket Benachrichtigungen veröffentlichen kann.

Weitere Informationen finden Sie in der AWS-Dokumentation in den Anweisungen zum Erstellen einer Standardmäßigen SQS-Warteschlange (Simple Queue Service ).
Konfigurieren Sie Ihren S3-Bucket so, dass Benachrichtigungen an Ihre SQS-Warteschlange gesendet werden.

Lesen Sie die Anweisungen zum Veröffentlichen von Benachrichtigungen in Ihrer SQS-Warteschlange in der AWS-Dokumentation.

2. Erstellen eines OIDC-Webidentitätsanbieters (Open ID Connect)

Wichtig

Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie ihrem vorhandenen Anbieter Microsoft Sentinel als Zielgruppe hinzu (kommerziell: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.

Befolgen Sie die folgenden Anweisungen in der AWS-Dokumentation:
Erstellen von OIDC-Identitätsanbietern (OpenID Connect).

Parameter	Auswahl/Wert	Kommentare
Client-ID	-	Ignorieren Sie dies, sie ist bereits vorhanden. Siehe Zielgruppe.
Anbietertyp	OpenID Connect	Anstelle von Standard-SAML.
Anbieter-URL	Kommerziell: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Regierung: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
Fingerabdruck	`626d44e704d1ceabe3bf0d53397464ac8080142c`	Wenn sie in der IAM-Konsole erstellt wurde, sollte die Option Fingerabdruck abrufen dieses Ergebnis liefern.
Zielgruppe	Kommerziell: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Regierung: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. Erstellen einer angenommenen AWS-Rolle

Wichtig

Der Name muss das genaue Präfix OIDC_enthalten. Andernfalls kann der Connector nicht ordnungsgemäß funktionieren.

Befolgen Sie die folgenden Anweisungen in der AWS-Dokumentation:
Erstellen einer Rolle für die Webidentität oder den OpenID Connect-Verbund.

Parameter	Auswahl/Wert	Kommentare
Vertrauenswürdiger Entitätstyp	Webidentität	Anstelle des AWS-Standarddiensts.
Identitätsanbieter	Kommerziell: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Regierung: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	Der Anbieter, den Sie im vorherigen Schritt erstellt haben.
Zielgruppe	Kommerziell: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Regierung: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	Die Zielgruppe, die Sie im vorherigen Schritt für den Identitätsanbieter definiert haben.
Zuzuweisende Berechtigungen	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` Andere Richtlinien für die Erfassung der verschiedenen Arten von AWS-Dienstprotokollen	Informationen zu diesen Richtlinien finden Sie auf der entsprechenden Seite mit richtlinien für AWS S3-Connectorberechtigungen im Microsoft Sentinel GitHub-Repository. Berechtigungsrichtlinienseite für den AWS Commercial S3-Connector Berechtigungsrichtlinien für AWS Government S3-Connector
Name	"OIDC_MicrosoftSentinelRole"	Wählen Sie einen aussagekräftigen Namen aus, der einen Verweis auf Microsoft Sentinel enthält. Der Name muss das genaue Präfix `OIDC_`enthalten. Andernfalls kann der Connector nicht ordnungsgemäß funktionieren.

Bearbeiten Sie die Vertrauensstellungsrichtlinie der neuen Rolle, und fügen Sie eine weitere Bedingung hinzu:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Wichtig

Der Wert des sts:RoleSessionName Parameters muss das genaue Präfix MicrosoftSentinel_aufweisen. Andernfalls funktioniert der Connector nicht ordnungsgemäß.

Die fertige Vertrauensstellungsrichtlinie sollte wie folgt aussehen:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX ist Ihre AWS-Konto-ID.
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXist Ihre Microsoft Sentinel Arbeitsbereichs-ID.
Aktualisieren (speichern) Sie die Richtlinie, wenn Sie mit der Bearbeitung fertig sind.

Konfigurieren von AWS-Diensten zum Exportieren von Protokollen in einen S3-Bucket

Anweisungen zum Senden der einzelnen Protokolltypen an Ihren S3-Bucket finden Sie in der verknüpften Amazon Web Services-Dokumentation:

Veröffentlichen eines VPC-Flussprotokolls in einem S3-Bucket.

Hinweis

Wenn Sie das Format des Protokolls anpassen möchten, müssen Sie das Startattribut einschließen, da es dem Feld TimeGenerated im Log Analytics-Arbeitsbereich zugeordnet ist. Andernfalls wird das Feld TimeGenerated mit der erfassten Zeit des Ereignisses aufgefüllt, die das Protokollereignis nicht genau beschreibt.
Exportieren Sie Ihre GuardDuty-Ergebnisse in einen S3-Bucket.
Hinweis
- In AWS werden Ergebnisse standardmäßig alle sechs Stunden exportiert. Passen Sie die Exporthäufigkeit für aktualisierte aktive Ergebnisse basierend auf Ihren Umgebungsanforderungen an. Um den Prozess zu beschleunigen, können Sie die Standardeinstellung so ändern, dass ergebnisse alle 15 Minuten exportiert werden. Weitere Informationen finden Sie unter Festlegen der Häufigkeit für den Export aktualisierter aktiver Ergebnisse.
- Das Feld TimeGenerated wird mit dem Wert Update des Funds aufgefüllt.
AWS CloudTrail-Trails werden standardmäßig in S3-Buckets gespeichert.
- Erstellen Sie einen Pfad für ein einzelnes Konto.
- Erstellen Sie einen Pfad, der mehrere Konten in einem organization umfasst.
Exportieren Sie Ihre CloudWatch-Protokolldaten in einen S3-Bucket.

4. Bereitstellen von AWS-Connectors

Microsoft Sentinel stellt die folgenden AWS-Connectors bereit:

Amazon Web Services Web Application Firewall(WAF)-Connector: Erfasst AWS WAF-Protokolle, die in AWS S3-Buckets gesammelt werden, um Microsoft Sentinel.
Amazon Web Services-Dienstprotokollconnector: Erfasst AWS-Dienstprotokolle, die in AWS S3-Buckets gesammelt werden, um Microsoft Sentinel.
Amazon Web Services Elastic Kubernetes Service (EKS)-Protokollconnector: Erfasst AWS EKS-Überwachungsprotokolle, die in AWS S3-Buckets gesammelt werden, um Microsoft Sentinel.

Nächste Schritte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23