Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie den S3-basierten WEB APPLICATION FIREWALL-Connector (WAF) von Amazon Web Services (AWS), um AWS WAF-Protokolle zu erfassen, die in AWS S3-Buckets gesammelt werden, um Microsoft Sentinel. AWS WAF-Protokolle sind detaillierte Datensätze des Webdatenverkehrs, der von der AWS WAF anhand von Webzugriffssteuerungslisten (WEB Access Control Lists, ACLs) analysiert wird. Diese Datensätze enthalten Informationen wie den Zeitpunkt, zu dem AWS WAF die Anforderung empfangen hat, die Besonderheiten der Anforderung und die Von der Regel ausgeführte Aktion, zu der die Anforderung übereinstimmt. Diese Protokolle und diese Analyse sind für die Aufrechterhaltung der Sicherheit und Leistung von Webanwendungen unerlässlich.
Dieser Connector verfügt über ein AWS CloudFormation-basiertes Onboardingskript, um die Erstellung der aws-Ressourcen zu optimieren, die vom Connector verwendet werden.
Wichtig
Der Amazon Web Services S3 WAF-Datenconnector befindet sich derzeit in der Vorschauphase. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
-
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.
Übersicht
Der Amazon Web Services S3 WAF-Datenconnector erfüllt die folgenden Anwendungsfälle:
Sicherheitsüberwachung und Bedrohungserkennung: Analysieren Sie AWS WAF-Protokolle, um Sicherheitsbedrohungen wie EINschleusung von SQL-Befehlen und XSS-Angriffen (Cross-Site Scripting) zu identifizieren und darauf zu reagieren. Indem Sie diese Protokolle in Microsoft Sentinel erfassen, können Sie die erweiterten Analysen und Bedrohungsinformationen verwenden, um schädliche Aktivitäten zu erkennen und zu untersuchen.
Compliance und Überwachung: AWS WAF-Protokolle enthalten detaillierte Aufzeichnungen des Web-ACL-Datenverkehrs, der für Complianceberichte und -überwachungszwecke von entscheidender Bedeutung sein kann. Der Connector stellt sicher, dass diese Protokolle in Sentinel verfügbar sind, um den Zugriff und die Analyse zu erleichtern.
In diesem Artikel wird erläutert, wie Sie den Amazon Web Services S3 WAF-Connector konfigurieren. Der Prozess der Einrichtung besteht aus zwei Teilen: der AWS-Seite und der Microsoft Sentinel Seite. Der Prozess jeder Seite erzeugt Informationen, die von der anderen Seite verwendet werden. Diese bidirektionale Authentifizierung sorgt für eine sichere Kommunikation.
Voraussetzungen
Sie müssen über Schreibberechtigungen für den Microsoft Sentinel Arbeitsbereich verfügen.
Installieren Sie die Amazon Web Services-Lösung über den Content Hub in Microsoft Sentinel. Wenn Sie version 3.0.2 der Lösung (oder früher) bereits installiert haben, aktualisieren Sie die Lösung im Inhaltshub, um sicherzustellen, dass Sie über die neueste Version verfügen, die diesen Connector enthält. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Aktivieren und Konfigurieren des Amazon Web Services S3 WAF-Connectors
Der Prozess zum Aktivieren und Konfigurieren des Connectors umfasst die folgenden Aufgaben:
In Ihrer AWS-Umgebung:
Die Amazon Web Services S3 WAF-Connectorseite in Microsoft Sentinel enthält herunterladbare AWS CloudFormation-Stapelvorlagen, die die folgenden AWS-Aufgaben automatisieren:
Konfigurieren Sie Ihre AWS-Dienste so, dass Protokolle an einen S3-Bucket gesendet werden.
Erstellen Sie eine SQS-Warteschlange (Simple Queue Service), um Benachrichtigungen bereitzustellen.
Erstellen Sie einen Webidentitätsanbieter , um Benutzer über OpenID Connect (OIDC) bei AWS zu authentifizieren.
Erstellen Sie eine angenommene Rolle , um Benutzern, die vom OIDC-Webidentitätsanbieter authentifiziert wurden, Berechtigungen für den Zugriff auf Ihre AWS-Ressourcen zu gewähren.
Fügen Sie die entsprechenden IAM-Berechtigungsrichtlinien an, um der angenommenen Rolle Zugriff auf die entsprechenden Ressourcen (S3-Bucket, SQS) zu gewähren.
In Microsoft Sentinel:
- Konfigurieren Sie den Amazon Web Services S3 WAF-Connector im Microsoft Sentinel-Portal, indem Sie Protokollsammler hinzufügen, die die Warteschlange abfragen und Protokolldaten aus dem S3-Bucket abrufen. Weitere Informationen finden Sie in den nachstehenden Anweisungen.
Einrichten der AWS-Umgebung
Zur Vereinfachung des Onboardingprozesses enthält die Amazon Web Services S3 WAF-Connectorseite in Microsoft Sentinel herunterladbare Vorlagen, die Sie mit dem AWS CloudFormation-Dienst verwenden können. Der CloudFormation-Dienst verwendet diese Vorlagen zum automatischen Erstellen von Ressourcenstapeln in AWS. Diese Stapel enthalten die Ressourcen selbst, wie in diesem Artikel beschrieben, sowie Anmeldeinformationen, Berechtigungen und Richtlinien.
Hinweis
Es wird dringend empfohlen, den automatischen Setupprozess zu verwenden. Für Sonderfälle finden Sie die Anweisungen zur manuellen Einrichtung.
Vorbereiten der Vorlagendateien
Führen Sie die folgenden Schritte aus, um das Skript zum Einrichten der AWS-Umgebung auszuführen:
Erweitern Sie im Azure-Portal im Microsoft Sentinel Navigationsmenü die Option Konfiguration, und wählen Sie Datenconnectors aus.
Erweitern Sie im Defender-Portal im Schnellstartmenü Microsoft Sentinel > Konfiguration, und wählen Sie Datenconnectors aus.
Wählen Sie Amazon Web Services S3 WAF aus der Liste der Datenconnectors aus.
Wenn der Connector nicht angezeigt wird, installieren Sie die Amazon Web Services-Lösung über den Inhaltshub unter Inhaltsverwaltung in Microsoft Sentinel, oder aktualisieren Sie die Lösung auf die neueste Version.
Wählen Sie im Detailbereich für den Connector connector die Option Connectorseite öffnen aus.
Im Abschnitt Konfiguration unter 1. AWS CloudFormation Deployment( AWS CloudFormation Deployment) wählen Sie den Link AWS CloudFormation Stacks aus. Dadurch wird die AWS-Konsole in einer neuen Browserregisterkarte geöffnet.
Kehren Sie zur Registerkarte des Portals zurück, auf der Sie Microsoft Sentinel geöffnet haben. Wählen Sie unter Vorlage 1: OpenID Connect-Authentifizierungsbereitstellungdie Option Herunterladen aus, um die Vorlage herunterzuladen, die den OIDC-Webidentitätsanbieter erstellt. Die Vorlage wird als JSON-Datei in den angegebenen Downloadordner heruntergeladen.
Hinweis
Wenn Sie bereits über einen OIDC-Webidentitätsanbieter verfügen, überspringen Sie diesen Schritt.
Wählen Sie unter Vorlage 2: Bereitstellung von AWS WAF-Ressourcendie Option Herunterladen aus, um die Vorlage herunterzuladen, mit der die anderen AWS-Ressourcen erstellt werden. Die Vorlage wird als JSON-Datei in den angegebenen Downloadordner heruntergeladen.
Erstellen von AWS CloudFormation-Stapeln
Kehren Sie zur Browserregisterkarte der AWS-Konsole zurück, die auf der Seite AWS CloudFormation zum Erstellen eines Stapels geöffnet ist.
Wenn Sie noch nicht bei AWS angemeldet sind, melden Sie sich jetzt an, und Sie werden zur Seite AWS CloudFormation umgeleitet.
Erstellen des OIDC-Webidentitätsanbieters
Wichtig
Wenn Sie bereits über den OIDC-Webidentitätsanbieter aus der vorherigen Version des AWS S3-Connectors verfügen, überspringen Sie diesen Schritt, und fahren Sie mit Erstellen der verbleibenden AWS-Ressourcen fort.
Wenn Sie bereits einen OIDC Connect-Anbieter für Microsoft Defender für Cloud eingerichtet haben, fügen Sie ihrem vorhandenen Anbieter Microsoft Sentinel als Zielgruppe hinzu (kommerziell: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Versuchen Sie nicht, einen neuen OIDC-Anbieter für Microsoft Sentinel zu erstellen.
Befolgen Sie die Anweisungen auf der Seite AWS-Konsole zum Erstellen eines neuen Stapels.
Geben Sie eine Vorlage an, und laden Sie eine Vorlagendatei hoch.
Wählen Sie Datei auswählen aus, und suchen Sie die heruntergeladene Datei "Template 1_ OpenID connect authentication deployment.json".
Wählen Sie einen Namen für den Stapel aus.
Durchlaufen Sie den restlichen Prozess, und erstellen Sie den Stapel.
Erstellen der verbleibenden AWS-Ressourcen
Kehren Sie zur Seite AWS CloudFormation stacks zurück, und erstellen Sie einen neuen Stapel.
Wählen Sie Datei auswählen aus, und suchen Sie die heruntergeladene Datei "Template 2_ AWS WAF resources deployment.json".
Wählen Sie einen Namen für den Stapel aus.
Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft Sentinel Arbeitsbereichs-ID ein. So suchen Sie Ihre Arbeitsbereichs-ID:
Erweitern Sie im Azure-Portal im Microsoft Sentinel Navigationsmenü die Option Konfiguration, und wählen Sie Einstellungen aus. Wählen Sie die Registerkarte Arbeitsbereichseinstellungen aus, und suchen Sie die Arbeitsbereichs-ID auf der Seite Log Analytics-Arbeitsbereich.
Erweitern Sie im Defender-Portal im Schnellstartmenü System , und wählen Sie Einstellungen aus. Wählen Sie Microsoft Sentinel und dann log Analytics-Einstellungen unter Einstellungen für
[WORKSPACE_NAME]aus. Suchen Sie die Arbeitsbereichs-ID auf der Seite Log Analytics-Arbeitsbereich, die auf einer neuen Browserregisterkarte geöffnet wird.
Durchlaufen Sie den restlichen Prozess, und erstellen Sie den Stapel.
Hinzufügen von Protokollsammlern
Wenn alle Ressourcenstapel erstellt wurden, kehren Sie zur Browserregisterkarte zurück, die auf der Datenconnectorseite in Microsoft Sentinel geöffnet ist, und beginnen Sie mit dem zweiten Teil des Konfigurationsprozesses.
Im Abschnitt Konfiguration unter 2. Verbinden Sie neue Sammler, und wählen Sie Neuen Collector hinzufügen aus.
Geben Sie den Rollen-ARN der iam-Rolle ein, die erstellt wurde. Der Standardname für die Rolle lautet OIDC_MicrosoftSentinelRole, sodass der Rollen-ARN
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.Geben Sie den Namen der erstellten SQS-Warteschlange ein. Der Standardname für diese Warteschlange lautet SentinelSQSQueue, daher lautet die URL
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.Wählen Sie Verbinden aus, um den Collector hinzuzufügen. Dadurch wird eine Datensammlungsregel für den Azure Monitor-Agent erstellt, um die Protokolle abzurufen und in der dedizierten AWSWAF-Tabelle in Ihrem Log Analytics-Arbeitsbereich zu erfassen.
Testen und Überwachen des Connectors
Nachdem der Connector eingerichtet wurde, wechseln Sie zur Seite Protokolle (oder zur Seite Erweiterte Suche im Defender-Portal), und führen Sie die folgende Abfrage aus. Wenn Sie Ergebnisse erhalten, funktioniert der Connector ordnungsgemäß.
AWSWAF | take 10Wenn Sie dies noch nicht getan haben, empfehlen wir Ihnen, die Integritätsüberwachung des Datenconnectors zu implementieren, damit Sie wissen können, wann Connectors keine Daten empfangen oder andere Probleme mit Connectors haben. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors.