Configuración del entorno de Amazon Web Services (AWS) para recopilar registros de AWS para Microsoft Sentinel

Los conectores de Amazon Web Services (AWS) simplifican el proceso de recopilación de registros de Amazon S3 (Simple Storage Service) e ingerirlos en Microsoft Sentinel. Los conectores proporcionan herramientas que le ayudarán a configurar el entorno de AWS para Microsoft Sentinel recopilación de registros.

En este artículo se describe la configuración del entorno de AWS necesaria para enviar registros a Microsoft Sentinel y vínculos a instrucciones paso a paso para configurar el entorno y recopilar registros de AWS mediante cada conector compatible.

Introducción a la configuración del entorno de AWS

En este diagrama se muestra cómo configurar el entorno de AWS para enviar registros a Azure:

Captura de pantalla de una arquitectura de conector de W S S 3.

Cree un depósito de almacenamiento S3 (Simple Storage Service) y una cola de Simple Queue Service (SQS) en la que el bucket de S3 publique notificaciones cuando reciba nuevos registros.

conectores de Microsoft Sentinel:
- Sondee la cola de SQS, a intervalos frecuentes, para los mensajes, que contienen las rutas de acceso a los nuevos archivos de registro.
- Capture los archivos del cubo S3 en función de la ruta de acceso especificada en las notificaciones de SQS.
Cree un proveedor de identidades web de Open ID Connect (OIDC) y agregue Microsoft Sentinel como una aplicación registrada (agregándola como audiencia).

los conectores de Microsoft Sentinel usan Microsoft Entra ID para autenticarse con AWS a través de OpenID Connect (OIDC) y asumir un rol de AWS IAM.

Importante

Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como audiencia al proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor OIDC para Microsoft Sentinel.
Cree un rol asumido por AWS para conceder a su conector de Microsoft Sentinel permisos para acceder a los recursos de SQS y bucket de AWS S3.
1. Asigne las directivas de permisos de IAM adecuadas para conceder al rol asumido acceso a los recursos.
2. Configure los conectores para que usen el rol asumido y la cola de SQS que creó para acceder al bucket de S3 y recuperar registros.
Configure los servicios de AWS para enviar registros al bucket de S3.

Configuración manual

Aunque puede configurar el entorno de AWS manualmente, como se describe en esta sección, se recomienda encarecidamente usar las herramientas automatizadas proporcionadas al implementar conectores de AWS en su lugar.

1. Creación de un cubo S3 y una cola de SQS

Cree un bucket de S3 al que pueda enviar los registros desde sus servicios de AWS: VPC, GuardDuty, CloudTrail o CloudWatch.

Consulte las instrucciones para crear un cubo de almacenamiento S3 en la documentación de AWS.
Cree una cola de mensajes estándar de Simple Queue Service (SQS) en la que el cubo de S3 pueda publicar notificaciones.

Consulte las instrucciones para crear una cola estándar de Simple Queue Service (SQS) en la documentación de AWS.
Configure el bucket de S3 para enviar mensajes de notificación a la cola de SQS.

Consulte las instrucciones para publicar notificaciones en la cola de SQS en la documentación de AWS.

2. Creación de un proveedor de identidades web de Open ID Connect (OIDC)

Importante

Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como audiencia al proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor OIDC para Microsoft Sentinel.

Siga estas instrucciones en la documentación de AWS:
Creación de proveedores de identidades de OpenID Connect (OIDC).

Parámetro	Selección/valor	Comentarios
Id. de cliente	-	Omita esto, ya lo tiene. Consulta Audiencia.
Tipo de proveedor	OpenID Connect	En lugar de SAML predeterminado.
Dirección URL del proveedor	Comercial: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Administración pública: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
Huella digital	`626d44e704d1ceabe3bf0d53397464ac8080142c`	Si se crea en la consola de IAM, la selección de Obtener huella digital debería proporcionar este resultado.
Público	Comercial: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Administración pública: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. Creación de un rol asumido por AWS

Importante

El nombre debe incluir el prefijo OIDC_exacto; de lo contrario, el conector no puede funcionar correctamente.

Siga estas instrucciones en la documentación de AWS:
Crear un rol para la identidad web o la federación de OpenID Connect.

Parámetro	Selección/valor	Comentarios
Tipo de entidad de confianza	Identidad web	En lugar del servicio de AWS predeterminado.
Proveedor de identidad	Comercial: `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` Administración pública: `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	Proveedor que creó en el paso anterior.
Público	Comercial: `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` Administración pública: `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	La audiencia que definió para el proveedor de identidades en el paso anterior.
Permisos para asignar	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` Otras directivas para ingerir los distintos tipos de registros de servicio de AWS	Para obtener información sobre estas directivas, consulte la página de directivas de permisos del conector de AWS S3 pertinente, en el repositorio de GitHub de Microsoft Sentinel. Página de directivas de permisos del conector de AWS Commercial S3 Página de directivas de permisos del conector de AWS Government S3
Nombre	"OIDC_MicrosoftSentinelRole"	Elija un nombre significativo que incluya una referencia a Microsoft Sentinel. El nombre debe incluir el prefijo `OIDC_`exacto; de lo contrario, el conector no puede funcionar correctamente.

Edite la directiva de confianza del nuevo rol y agregue otra condición:
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Importante

El valor del sts:RoleSessionName parámetro debe tener el prefijo MicrosoftSentinel_exacto; de lo contrario, el conector no funciona correctamente.

La directiva de confianza finalizada debe tener este aspecto:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX es el identificador de la cuenta de AWS.
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXes el identificador del área de trabajo de Microsoft Sentinel.
Actualice (guarde) la directiva cuando haya terminado de editarla.

Configuración de servicios de AWS para exportar registros a un bucket de S3

Consulte la documentación de Amazon Web Services vinculada para obtener instrucciones para enviar cada tipo de registro al bucket de S3:

Publique un registro de flujo de VPC en un depósito S3.

Nota:

Si decide personalizar el formato del registro, debe incluir el atributo start , ya que se asigna al campo TimeGenerated del área de trabajo de Log Analytics. De lo contrario, el campo TimeGenerated se rellena con la hora ingerida del evento, que no describe con precisión el evento de registro.
Exporte los resultados de GuardDuty a un cubo S3.
Nota:
- En AWS, los resultados se exportan de forma predeterminada cada 6 horas. Ajuste la frecuencia de exportación de los resultados activos actualizados en función de los requisitos del entorno. Para acelerar el proceso, puede modificar la configuración predeterminada para exportar los resultados cada 15 minutos. Consulte Establecimiento de la frecuencia para exportar los resultados activos actualizados.
- El campo TimeGenerated se rellena con la actualización en el valor de la búsqueda.
Los seguimientos de AWS CloudTrail se almacenan en cubos S3 de forma predeterminada.
- Cree un registro de seguimiento para una sola cuenta.
- Cree un registro de seguimiento que abarque varias cuentas en una organización.
Exporte los datos de registro de CloudWatch a un cubo S3.

4. Implementación de conectores de AWS

Microsoft Sentinel proporciona estos conectores de AWS:

Conector de Amazon Web Services Web Application Firewall (WAF): ingiere registros de AWS WAF, recopilados en cubos de AWS S3, para Microsoft Sentinel.
Conector de registro de servicio de Amazon Web Services: ingiere registros de servicio de AWS, recopilados en cubos de AWS S3, para Microsoft Sentinel.
Conector de registro de Elastic Kubernetes Service (EKS) de Amazon Web Services: ingiere registros de auditoría de AWS EKS, recopilados en cubos de AWS S3, para Microsoft Sentinel.

Pasos siguientes

Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
Empiece a detectar amenazas con Microsoft Sentinel.
Use libros para supervisar los datos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23