Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use el conector Elastic Kubernetes Service (EKS) basado en S3 de Amazon Web Services (AWS) para ingerir registros de auditoría de AWS EKS, recopilados en cubos de AWS S3, para Microsoft Sentinel. Los registros de auditoría de AWS EKS son registros detallados de solicitudes de servidor de API, decisiones de autenticación y actividades de clúster dentro de los clústeres de Kubernetes. Estos registros contienen información como el momento en que se recibió la solicitud, los detalles de la solicitud, el usuario que realiza la solicitud y la acción realizada. Este análisis de registros es esencial para mantener la seguridad y el cumplimiento de las aplicaciones en contenedores que se ejecutan en clústeres EKS.
Este conector incluye un script de incorporación basado en AWS CloudFormation para simplificar la creación de los recursos de AWS utilizados por el conector.
Importante
El conector de datos de Amazon Web Services S3 EKS está actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
-
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net
Información general
El conector de datos de Amazon Web Services S3 EKS atiende los siguientes casos de uso:
Supervisión de seguridad y detección de amenazas de Kubernetes: Analice los registros de auditoría de AWS EKS para ayudar a identificar y responder a amenazas de seguridad, como el acceso no autorizado, la escalación de privilegios y las llamadas API sospechosas dentro de los clústeres de Kubernetes. Al ingerir estos registros en Microsoft Sentinel, puede usar su análisis avanzado e inteligencia sobre amenazas para detectar e investigar actividades malintencionadas destinadas a las cargas de trabajo en contenedores.
Cumplimiento y auditoría para entornos en contenedores: Los registros de auditoría de AWS EKS proporcionan registros detallados de todas las interacciones del servidor de API, que son fundamentales para los informes de cumplimiento y la auditoría en entornos en contenedores. El conector garantiza que estos registros de auditoría estén disponibles en Microsoft Sentinel para facilitar el acceso y el análisis, lo que ayuda a cumplir los requisitos normativos de seguridad de los contenedores.
DevSecOps y gobernanza del clúster: Supervise las actividades de los desarrolladores, los patrones de acceso a recursos y los cambios de configuración dentro de los clústeres de EKS para garantizar una gobernanza y prácticas de seguridad adecuadas en los flujos de trabajo de DevSecOps.
En este artículo se explica cómo configurar el conector EKS de Amazon Web Services S3. El proceso de configuración tiene dos partes: la parte de AWS y la parte Microsoft Sentinel. El proceso de cada lado genera información usada por el otro lado. Esta autenticación bidireccional crea una comunicación segura.
Requisitos previos
Debe tener permiso de escritura en el área de trabajo de Microsoft Sentinel.
Instale la solución Amazon Web Services desde Content Hub en Microsoft Sentinel. Si ya instaló una versión anterior de la solución, actualice la solución en el centro de contenido para asegurarse de que tiene la versión más reciente que incluye este conector. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.
Debe tener un clúster de AWS EKS existente con el registro de auditoría habilitado o la capacidad de habilitar el registro de auditoría en el clúster de EKS durante el proceso de instalación.
Debe tener los permisos de AWS IAM adecuados para:
- Creación de roles y directivas de IAM
- Creación de cubos S3 y configuración de directivas de cubo
- Creación de colas de SQS y configuración de directivas de cola
- Creación de pilas de CloudFormation
- Configuración de los valores de registro del clúster de EKS
- Creación de flujos de entrega de Kinesis Data Firehose
- Creación de funciones lambda
Habilitación y configuración del conector de Amazon Web Services S3 EKS
Para habilitar y configurar el conector, realice las siguientes tareas:
En el entorno de AWS:
La página del conector de Amazon Web Services S3 EKS en Microsoft Sentinel proporciona plantillas de pila de AWS CloudFormation descargables que automatizan las siguientes tareas de AWS:
Configure el clúster de AWS EKS para enviar registros de auditoría a CloudWatch Logs.
Cree un flujo de entrega de Kinesis Data Firehose para transformar y entregar registros de CloudWatch a S3.
Cree un cubo S3 para almacenar los registros de auditoría procesados.
Cree una cola de Simple Queue Service (SQS) para proporcionar una notificación cuando se creen nuevos archivos de registro en S3.
Cree un proveedor de identidades web para autenticar a los usuarios en AWS a través de OpenID Connect (OIDC).
Cree un rol asumido para conceder permisos a los usuarios autenticados por el proveedor de identidades web de OIDC para acceder a los recursos de AWS.
Adjunte las directivas de permisos de IAM adecuadas para conceder al rol asumido acceso a los recursos adecuados (cubo S3, SQS).
Cree una función lambda para transformar los registros de auditoría de EKS en el formato esperado por Microsoft Sentinel.
En Microsoft Sentinel:
- Configure el conector EKS de Amazon Web Services S3 en el portal de Microsoft Sentinel agregando recopiladores de registros que sondean la cola de SQS y recuperan datos de registro del cubo S3. Consulte las instrucciones siguientes.
Configuración del entorno de AWS
Para simplificar el proceso de incorporación, la página del conector de Amazon Web Services S3 EKS en Microsoft Sentinel proporciona plantillas descargables para su uso con el servicio AWS CloudFormation. El servicio CloudFormation usa estas plantillas para crear automáticamente pilas de recursos en AWS. Estas pilas incluyen los recursos descritos en este artículo, junto con las credenciales, los permisos y las directivas.
Nota:
Use el proceso de configuración automática. Para casos especiales, consulte las instrucciones de configuración manual.
Preparación de los archivos de plantilla
Para ejecutar el script que configura el entorno de AWS, siga estos pasos:
En el Azure Portal, en el menú de navegación Microsoft Sentinel, expanda Configuración y seleccione Conectores de datos.
En el portal de Defender, en el menú inicio rápido, expanda Microsoft Sentinel > Configuración y seleccione Conectores de datos.
Seleccione Amazon Web Services S3 EKS en la lista de conectores de datos.
Si no ve el conector, instale la solución Amazon Web Services desde el centro de contenido en Administración de contenido en Microsoft Sentinel o actualice la solución a la versión más reciente.
En el panel de detalles del conector, seleccione Abrir página del conector.
En la sección Configuración , en 1. Implementación de AWS CloudFormation, seleccione el vínculo AWS CloudFormation Stacks . Esta acción abre la consola de AWS en una nueva pestaña del explorador.
Vuelva a la pestaña del portal donde tiene Microsoft Sentinel abierto. Seleccione Descargar en Plantilla 1: Implementación de autenticación de OpenID Connect para descargar la plantilla que crea el proveedor de identidades web OIDC. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.
Nota:
Si ya tiene un proveedor de identidades web OIDC de una configuración anterior del conector de AWS, omita este paso.
Seleccione Descargar en Plantilla 2: Implementación de recursos de AWS EKS para descargar la plantilla que crea los demás recursos de AWS. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.
Creación de pilas de AWS CloudFormation
Vuelva a la pestaña del explorador de la consola de AWS, que está abierta en la página de AWS CloudFormation para crear una pila.
Si aún no ha iniciado sesión en AWS, inicie sesión ahora. Se le redirigirá a la página AWS CloudFormation.
Creación del proveedor de identidades web de OIDC
Importante
Si ya tiene el proveedor de identidades web OIDC de una configuración anterior del conector de AWS, omita este paso y vaya a Creación de los recursos de AWS restantes.
Si ya tiene un proveedor de OIDC Connect configurado para Microsoft Defender for Cloud, agregue Microsoft Sentinel como audiencia al proveedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). No intente crear un nuevo proveedor OIDC para Microsoft Sentinel.
Siga las instrucciones de la página consola de AWS para crear una nueva pila.
Especifique una plantilla y cargue un archivo de plantilla.
Seleccione Choose file (Elegir archivo ) y busque el archivo template 1: OpenID connect authentication deployment.json que descargó.
Elija un nombre para la pila.
Avance por el resto del proceso y cree la pila.
Creación de los recursos restantes de AWS
Vuelva a la página pilas de AWS CloudFormation y cree una nueva pila.
Seleccione Choose file (Elegir archivo ) y busque el archivo Template 2: AWS EKS resources (Plantilla 2: recursos de AWS EKS) deployment.json archivo que descargó.
Elija un nombre para la pila.
Cuando se le solicite, escriba los parámetros siguientes:
- EKSClusterName: escriba el nombre del clúster EKS existente.
-
Microsoft Sentinel identificador del área de trabajo: para buscar el identificador del área de trabajo:
- En el Azure Portal, en el menú de navegación Microsoft Sentinel, expanda Configuración y seleccione Configuración. Seleccione la pestaña Configuración del área de trabajo y busque el identificador del área de trabajo en la página área de trabajo de Log Analytics.
- En el portal de Defender, en el menú inicio rápido, expanda Sistema y seleccione Configuración. Seleccione Microsoft Sentinel y, a continuación, seleccione Configuración de Log Analytics en Configuración para
[WORKSPACE_NAME]. Busque el identificador del área de trabajo en la página del área de trabajo de Log Analytics, que se abre en una nueva pestaña del explorador.
- BucketName: escriba un nombre único para el bucket de S3 donde se almacenan los registros de auditoría de EKS.
- SentinelSQSQueueName: escriba un nombre para la cola de SQS (valor predeterminado: MicrosoftSentinelEKSSqs).
- AwsRoleName: escriba un nombre para el rol iam (debe empezar por "OIDC_", valor predeterminado: OIDC_MicrosoftSentinelRoleEKS).
Avance por el resto del proceso y cree la pila.
Una vez completada la creación de la pila, vaya a la sección Salidas de la pila de CloudFormation y anote los valores siguientes:
- SentinelRoleArn: el ARN del rol de IAM creado para Microsoft Sentinel acceso.
- SentinelSQSQueueURL: dirección URL de la cola de SQS.
- Step1EnableEKSAuditLogging: comando de la CLI de AWS para habilitar el registro de auditoría de EKS.
- Step2CreateSubscriptionFilter: comando de la CLI de AWS para crear el filtro de suscripción de CloudWatch Logs.
Habilitación del registro de auditoría de EKS y configuración del streaming de registros
Después de crear las pilas de CloudFormation, habilite el registro de auditoría en el clúster de EKS y configure el streaming de registros:
Si el registro de auditoría aún no está habilitado en el clúster de EKS, ejecute el comando proporcionado en la salida Step1EnableEKSAuditLogging desde la pila de CloudFormation.
Espere unos cinco minutos a que los registros de auditoría empiecen a aparecer en CloudWatch Logs.
Ejecute el comando proporcionado en la salida Step2CreateSubscriptionFilter para crear un filtro de suscripción que transmita los registros de auditoría de CloudWatch al flujo de entrega de Kinesis Data Firehose.
La función Lambda transforma automáticamente los registros de auditoría de EKS en el formato esperado por Microsoft Sentinel y los entrega a S3, donde desencadenan notificaciones de SQS para la ingesta.
Adición de recopiladores de registros
Al crear las pilas de recursos y configurar el registro de auditoría de EKS, vuelva a la pestaña del explorador abierta en la página del conector de datos de Microsoft Sentinel e inicie la segunda parte del proceso de configuración.
En la sección Configuración , en 2. Conecte nuevos recopiladores y seleccione Agregar nuevo recopilador.
Escriba el ARN del rol de IAM que ha creado. Use el valor de la salida SentinelRoleArn de la pila de CloudFormation (por ejemplo,
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRoleEKS).Escriba la dirección URL de la cola de SQS que ha creado. Use el valor de la salida SentinelSQSQueueURL de la pila de CloudFormation (por ejemplo,
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/MicrosoftSentinelEKSSqs).Seleccione Conectar para agregar el recopilador. Esta acción crea una regla de recopilación de datos para que el agente de Azure Monitor recupere los registros e ingerirlos en la tabla de AWSEKSLogs_CL dedicada en el área de trabajo de Log Analytics.
Comprobación de la ingesta de datos
Después de configurar el conector, vaya a la página Registros (o a la página Búsqueda avanzada en el portal de Defender) y ejecute la siguiente consulta. Si obtiene resultados, el conector funciona correctamente.
AWSEKSLogs_CL | take 10También puede ejecutar consultas más específicas para explorar los datos de auditoría de EKS.
// View recent EKS audit events by verb (API action) AWSEKSLogs_CL | where TimeGenerated > ago(1h) | summarize count() by Verb | order by count_ desc// Monitor authentication decisions AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where AuthDecision != "" | summarize count() by AuthDecision, User | order by count_ desc// Track failed requests (non-200 response codes) AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where ResponseCode != 200 | project TimeGenerated, User, Verb, ObjectRef, ResponseCode, SourceIPs | order by TimeGenerated desc
Referencia del esquema
La ingesta de registros de auditoría de EKS en la tabla de AWSEKSLogs_CL con el esquema siguiente:
| Column | Tipo | Description |
|---|---|---|
| TimeGenerated | datetime | Hora en que se generó el evento de auditoría |
| AwsAccountId | string | Id. de cuenta de AWS donde se encuentra el clúster de EKS |
| Región | string | Región de AWS donde se encuentra el clúster de EKS |
| ClusterName | string | Nombre del clúster de EKS |
| Verbo | string | Verbo HTTP asociado a la solicitud de API (GET, POST, PUT, DELETE, etc.) |
| Usuario | string | Información sobre el usuario que realiza la solicitud |
| SourceIPs | dinámico | Matriz de direcciones IP de origen desde las que se originó la solicitud |
| UserAgent | string | Cadena de agente de usuario del cliente que realiza la solicitud |
| ObjectRef | string | Referencia al objeto de Kubernetes al que se accede |
| ResponseCode | Entero | Código de respuesta HTTP para la solicitud de API |
| Etapa | string | Fase del procesamiento de solicitudes (RequestReceived, ResponseStarted, ResponseComplete, Panic) |
| AuthDecision | string | Decisión de autorización tomada por el servidor de API |
| RawEvent | dinámico | Completar datos de eventos de auditoría sin procesar para el análisis avanzado |
Solución de problemas
Problemas y soluciones comunes
No aparece ningún dato en AWSEKSLogs_CL tabla:
- Compruebe que el registro de auditoría de EKS está habilitado en el clúster.
- Compruebe que el filtro de suscripción de CloudWatch Logs está configurado correctamente.
- Asegúrese de que la función lambda procesa los registros sin errores. Consulte CloudWatch Logs para ver los registros de funciones lambda.
- Compruebe que las notificaciones de cubo de S3 están configuradas correctamente para desencadenar mensajes de SQS.
Se produce un error en la creación de la pila de CloudFormation:
- Asegúrese de que tiene suficientes permisos de IAM para crear todos los recursos necesarios.
- Compruebe que el nombre del clúster de EKS que proporcionó existe en su cuenta.
- Compruebe que el nombre del cubo de S3 es único globalmente.
Errores de autenticación:
- Compruebe que el proveedor de identidades web OIDC está configurado correctamente.
- Asegúrese de que los permisos de rol de IAM son suficientes para acceder a los recursos S3 y SQS.
- Compruebe que el identificador del área de trabajo que se usa en la plantilla de CloudFormation coincide con el área de trabajo de Microsoft Sentinel.
Supervisión avanzada
Si aún no lo ha hecho, implemente la supervisión del estado del conector de datos para que pueda saber cuándo los conectores no reciben datos o si tienen otros problemas. Para obtener más información, consulte Supervisión del estado de los conectores de datos.
Pasos siguientes
En este documento, ha aprendido a conectar los registros de auditoría de AWS EKS a Microsoft Sentinel para una supervisión de seguridad completa de Kubernetes. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.
- Obtenga información sobre las soluciones de Microsoft Sentinel para la seguridad de contenedores.