Risolvere i problemi relativi al connettore AWS S3

Il connettore Amazon Web Services (AWS) S3 consente di inserire i log dei servizi AWS, raccolti in bucket AWS S3, per Microsoft Sentinel. I tipi di log attualmente supportati sono AWS CloudTrail, VPC Flow Logs e AWS GuardDuty.

Questo articolo descrive come identificare rapidamente la causa dei problemi che si verificano con il connettore AWS S3 in modo da trovare i passaggi necessari per risolvere i problemi.

Informazioni su come connettere Microsoft Sentinel ad Amazon Web Services per inserire i dati del log del servizio AWS.

Microsoft Sentinel non riceve dati dal connettore Amazon Web Services S3 o da uno dei relativi tipi di dati

I log per il connettore AWS S3 (o uno dei relativi tipi di dati) non sono visibili nell'area di lavoro Microsoft Sentinel per più di 30 minuti dopo la connessione del connettore.

Prima di cercare una causa e una soluzione, esaminare queste considerazioni:

• Possono essere necessari circa 20-30 minuti dal momento in cui il connettore è connesso fino a quando i dati non vengono inseriti nell'area di lavoro.
• Lo stato di connessione del connettore indica che esiste una regola di raccolta; non indica che i dati sono stati inseriti. Se lo stato del connettore Amazon Web Services S3 è verde, è presente una regola di raccolta per uno dei tipi di dati, ma non è ancora disponibile alcun dato.

Determinare la causa del problema

In questa sezione vengono illustrate le cause seguenti:

1. I criteri di autorizzazione del connettore AWS S3 non sono impostati correttamente.
2. I dati non sono inseriti nel bucket S3 in AWS.
3. Amazon Simple Queue Service (SQS) nel cloud AWS non riceve notifiche dal bucket S3.
4. I dati non possono essere letti da SQS/S3 nel cloud AWS. Con i log GuardDuty, il problema è causato da autorizzazioni del Servizio di gestione delle chiavi non valide.

Causa 1: i criteri di autorizzazione del connettore AWS S3 non sono impostati correttamente

Questo problema è causato da autorizzazioni non corrette nell'ambiente AWS.

Creare criteri di autorizzazione

Sono necessari criteri di autorizzazione per distribuire il connettore dati AWS S3. Esaminare le autorizzazioni necessarie e impostare le autorizzazioni pertinenti.

Causa 2: i dati rilevanti non esistono nel bucket S3

I log pertinenti non esistono nel bucket S3.

Soluzione: cercare i log ed esportarne i log, se necessario

1. In AWS aprire il bucket S3, cercare la cartella pertinente in base ai log necessari e verificare se sono presenti file di log all'interno della cartella.
2. Se i dati non esistono, si verifica un problema con la configurazione di AWS. In questo caso, è necessario configurare un servizio AWS per esportare i log in un bucket S3.

Causa 3: I dati S3 non sono arrivati al servizio SQS

I dati non sono stati trasferiti correttamente da S3 a SQS.

Soluzione: verificare che i dati arrivino e configurare le notifiche degli eventi

1. In AWS aprire il relativo SQS.
2. Nella scheda Monitoraggio dovrebbe essere visualizzato il traffico nel widget Numero di messaggi inviati . Se non c'è traffico in SQS, si verifica un problema di configurazione di AWS.
3. Assicurarsi che la definizione delle notifiche degli eventi per il servizio SQS includa i filtri dati corretti (prefisso e suffisso).
   1. Per visualizzare le notifiche degli eventi, nel bucket S3 selezionare la scheda Proprietà e individuare la sezione Notifiche evento .
   2. Se questa sezione non è visualizzata, crearla.
   3. Assicurarsi che il servizio SQS disponga dei criteri pertinenti per ottenere i dati dal bucket S3. Il servizio SQS deve contenere questo criterio nella scheda Criteri di accesso .

Causa 4: SQS non ha letto i dati

SQS non ha letto correttamente i dati S3.

Soluzione: verificare che il servizio SQS legga i dati

1. In AWS aprire il relativo SQS.

2. Nella scheda Monitoraggio verrà visualizzato il traffico nei widget Numero di messaggi eliminati e Numero di messaggi ricevuti .

3. Un picco di dati non è sufficiente. Attendere che i dati siano sufficienti (diversi picchi) e quindi verificare la presenza di problemi.

4. Se almeno uno dei widget è vuoto, controllare i log di integrità eseguendo questa query:

   SentinelHealth 
   | where TimeGenerated > ago(1d)
   | where SentinelResourceKind in ('AmazonWebServicesCloudTrail', 'AmazonWebServicesS3')
   | where OperationName == 'Data fetch failure summary'
   | mv-expand TypeOfFailureDuringHour = ExtendedProperties["FailureSummary"]
   | extend StatusCode = TypeOfFailureDuringHour["StatusCode"]
   | extend StatusMessage = TypeOfFailureDuringHour["StatusMessage"]
   | project SentinelResourceKind, SentinelResourceName, StatusCode, StatusMessage, SentinelResourceId, TypeOfFailureDuringHour, ExtendedProperties
   

5. Assicurarsi che la funzionalità di integrità sia abilitata:

   SentinelHealth 
   | take 20
   

6. Se la funzionalità di integrità non è abilitata, abilitarla.

I dati del connettore AWS S3 (o di uno dei relativi tipi di dati) vengono visualizzati in Microsoft Sentinel con un ritardo superiore a 30 minuti

Questo problema si verifica in genere quando Microsoft non è in grado di leggere i file nella cartella S3. Microsoft non è in grado di leggere i file perché sono crittografati o nel formato errato. In questi casi, molti tentativi alla fine causano un ritardo nell'inserimento.

Determinare la causa del problema

In questa sezione vengono illustrate le cause seguenti:

• La crittografia dei log non è configurata correttamente
• Le notifiche degli eventi non sono definite correttamente
• Errori di integrità o integrità disabilitata

Causa 1: La crittografia dei log non è configurata correttamente

Se i log sono completamente o parzialmente crittografati dal Servizio di gestione delle chiavi, Microsoft Sentinel potrebbe non disporre dell'autorizzazione per decrittografare i file.

Soluzione: controllare la crittografia dei log

Assicurarsi che Microsoft Sentinel disponga dell'autorizzazione per decrittografare i file da parte del Servizio di gestione delle chiavi. Esaminare le autorizzazioni del Servizio di gestione delle chiavi necessarie per i log GuardDuty e CloudTrail.

Causa 2: Le notifiche degli eventi non sono configurate correttamente

Quando si configura una notifica dell'evento Amazon S3, è necessario specificare a quali tipi di evento supportati Amazon S3 deve inviare la notifica. Se nel bucket Amazon S3 esiste un tipo di evento non specificato, Amazon S3 non invia la notifica.

Soluzione: verificare che le notifiche degli eventi siano definite correttamente

Per verificare che le notifiche degli eventi da S3 a SQS siano definite correttamente, verificare che:

• La notifica viene definita dalla cartella specifica che include i log e non dalla cartella principale che contiene il bucket.
• La notifica viene definita con il suffisso .gz . Ad esempio:

Causa 3: Errori di integrità o integrità disabilitata

Potrebbero verificarsi errori nei log di integrità o la funzionalità di integrità potrebbe non essere abilitata.

Soluzione: verificare che non siano presenti errori nei log di integrità e abilitare l'integrità

1. Verificare che non siano presenti errori nei log di integrità eseguendo questa query:

   SentinelHealth
   | where TimeGenerated between (ago(startTime)..ago(endTime))
   | where SentinelResourceKind  == "AmazonWebServicesS3"
   | where Status != "Success"
   | distinct TimeGenerated, OperationName, SentinelResourceName, Status, Description
   

2. Assicurarsi che la funzionalità di integrità sia abilitata:

   SentinelHealth 
   | take 20
   

3. Se la funzionalità di integrità non è abilitata, abilitarla.

   Per altre informazioni sugli elementi seguenti usati nell'esempio precedente, vedere la documentazione di Kusto:

   • operatore where
   • operatore extend
   • operatore di progetto
   • Operatore mv-expand
   • funzione ago()

   Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

   Altre risorse:

   • Riferimento rapido KQL
   • Linguaggio di query Kusto risorse di apprendimento

Passaggi successivi

In questo articolo si è appreso come identificare rapidamente le cause e risolvere i problemi comuni con il connettore AWS S3.

Siamo lieti di ricevere commenti, suggerimenti, richieste di funzionalità, report sui bug o miglioramenti e aggiunte. Passare al repository GitHub Microsoft Sentinel per creare un problema o un fork e caricare un contributo.