Connettere Microsoft Sentinel ad Amazon Web Services per inserire i log DI AWS WAF

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Usare il connettore di Web application firewall basato su Amazon Web Services (AWS) S3 (WAF) per inserire i log WAF AWS, raccolti in bucket AWS S3, per Microsoft Sentinel. I log WAF di AWS sono record dettagliati del traffico Web analizzato da AWS WAF in base agli elenchi di controllo di accesso Web (ACL). Questi record contengono informazioni quali l'ora in cui AWS WAF ha ricevuto la richiesta, le specifiche della richiesta e l'azione eseguita dalla regola corrispondente alla richiesta. Questi log e questa analisi sono essenziali per mantenere la sicurezza e le prestazioni delle applicazioni Web.

Questo connettore è dotato di uno script di onboarding basato su AWS CloudFormation per semplificare la creazione delle risorse AWS usate dal connettore.

Importante

Panoramica

Il connettore dati WAF di Amazon Web Services S3 gestisce i casi d'uso seguenti:

  • Monitoraggio della sicurezza e rilevamento delle minacce: Analizzare i log WAF di AWS per identificare e rispondere alle minacce alla sicurezza, ad esempio attacchi SQL injection e cross-site scripting (XSS). Inserendo questi log in Microsoft Sentinel, è possibile usare l'analisi avanzata e l'intelligence sulle minacce per rilevare e analizzare le attività dannose.

  • Conformità e controllo: I log WAF di AWS forniscono record dettagliati del traffico ACL Web, che può essere fondamentale per la creazione di report e il controllo della conformità. Il connettore garantisce che questi log siano disponibili all'interno Sentinel per semplificare l'accesso e l'analisi.

Questo articolo illustra come configurare il connettore WAF di Amazon Web Services S3. Il processo di configurazione ha due parti: il lato AWS e il lato Microsoft Sentinel. Il processo di ogni lato produce informazioni usate dall'altro lato. Questa autenticazione bidirezionale crea una comunicazione sicura.

Prerequisiti

  • È necessario disporre dell'autorizzazione di scrittura per l'area di lavoro Microsoft Sentinel.

  • Installare la soluzione Amazon Web Services dall'hub contenuti in Microsoft Sentinel. Se la versione 3.0.2 della soluzione (o versioni precedenti) è già installata, aggiornare la soluzione nell'hub del contenuto per assicurarsi di avere la versione più recente che include questo connettore. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.

Abilitare e configurare il connettore WAF di Amazon Web Services S3

Il processo di abilitazione e configurazione del connettore è costituito dalle attività seguenti:

  • Nell'ambiente AWS:

    La pagina del connettore WAF di Amazon Web Services S3 in Microsoft Sentinel contiene modelli di stack CLOUDFormation AWS scaricabili che automatizzano le attività AWS seguenti:

    • Configurare i servizi AWS per inviare i log a un bucket S3.

    • Creare una coda SQS (Simple Queue Service) per fornire la notifica.

    • Creare un provider di identità Web per autenticare gli utenti in AWS tramite OpenID Connect (OIDC).

    • Creare un ruolo assunto per concedere le autorizzazioni agli utenti autenticati dal provider di identità Web OIDC per accedere alle risorse AWS.

    • Allegare i criteri di autorizzazioni IAM appropriati per concedere l'accesso al ruolo assunto alle risorse appropriate (bucket S3, SQS).

  • In Microsoft Sentinel:

    • Configurare Amazon Web Services S3 WAF Connector nel portale di Microsoft Sentinel aggiungendo agenti di raccolta log che eseguono il polling della coda e recuperano i dati di log dal bucket S3. Vedere le istruzioni seguenti.

Configurare l'ambiente AWS

Per semplificare il processo di onboarding, la pagina connettore WAF di Amazon Web Services S3 in Microsoft Sentinel contiene modelli scaricabili da usare con il servizio AWS CloudFormation. Il servizio CloudFormation usa questi modelli per creare automaticamente stack di risorse in AWS. Questi stack includono le risorse stesse come descritto in questo articolo e le credenziali, le autorizzazioni e i criteri.

Nota

È consigliabile usare il processo di installazione automatica. Per i casi speciali, vedere le istruzioni di configurazione manuale.

Preparare i file modello

Per eseguire lo script per configurare l'ambiente AWS, seguire questa procedura:

  1. Nel portale di Azure, dal menu di spostamento Microsoft Sentinel espandere Configurazione e selezionare Connettori dati.

    Nel portale di Defender, dal menu di avvio rapido, espandere Microsoft Sentinel > Configurazione e selezionare Connettori dati.

  2. Selezionare Amazon Web Services S3 WAF dall'elenco dei connettori dati.

    Se il connettore non viene visualizzato, installare la soluzione Amazon Web Services dall'hub contenuti in Gestione dei contenuti in Microsoft Sentinel o aggiornare la soluzione alla versione più recente.

  3. Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.

    Screenshot della raccolta di connettori dati.

  4. Nella sezione Configurazione , sotto 1. AWS CloudFormation Deployment( Distribuzione di AWS CloudFormation), selezionare il collegamento AWS CloudFormation Stacks (Stack di modulo AWS ). Verrà visualizzata la console AWS in una nuova scheda del browser.

  5. Tornare alla scheda del portale in cui è Microsoft Sentinel aperto. Selezionare Scarica in Modello 1: Distribuzione dell'autenticazione OpenID Connect per scaricare il modello che crea il provider di identità Web OIDC. Il modello viene scaricato come file JSON nella cartella download designata.

    Nota

    Se si dispone già di un provider di identità Web OIDC, ignorare questo passaggio.

  6. Selezionare Scarica in Modello 2: Distribuzione delle risorse WAF AWS per scaricare il modello che crea le altre risorse AWS. Il modello viene scaricato come file JSON nella cartella download designata.

    Screenshot della pagina di configurazione del connettore WAF AWS S3.

Creare stack AWS CloudFormation

Tornare alla scheda del browser aws console, aperta alla pagina AWS CloudFormation per la creazione di uno stack.

Se non si è già connessi ad AWS, accedere ora e si è reindirizzati alla pagina AWS CloudFormation.

Creare il provider di identità Web OIDC

Importante

Se si dispone già del provider di identità Web OIDC della versione precedente del connettore AWS S3, ignorare questo passaggio e passare a Creare le risorse AWS rimanenti.
Se è già stato configurato un provider OIDC Connect per Microsoft Defender per cloud, aggiungere Microsoft Sentinel come gruppo di destinatari al provider esistente (Commerciale: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Per enti pubblici:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Non provare a creare un nuovo provider OIDC per Microsoft Sentinel.

Seguire le istruzioni nella pagina della console AWS per la creazione di un nuovo stack.

  1. Specificare un modello e caricare un file di modello.

  2. Selezionare Scegli file e individuare il file "Template 1_ OpenID connect authentication deployment.json" scaricato.

  3. Scegliere un nome per lo stack.

  4. Passare attraverso il resto del processo e creare lo stack.

Creare le risorse AWS rimanenti

  1. Tornare alla pagina stack AWS CloudFormation e creare un nuovo stack.

  2. Selezionare Scegli file e individuare il file "Modello 2_ risorse WAF AWS deployment.json" scaricato.

  3. Scegliere un nome per lo stack.

  4. Se richiesto, immettere l'ID area di lavoro Microsoft Sentinel. Per trovare l'ID area di lavoro:

    • Nel portale di Azure, nel menu di spostamento Microsoft Sentinel espandere Configurazione e selezionare Impostazioni. Selezionare la scheda Impostazioni area di lavoro e trovare l'ID area di lavoro nella pagina Dell'area di lavoro Log Analytics.

    • Nel portale di Defender, nel menu di avvio rapido, espandere Sistema e selezionare Impostazioni. Selezionare Microsoft Sentinel, quindi selezionare Impostazioni di Log Analytics in Impostazioni per [WORKSPACE_NAME]. Trovare l'ID area di lavoro nella pagina dell'area di lavoro Log Analytics, visualizzata in una nuova scheda del browser.

  5. Passare attraverso il resto del processo e creare lo stack.

Aggiungere agenti di raccolta log

Quando vengono creati tutti gli stack di risorse, tornare alla scheda del browser aperta alla pagina del connettore dati in Microsoft Sentinel e iniziare la seconda parte del processo di configurazione.

  1. Nella sezione Configurazione , in 2. Connettere nuovi agenti di raccolta, selezionare Aggiungi nuovo agente di raccolta.

    Screenshot della seconda parte della configurazione del connettore AWS.

  2. Immettere il ruolo ARN del ruolo IAM creato. Il nome predefinito per il ruolo è OIDC_MicrosoftSentinelRole, quindi il ruolo ARN sarà
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Immettere il nome della coda SQS creata. Il nome predefinito per questa coda è SentinelSQSQueue, quindi l'URL sarà
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Selezionare Connetti per aggiungere l'agente di raccolta. In questo modo viene creata una regola di raccolta dati per l'agente di monitoraggio Azure per recuperare i log e inserirli nella tabella AWSWAF dedicata nell'area di lavoro Log Analytics.

    Screenshot dell'aggiunta di un nuovo agente di raccolta per i log WAF.

Testare e monitorare il connettore

  1. Dopo aver configurato il connettore, passare alla pagina Log (o alla pagina Ricerca avanzata nel portale di Defender) ed eseguire la query seguente. Se si ottengono risultati, il connettore funziona correttamente.

    AWSWAF
| take 10

  2. Se non è già stato fatto, è consigliabile implementare il monitoraggio dell'integrità del connettore dati in modo da sapere quando i connettori non ricevono dati o altri problemi con i connettori. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati.

  • Last updated on