Uw AWS-omgeving (Amazon Web Services) instellen om AWS-logboeken te verzamelen voor Microsoft Sentinel

Aws-connectors (Amazon Web Services) vereenvoudigen het proces van het verzamelen van logboeken van Amazon S3 (Simple Storage Service) en het opnemen ervan in Microsoft Sentinel. De connectors bieden hulpprogramma's waarmee u uw AWS-omgeving kunt configureren voor Microsoft Sentinel logboekverzameling.

In dit artikel vindt u een overzicht van de installatie van de AWS-omgeving die is vereist voor het verzenden van logboeken naar Microsoft Sentinel en koppelingen naar stapsgewijze instructies voor het instellen van uw omgeving en het verzamelen van AWS-logboeken met behulp van elke ondersteunde connector.

Overzicht van aws-omgevingsinstellingen

In dit diagram ziet u hoe u uw AWS-omgeving instelt om logboeken te verzenden naar Azure:

1. Maak een S3-opslagbucket (Simple Storage Service) en een SQS-wachtrij (Simple Queue Service) waarnaar de S3-bucket meldingen publiceert wanneer deze nieuwe logboeken ontvangt.

   Microsoft Sentinel connectors:

   • Controleer de SQS-wachtrij regelmatig op berichten die de paden naar nieuwe logboekbestanden bevatten.
   • Haal de bestanden op uit de S3-bucket op basis van het pad dat is opgegeven in de SQS-meldingen.

2. Maak een OIDC-web-id-provider (Open ID Connect) en voeg Microsoft Sentinel toe als een geregistreerde toepassing (door deze toe te voegen als een doelgroep).

   Microsoft Sentinel connectors gebruiken Microsoft Entra ID om te verifiëren bij AWS via OpenID Connect (OIDC) en een AWS IAM-rol aan te nemen.

   Belangrijk

   Als u al een OIDC Connect-provider hebt ingesteld voor Microsoft Defender voor Cloud, voegt u Microsoft Sentinel als doelgroep toe aan uw bestaande provider (Commercieel: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Probeer geen nieuwe OIDC-provider te maken voor Microsoft Sentinel.

3. Maak een AWS-rol om uw Microsoft Sentinel connectormachtigingen te verlenen voor toegang tot uw AWS S3-bucket en SQS-resources.

   1. Wijs het juiste IAM-machtigingenbeleid toe om de veronderstelde rol toegang te verlenen tot de resources.

   2. Configureer uw connectors om de veronderstelde rol en SQS-wachtrij te gebruiken die u hebt gemaakt om toegang te krijgen tot de S3-bucket en logboeken op te halen.

4. Configureer AWS-services om logboeken naar de S3-bucket te verzenden.

Handmatige installatie

Hoewel u de AWS-omgeving handmatig kunt instellen, zoals beschreven in deze sectie, raden we u ten zeerste aan de geautomatiseerde hulpprogramma's te gebruiken wanneer u AWS-connectors implementeert .

1. Een S3-bucket en SQS-wachtrij maken

1. Maak een S3-bucket waarnaar u de logboeken van uw AWS-services kunt verzenden: VPC, GuardDuty, CloudTrail of CloudWatch.

   Zie de instructies voor het maken van een S3-opslag bucket in de AWS-documentatie.

2. Maak een standaard SQS-berichtenwachtrij (Simple Queue Service) waarnaar de S3-bucket meldingen kan publiceren.

   Zie de instructies voor het maken van een standaard SQS-wachtrij (Simple Queue Service) in de AWS-documentatie.

3. Configureer uw S3-bucket om meldingsberichten te verzenden naar uw SQS-wachtrij.

   Zie de instructies voor het publiceren van meldingen naar uw SQS-wachtrij in de AWS-documentatie.

2. Een OIDC-web-id-provider (Open ID Connect) maken

Volg deze instructies in de AWS-documentatie:
OIDC-id-providers (OpenID Connect) maken.

3. Een aws-rol maken

1. Volg deze instructies in de AWS-documentatie:
   Een rol maken voor webidentiteit of OpenID Connect Federation.

   Parameter	Selectie/waarde	Opmerkingen
   Type vertrouwde entiteit	Webidentiteit	In plaats van standaard AWS-service.
   Id-provider	Commerciële: sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ Regering: sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	De provider die u in de vorige stap hebt gemaakt.
   Doelgroep	Commerciële: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e Regering: api://d4230588-5f84-4281-a9c7-2c15194b28f7	De doelgroep die u in de vorige stap hebt gedefinieerd voor de id-provider.
   Machtigingen om toe te wijzen	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy Ander beleid voor het opnemen van de verschillende typen AWS-servicelogboeken	Zie de pagina machtigingenbeleid voor AWS S3-connectoren in de Microsoft Sentinel GitHub-opslagplaats voor informatie over deze beleidsregels. Pagina machtigingenbeleid voor AWS Commercial S3-connector Pagina machtigingenbeleid voor AWS Government S3-connector
   Naam	"OIDC_MicrosoftSentinelRole"	Kies een betekenisvolle naam met een verwijzing naar Microsoft Sentinel. De naam moet het exacte voorvoegsel OIDC_bevatten. Anders kan de connector niet goed werken.

2. Bewerk het vertrouwensbeleid van de nieuwe rol en voeg een andere voorwaarde toe:
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   Belangrijk

   De waarde van de sts:RoleSessionName parameter moet het exacte voorvoegsel MicrosoftSentinel_hebben; anders werkt de connector niet goed.

   Het voltooide vertrouwensbeleid ziet er als volgt uit:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX is uw AWS-account-id.
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXis uw Microsoft Sentinel werkruimte-id.

   Het beleid bijwerken (opslaan) wanneer u klaar bent met bewerken.

AWS-services configureren om logboeken te exporteren naar een S3-bucket

Zie de gekoppelde documentatie voor Amazon Web Services voor instructies voor het verzenden van elk type logboek naar uw S3-bucket:

• Een VPC-stroomlogboek publiceren naar een S3-bucket.

  Opmerking

  Als u ervoor kiest om de indeling van het logboek aan te passen, moet u het kenmerk start opnemen, omdat dit wordt toegewezen aan het veld TimeGenerated in de Log Analytics-werkruimte. Anders wordt het veld TimeGenerated ingevuld met de opgenomen tijd van de gebeurtenis, waardoor de logboekgebeurtenis niet nauwkeurig wordt beschreven.

• Exporteer uw GuardDuty-bevindingen naar een S3-bucket.

  Opmerking

  • In AWS worden bevindingen standaard elke 6 uur geëxporteerd. Pas de exportfrequentie voor bijgewerkte actieve resultaten aan op basis van uw omgevingsvereisten. Als u het proces wilt versnellen, kunt u de standaardinstelling wijzigen om elke 15 minuten resultaten te exporteren. Zie De frequentie instellen voor het exporteren van bijgewerkte actieve bevindingen.

  • Het veld TimeGenerated wordt ingevuld met de waarde Update at van de bevinding.

• AWS CloudTrail-paden worden standaard opgeslagen in S3-buckets.

  • Maak een trail voor één account.
  • Maak een trail die meerdere accounts in een organisatie beslaat.

• Exporteer uw CloudWatch-logboekgegevens naar een S3-bucket.

4. AWS-connectors implementeren

Microsoft Sentinel biedt deze AWS-connectors:

• Amazon Web Services Web Application Firewall (WAF)-connector: neemt AWS WAF-logboeken op, verzameld in AWS S3-buckets, om Microsoft Sentinel.
• Amazon Web Services-servicelogboekconnector: neemt AWS-servicelogboeken op, verzameld in AWS S3-buckets, om Microsoft Sentinel.
• Amazon Web Services Elastic Kubernetes Service (EKS)-logboekconnector: neemt AWS EKS-auditlogboeken op, verzameld in AWS S3-buckets, om te Microsoft Sentinel.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.