Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik de EKS-connector (Elastic Kubernetes Service) op basis van Amazon Web Services (AWS) S3 om AWS EKS-auditlogboeken, verzameld in AWS S3-buckets, op te nemen om te Microsoft Sentinel. AWS EKS-auditlogboeken zijn gedetailleerde records van API-serveraanvragen, verificatiebeslissingen en clusteractiviteiten binnen uw Kubernetes-clusters. Deze records bevatten informatie zoals het tijdstip waarop de aanvraag is ontvangen, de details van de aanvraag, de gebruiker die de aanvraag indient en de uitgevoerde actie. Deze logboekanalyse is essentieel voor het onderhouden van de beveiliging en naleving van toepassingen in containers die worden uitgevoerd op EKS-clusters.
Deze connector beschikt over een onboardingscript op basis van AWS CloudFormation om het maken van de AWS-resources die door de connector worden gebruikt te stroomlijnen.
Belangrijk
De Amazon Web Services S3 EKS-gegevensconnector is momenteel in preview. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
-
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.
Overzicht
De Amazon Web Services S3 EKS-gegevensconnector dient voor de volgende use cases:
Kubernetes-beveiligingsbewaking en detectie van bedreigingen: Analyseer AWS EKS-auditlogboeken om beveiligingsrisico's te identificeren en erop te reageren, zoals onbevoegde toegang, escalatie van bevoegdheden en verdachte API-aanroepen binnen uw Kubernetes-clusters. Door deze logboeken op te nemen in Microsoft Sentinel, kunt u de geavanceerde analyses en bedreigingsinformatie gebruiken om schadelijke activiteiten te detecteren en te onderzoeken die gericht zijn op uw containerworkloads.
Naleving en controle voor containeromgevingen: AWS EKS-auditlogboeken bieden gedetailleerde records van alle API-serverinteracties, die cruciaal zijn voor nalevingsrapportage en controledoeleinden in containeromgevingen. De connector zorgt ervoor dat deze auditlogboeken beschikbaar zijn in Microsoft Sentinel voor eenvoudige toegang en analyse, waardoor wordt voldaan aan wettelijke vereisten voor containerbeveiliging.
DevSecOps en clusterbeheer: Bewaak activiteiten van ontwikkelaars, patronen voor resourcetoegang en configuratiewijzigingen binnen uw EKS-clusters om de juiste governance- en beveiligingsprocedures in uw DevSecOps-werkstromen te garanderen.
In dit artikel wordt uitgelegd hoe u de Amazon Web Services S3 EKS-connector configureert. Het installatieproces bestaat uit twee delen: de AWS-zijde en de Microsoft Sentinel kant. Het proces van elke kant produceert informatie die door de andere kant wordt gebruikt. Deze verificatie in twee richtingen zorgt voor veilige communicatie.
Vereisten
U moet schrijfmachtigingen hebben voor de Microsoft Sentinel werkruimte.
Installeer de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Als u al een eerdere versie van de oplossing hebt geïnstalleerd, werkt u de oplossing bij in de inhoudshub om ervoor te zorgen dat u de nieuwste versie hebt die deze connector bevat. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
U moet een bestaand AWS EKS-cluster hebben met auditlogboekregistratie ingeschakeld of de mogelijkheid om auditlogboekregistratie in te schakelen op uw EKS-cluster tijdens het installatieproces.
U moet de juiste AWS IAM-machtigingen hebben om het volgende te kunnen doen:
- IAM-rollen en -beleid maken
- S3-buckets maken en bucketbeleid configureren
- SQS-wachtrijen maken en wachtrijbeleid configureren
- CloudFormation-stacks maken
- Instellingen voor logboekregistratie van EKS-clusters configureren
- Kinesis Data Firehose-leveringsstromen maken
- Lambda-functies maken
De Amazon Web Services S3 EKS-connector inschakelen en configureren
Voer de volgende taken uit om de connector in te schakelen en te configureren:
In uw AWS-omgeving:
De pagina Amazon Web Services S3 EKS-connector in Microsoft Sentinel biedt downloadbare AWS CloudFormation-stacksjablonen waarmee de volgende AWS-taken worden geautomatiseerd:
Configureer uw AWS EKS-cluster om auditlogboeken te verzenden naar CloudWatch-logboeken.
Maak een Kinesis Data Firehose-leveringsstroom om logboeken van CloudWatch naar S3 te transformeren en te leveren.
Maak een S3-bucket om de verwerkte auditlogboeken op te slaan.
Maak een SQS-wachtrij (Simple Queue Service) om een melding te geven wanneer er nieuwe logboekbestanden worden gemaakt in S3.
Maak een web-id-provider om gebruikers te verifiëren bij AWS via OpenID Connect (OIDC).
Maak een veronderstelde rol om machtigingen te verlenen aan gebruikers die zijn geverifieerd door de OIDC-web-id-provider voor toegang tot uw AWS-resources.
Koppel het juiste IAM-machtigingenbeleid om de veronderstelde rol toegang te verlenen tot de juiste resources (S3-bucket, SQS).
Maak een Lambda-functie om EKS-auditlogboeken te transformeren in de indeling die door Microsoft Sentinel wordt verwacht.
In Microsoft Sentinel:
- Configureer de Amazon Web Services S3 EKS Connector in de Microsoft Sentinel portal door logboekverzamelaars toe te voegen die de SQS-wachtrij peilen en logboekgegevens ophalen uit de S3-bucket. Zie de onderstaande instructies.
De AWS-omgeving instellen
Om het onboardingproces te vereenvoudigen, biedt de pagina Amazon Web Services S3 EKS-connector in Microsoft Sentinel downloadbare sjablonen voor gebruik met de AWS CloudFormation-service. De CloudFormation-service gebruikt deze sjablonen om automatisch resourcestacks te maken in AWS. Deze stacks bevatten de resources die in dit artikel worden beschreven, samen met referenties, machtigingen en beleidsregels.
Opmerking
Gebruik het automatische installatieproces. Zie de instructies voor handmatige installatie voor speciale gevallen.
De sjabloonbestanden voorbereiden
Voer de volgende stappen uit om het script uit te voeren waarmee de AWS-omgeving wordt ingesteld:
Vouw in het Azure Portal in het navigatiemenu Microsoft Sentinel Configuratie uit en selecteer Gegevensconnectors.
Vouw in de Defender-portal in het snelstartmenu Microsoft Sentinel > Configuratie uit en selecteer Gegevensconnectors.
Selecteer Amazon Web Services S3 EKS in de lijst met gegevensconnectors.
Als u de connector niet ziet, installeert u de Amazon Web Services-oplossing vanuit de inhoudshub onder Inhoudsbeheer in Microsoft Sentinel of werkt u de oplossing bij naar de nieuwste versie.
Selecteer in het detailvenster van de connector de optie Connectorpagina openen.
In de sectie Configuratie onder 1. AWS CloudFormation Deployment selecteert u de koppeling AWS CloudFormation Stacks . Met deze actie wordt de AWS-console geopend in een nieuw browsertabblad.
Ga terug naar het tabblad van de portal waar u Microsoft Sentinel geopend. Selecteer Downloaden onder Sjabloon 1: Implementatie van OpenID Connect-verificatie om de sjabloon te downloaden waarmee de OIDC-web-id-provider wordt gemaakt. De sjabloon wordt gedownload als een JSON-bestand naar uw aangewezen downloadmap.
Opmerking
Als u al een OIDC-web-id-provider hebt van een eerdere AWS-connectorinstallatie, slaat u deze stap over.
Selecteer Downloaden onder Sjabloon 2: implementatie van AWS EKS-resources om de sjabloon te downloaden waarmee de andere AWS-resources worden gemaakt. De sjabloon wordt gedownload als een JSON-bestand naar uw aangewezen downloadmap.
AWS CloudFormation-stacks maken
Ga terug naar het browsertabblad AWS Console, dat is geopend op de pagina AWS CloudFormation voor het maken van een stack.
Als u nog niet bent aangemeld bij AWS, meldt u zich nu aan. U wordt omgeleid naar de pagina AWS CloudFormation.
De OIDC-web-id-provider maken
Belangrijk
Als u al de OIDC-web-id-provider van een eerdere AWS-connector hebt ingesteld, slaat u deze stap over en gaat u verder met Het maken van de resterende AWS-resources.
Als u al een OIDC Connect-provider hebt ingesteld voor Microsoft Defender voor Cloud, voegt u Microsoft Sentinel als doelgroep toe aan uw bestaande provider (Commercieel: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Probeer geen nieuwe OIDC-provider te maken voor Microsoft Sentinel.
Volg de instructies op de pagina AWS-console voor het maken van een nieuwe stack.
Geef een sjabloon op en upload een sjabloonbestand.
Selecteer Bestand kiezen en zoek de sjabloon 1: OpenID connect authentication deployment.json bestand dat u hebt gedownload.
Kies een naam voor de stack.
Doorloop de rest van het proces en maak de stack.
De resterende AWS-resources maken
Ga terug naar de pagina AWS CloudFormation-stacks en maak een nieuwe stack.
Selecteer Bestand kiezen en zoek de sjabloon 2: AWS EKS-resources deployment.json bestand dat u hebt gedownload.
Kies een naam voor de stack.
Voer de volgende parameters in wanneer u hierom wordt gevraagd:
- EKSClusterName: voer de naam van uw bestaande EKS-cluster in.
-
Microsoft Sentinel werkruimte-id: ga als volgende te werk om uw werkruimte-id te vinden:
- Vouw in het Azure Portal in het navigatiemenu Microsoft Sentinel Configuratie uit en selecteer Instellingen. Selecteer het tabblad Werkruimte-instellingen en zoek de werkruimte-id op de pagina log analytics-werkruimte.
- Vouw in de Defender-portal in het snelstartmenu Systeem uit en selecteer Instellingen. Selecteer Microsoft Sentinel en selecteer vervolgens Log Analytics-instellingen onder Instellingen voor
[WORKSPACE_NAME]. Zoek de werkruimte-id op de log analytics-werkruimtepagina, die wordt geopend in een nieuw browsertabblad.
- BucketName: voer een unieke naam in voor de S3-bucket waarin EKS-auditlogboeken worden opgeslagen.
- SentinelSQSQueueName: voer een naam in voor de SQS-wachtrij (standaard: MicrosoftSentinelEKSSqs).
- AwsRoleName: voer een naam in voor de IAM-rol (moet beginnen met 'OIDC_', standaard: OIDC_MicrosoftSentinelRoleEKS).
Doorloop de rest van het proces en maak de stack.
Nadat het maken van de stack is voltooid, gaat u naar de sectie Outputs van de CloudFormation-stack en noteert u de volgende waarden:
- SentinelRoleArn: de ARN van de IAM-rol die is gemaakt voor Microsoft Sentinel toegang.
- SentinelSQSQueueURL: de URL van de SQS-wachtrij.
- Stap 1EnableEKSAuditLogging: AWS CLI-opdracht om EKS-auditlogboekregistratie in te schakelen.
- Step2CreateSubscriptionFilter: AWS CLI-opdracht om het abonnementsfilter CloudWatch Logs te maken.
EKS-auditlogboekregistratie inschakelen en logboekstreaming configureren
Nadat u de CloudFormation-stacks hebt gemaakt, schakelt u auditlogboekregistratie in op uw EKS-cluster en configureert u logboekstreaming:
Als auditlogboekregistratie nog niet is ingeschakeld op uw EKS-cluster, voert u de opdracht uit in de uitvoer Step1EnableEKSAuditLogging van de CloudFormation-stack.
Wacht ongeveer vijf minuten totdat auditlogboeken worden weergegeven in CloudWatch-logboeken.
Voer de opdracht uit in de step2CreateSubscriptionFilter-uitvoer om een abonnementsfilter te maken waarmee auditlogboeken van CloudWatch worden gestreamd naar de Kinesis Data Firehose-leveringsstroom.
De lambda-functie transformeert de EKS-auditlogboeken automatisch in de indeling die Microsoft Sentinel verwacht en levert deze naar S3, waar ze SQS-meldingen voor opname activeren.
Logboekverzamelaars toevoegen
Wanneer u de resourcestacks maakt en EKS-auditlogboekregistratie configureert, gaat u terug naar het browsertabblad dat is geopend naar de pagina gegevensconnector in Microsoft Sentinel en begint u met het tweede deel van het configuratieproces.
In de sectie Configuratie onder 2. Nieuwe collectoren verbinden, selecteer Nieuwe collector toevoegen.
Voer de arn van de rol in van de IAM-rol die u hebt gemaakt. Gebruik de waarde uit de SentinelRoleArn-uitvoer van uw CloudFormation-stack (bijvoorbeeld
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRoleEKS).Voer de SQS-wachtrij-URL in die u hebt gemaakt. Gebruik de waarde van de SentinelSQSQueueURL-uitvoer van uw CloudFormation-stack (bijvoorbeeld
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/MicrosoftSentinelEKSSqs).Selecteer Verbinding maken om de collector toe te voegen. Met deze actie maakt u een regel voor het verzamelen van gegevens voor de Azure Monitor Agent om de logboeken op te halen en op te nemen in de toegewezen AWSEKSLogs_CL tabel in uw Log Analytics-werkruimte.
Gegevensopname controleren
Nadat u de connector hebt ingesteld, gaat u naar de pagina Logboeken (of de pagina Geavanceerde opsporing in de Defender-portal) en voert u de volgende query uit. Als u resultaten krijgt, werkt de connector goed.
AWSEKSLogs_CL | take 10U kunt ook specifiekere query's uitvoeren om uw EKS-auditgegevens te verkennen.
// View recent EKS audit events by verb (API action) AWSEKSLogs_CL | where TimeGenerated > ago(1h) | summarize count() by Verb | order by count_ desc// Monitor authentication decisions AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where AuthDecision != "" | summarize count() by AuthDecision, User | order by count_ desc// Track failed requests (non-200 response codes) AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where ResponseCode != 200 | project TimeGenerated, User, Verb, ObjectRef, ResponseCode, SourceIPs | order by TimeGenerated desc
Schemareferentie
De EKS-auditlogboeken worden opgenomen in de AWSEKSLogs_CL tabel met het volgende schema:
| Kolom | Type | Beschrijving |
|---|---|---|
| TimeGenerated | Datetime | Het tijdstip waarop de controlegebeurtenis is gegenereerd |
| AwsAccountId | tekenreeks | AWS-account-id waar het EKS-cluster zich bevindt |
| Regio | tekenreeks | AWS-regio waar het EKS-cluster zich bevindt |
| ClusterNaam | tekenreeks | Naam van het EKS-cluster |
| Werkwoord | tekenreeks | Het HTTP-werkwoord dat is gekoppeld aan de API-aanvraag (GET, POST, PUT, DELETE, enzovoort) |
| Gebruiker | tekenreeks | Informatie over de gebruiker die de aanvraag indient |
| SourceIPs | Dynamische | Matrix van bron-IP-adressen waaruit de aanvraag afkomstig is |
| UserAgent | tekenreeks | Tekenreeks van de gebruikersagent van de client die de aanvraag indient |
| ObjectRef | tekenreeks | Verwijzing naar het Kubernetes-object dat wordt geopend |
| ResponseCode | int | HTTP-antwoordcode voor de API-aanvraag |
| Fase | tekenreeks | Fase van de aanvraagverwerking (RequestReceived, ResponseStarted, ResponseComplete, Panic) |
| AuthDecision | tekenreeks | Autorisatiebeslissing genomen door de API-server |
| RawEvent | Dynamische | Onbewerkte controlegebeurtenisgegevens voltooien voor geavanceerde analyse |
Problemen oplossen
Veelvoorkomende problemen en oplossingen
Er worden geen gegevens weergegeven in AWSEKSLogs_CL tabel:
- Controleer of EKS-auditlogboekregistratie is ingeschakeld op uw cluster.
- Controleer of het abonnementsfilter CloudWatch Logs correct is geconfigureerd.
- Zorg ervoor dat de Lambda-functie logboeken zonder fouten verwerkt. Controleer CloudWatch-logboeken voor Lambda-functielogboeken.
- Controleer of S3-bucketmeldingen correct zijn geconfigureerd om SQS-berichten te activeren.
Het maken van de CloudFormation-stack mislukt:
- Zorg ervoor dat u voldoende IAM-machtigingen hebt om alle vereiste resources te maken.
- Controleer of de EKS-clusternaam die u hebt opgegeven, voorkomt in uw account.
- Controleer of de naam van de S3-bucket globaal uniek is.
Verificatiefouten:
- Controleer of de OIDC-web-id-provider correct is geconfigureerd.
- Zorg ervoor dat de machtigingen voor de IAM-rol voldoende zijn voor toegang tot S3- en SQS-resources.
- Controleer of de werkruimte-id die in de CloudFormation-sjabloon wordt gebruikt, overeenkomt met uw Microsoft Sentinel werkruimte.
Geavanceerde bewaking
Als u dit nog niet hebt gedaan, implementeert u de statusbewaking van de gegevensconnector, zodat u weet wanneer connectors geen gegevens ontvangen of andere problemen ondervinden. Zie De status van uw gegevensconnectors bewaken voor meer informatie.
Volgende stappen
In dit document hebt u geleerd hoe u AWS EKS-auditlogboeken kunt verbinden met Microsoft Sentinel voor uitgebreide Kubernetes-beveiligingsbewaking. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.
- Meer informatie over Microsoft Sentinel-oplossingen voor containerbeveiliging.