Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Utilize o conector do Elastic Kubernetes Service (EKS) baseado no Amazon Web Services (AWS) S3 para ingerir registos de auditoria do EKS do AWS, recolhidos em registos do AWS S3, para Microsoft Sentinel. Os registos de auditoria do AWS EKS são registos detalhados de pedidos de servidor de API, decisões de autenticação e atividades de cluster nos clusters do Kubernetes. Estes registos contêm informações como a hora em que o pedido foi recebido, as especificidades do pedido, o utilizador que efetuou o pedido e a ação tomada. Esta análise de registos é essencial para manter a segurança e a conformidade das aplicações em contentores em execução em clusters do EKS.
Este conector inclui um script de inclusão baseado na CloudFormation do AWS para simplificar a criação dos recursos do AWS utilizados pelo conector.
Importante
O conector de dados EKS S3 do Amazon Web Services está atualmente em pré-visualização. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
-
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).
Descrição geral
O conector de dados EKS S3 do Amazon Web Services serve os seguintes casos de utilização:
Monitorização e deteção de ameaças de segurança do Kubernetes: Analise os registos de auditoria do EKS do AWS para ajudar a identificar e responder a ameaças de segurança, como acesso não autorizado, escalamento de privilégios e chamadas de API suspeitas nos clusters do Kubernetes. Ao ingerir estes registos no Microsoft Sentinel, pode utilizar a análise avançada e as informações sobre ameaças para detetar e investigar atividades maliciosas direcionadas para as cargas de trabalho em contentores.
Conformidade e auditoria para ambientes em contentores: Os registos de auditoria do EKS do AWS fornecem registos detalhados de todas as interações do servidor de API, que são cruciais para fins de relatórios de conformidade e auditoria em ambientes contentorizados. O conector garante que estes registos de auditoria estão disponíveis no Microsoft Sentinel para facilitar o acesso e a análise, ajudando a cumprir os requisitos regulamentares para a segurança dos contentores.
DevSecOps e governação de clusters: Monitorize as atividades do programador, os padrões de acesso a recursos e as alterações de configuração nos clusters do EKS para garantir práticas de governação e segurança adequadas nos fluxos de trabalho do DevSecOps.
Este artigo explica como configurar o conector Amazon Web Services S3 EKS. O processo de configuração tem duas partes: o lado do AWS e o lado Microsoft Sentinel. O processo de cada lado produz informações utilizadas pelo outro lado. Esta autenticação bidirecional cria uma comunicação segura.
Pré-requisitos
Tem de ter permissão de escrita na área de trabalho Microsoft Sentinel.
Instale a solução Amazon Web Services a partir do Hub de Conteúdos no Microsoft Sentinel. Se já tiver instalado uma versão anterior da solução, atualize a solução no hub de conteúdos para garantir que tem a versão mais recente que inclui este conector. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Tem de ter um cluster do AWS EKS existente com o registo de auditoria ativado ou a capacidade de ativar o registo de auditoria no cluster do EKS durante o processo de configuração.
Tem de ter as permissões de IAM do AWS adequadas para:
- Criar funções e políticas de IAM
- Criar registos S3 e configurar políticas de registo
- Criar filas SQS e configurar políticas de fila
- Criar pilhas de CloudFormation
- Configurar as definições de registo de clusters do EKS
- Criar fluxos de entrega do Kinesis Data Firehose
- Criar funções lambda
Ativar e configurar o conector Amazon Web Services S3 EKS
Para ativar e configurar o conector, conclua as seguintes tarefas:
No seu ambiente do AWS:
A página do conector amazon Web Services S3 EKS no Microsoft Sentinel fornece modelos de pilha de CloudFormation do AWS transferíveis que automatizam as seguintes tarefas do AWS:
Configure o cluster do AWS EKS para enviar registos de auditoria para os Registos do CloudWatch.
Crie um fluxo de entrega do Kinesis Data Firehose para transformar e entregar registos do CloudWatch para o S3.
Crie um registo S3 para armazenar os registos de auditoria processados.
Crie uma fila do Simple Queue Service (SQS) para fornecer uma notificação quando forem criados novos ficheiros de registo no S3.
Crie um fornecedor de identidade Web para autenticar os utilizadores no AWS através do OpenID Connect (OIDC).
Crie uma função assumida para conceder permissões aos utilizadores autenticados pelo fornecedor de identidade Web OIDC para aceder aos seus recursos do AWS.
Anexe as políticas de permissões de IAM adequadas para conceder à função assumida acesso aos recursos adequados (registo S3, SQS).
Crie uma função Lambda para transformar os registos de auditoria do EKS no formato esperado pelo Microsoft Sentinel.
Em Microsoft Sentinel:
- Configure o Conector EKS S3 do Amazon Web Services no portal do Microsoft Sentinel ao adicionar recoletores de registos que consultam a fila do SQS e obtêm dados de registo do registo do registo S3. Veja as instruções abaixo.
Configurar o ambiente do AWS
Para simplificar o processo de integração, a página do conector Amazon Web Services S3 EKS no Microsoft Sentinel fornece modelos transferíveis para utilização com o serviço CloudFormation do AWS. O serviço CloudFormation utiliza estes modelos para criar automaticamente pilhas de recursos no AWS. Estas pilhas incluem os recursos descritos neste artigo, juntamente com credenciais, permissões e políticas.
Nota
Utilize o processo de configuração automática. Para casos especiais, veja as instruções de configuração manual.
Preparar os ficheiros de modelo
Para executar o script que configura o ambiente do AWS, utilize os seguintes passos:
Na portal do Azure, no menu de navegação Microsoft Sentinel, expanda Configuração e selecione Conectores de dados.
No portal do Defender, no menu de iniciação rápida, expanda Microsoft Sentinel > Configuração e selecione Conectores de dados.
Selecione Amazon Web Services S3 EKS na lista de conectores de dados.
Se não vir o conector, instale a solução Amazon Web Services a partir do Hub de conteúdos em Gestão de conteúdos no Microsoft Sentinel ou atualize a solução para a versão mais recente.
No painel de detalhes do conector, selecione Abrir página do conector.
Na secção Configuração , em 1. Implementação de CloudFormation do AWS, selecione a ligação AWS CloudFormation Stacks . Esta ação abre a consola do AWS num novo separador do browser.
Regresse ao separador do portal onde tem Microsoft Sentinel aberto. Selecione Transferirem Modelo 1: implementação de autenticação do OpenID Connect para transferir o modelo que cria o fornecedor de identidade Web OIDC. O modelo é transferido como um ficheiro JSON para a pasta de transferências designada.
Nota
Se já tiver um fornecedor de identidade Web OIDC de uma configuração anterior do conector do AWS, ignore este passo.
Selecione Transferirem Modelo 2: Implementação de recursos do AWS EKS para transferir o modelo que cria os outros recursos do AWS. O modelo é transferido como um ficheiro JSON para a pasta de transferências designada.
Criar pilhas de CloudFormation do AWS
Regresse ao separador do browser AWS Console, que está aberto na página CloudFormation do AWS para criar uma pilha.
Se ainda não tiver sessão iniciada no AWS, inicie sessão agora. É redirecionado para a página CloudFormation do AWS.
Criar o fornecedor de identidade Web OIDC
Importante
Se já tiver o fornecedor de identidade Web OIDC de uma configuração anterior do conector do AWS, ignore este passo e avance para Criar os recursos do AWS restantes.
Se já tiver um fornecedor do OIDC Connect configurado para Microsoft Defender para a Cloud, adicione Microsoft Sentinel como uma audiência ao seu fornecedor existente (Comercial: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e, Administração Pública:api://d4230588-5f84-4281-a9c7-2c15194b28f7). Não tente criar um novo fornecedor de OIDC para Microsoft Sentinel.
Siga as instruções na página Consola do AWS para criar uma nova pilha.
Especifique um modelo e carregue um ficheiro de modelo.
Selecione Escolher ficheiro e localize o Modelo 1: Autenticação do OpenID Connect deployment.json ficheiro que transferiu.
Escolha um nome para a pilha.
Avance pelo resto do processo e crie a pilha.
Criar os recursos restantes do AWS
Regresse à página AWS CloudFormation stacks (Pilhas de CloudFormation do AWS) e crie uma nova pilha.
Selecione Escolher ficheiro e localize o Modelo 2: Recursos do AWS EKS deployment.json ficheiro que transferiu.
Escolha um nome para a pilha.
Quando lhe for pedido, introduza os seguintes parâmetros:
- EKSClusterName: introduza o nome do cluster EKS existente.
-
Microsoft Sentinel ID da Área de Trabalho: para localizar o ID da Área de Trabalho:
- No portal do Azure, no menu de navegação Microsoft Sentinel, expanda Configuração e selecione Definições. Selecione o separador Definições da área de trabalho e localize o ID da Área de Trabalho na página área de trabalho do Log Analytics.
- No portal do Defender, no menu de iniciação rápida, expanda Sistema e selecione Definições. Selecione Microsoft Sentinel e, em seguida, selecione Definições do Log Analytics em Definições para
[WORKSPACE_NAME]. Localize o ID da Área de Trabalho na página da área de trabalho do Log Analytics, que é aberta num novo separador do browser.
- BucketName: introduza um nome exclusivo para o registo S3 onde os registos de auditoria do EKS estão armazenados.
- SentinelSQSQueueName: introduza um nome para a fila do SQS (predefinição: MicrosoftSentinelEKSSqs).
- AwsRoleName: introduza um nome para a função IAM (tem de começar com "OIDC_", predefinição: OIDC_MicrosoftSentinelRoleEKS).
Avance pelo resto do processo e crie a pilha.
Depois de concluída a criação da pilha, aceda à secção Saídas da pilha CloudFormation e anote os seguintes valores:
- SentinelRoleArn: o ARN da função IAM criada para Microsoft Sentinel acesso.
- SentinelSQSQueueURL: o URL da fila do SQS.
- Step1EnableEKSAuditLogging: comando da CLI do AWS para ativar o registo de auditoria do EKS.
- Step2CreateSubscriptionFilter: comando da CLI do AWS para criar o filtro de subscrição de Registos do CloudWatch.
Ativar o registo de auditoria do EKS e configurar a transmissão em fluxo de registos
Depois de criar as pilhas do CloudFormation, ative o registo de auditoria no cluster do EKS e configure a transmissão em fluxo de registos:
Se o registo de auditoria ainda não estiver ativado no cluster do EKS, execute o comando fornecido na saída Step1EnableEKSAuditLogging da pilha CloudFormation.
Aguarde cerca de cinco minutos para que os registos de auditoria comecem a aparecer nos Registos do CloudWatch.
Execute o comando fornecido na saída Step2CreateSubscriptionFilter para criar um filtro de subscrição que transmite os registos de auditoria do CloudWatch para o fluxo de entrega kinesis Data Firehose.
A função Lambda transforma automaticamente os registos de auditoria do EKS no formato esperado pelo Microsoft Sentinel e entrega-os ao S3, onde acionam notificações SQS para ingestão.
Adicionar recoletores de registos
Quando criar as pilhas de recursos e configurar o registo de auditoria do EKS, regresse ao separador do browser aberto na página do conector de dados no Microsoft Sentinel e inicie a segunda parte do processo de configuração.
Na secção Configuração , em 2. Ligue novos recoletores e selecione Adicionar novo recoletor.
Introduza o ARN de função da função IAM que criou. Utilize o valor da saída SentinelRoleArn da pilha CloudFormation (por exemplo,
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRoleEKS).Introduza o URL da fila do SQS que criou. Utilize o valor da saída SentinelSQSQueueURL da pilha CloudFormation (por exemplo,
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/MicrosoftSentinelEKSSqs).Selecione Ligar para adicionar o recoletor. Esta ação cria uma regra de recolha de dados para o Agente do Azure Monitor para obter os registos e ingeri-los na tabela de AWSEKSLogs_CL dedicada na área de trabalho do Log Analytics.
Verificar a ingestão de dados
Depois de configurar o conector, aceda à página Registos (ou à página Investigação avançada no portal do Defender) e execute a seguinte consulta. Se receber resultados, o conector está a funcionar corretamente.
AWSEKSLogs_CL | take 10Também pode executar consultas mais específicas para explorar os dados de auditoria do EKS.
// View recent EKS audit events by verb (API action) AWSEKSLogs_CL | where TimeGenerated > ago(1h) | summarize count() by Verb | order by count_ desc// Monitor authentication decisions AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where AuthDecision != "" | summarize count() by AuthDecision, User | order by count_ desc// Track failed requests (non-200 response codes) AWSEKSLogs_CL | where TimeGenerated > ago(24h) | where ResponseCode != 200 | project TimeGenerated, User, Verb, ObjectRef, ResponseCode, SourceIPs | order by TimeGenerated desc
Referência de esquema
Os registos de auditoria do EKS ingerem na tabela AWSEKSLogs_CL com o seguinte esquema:
| Coluna | Tipo | Descrição |
|---|---|---|
| TimeGenerated | datetime | A hora em que o evento de auditoria foi gerado |
| AwsAccountId | cadeia | ID da conta do AWS onde o cluster do EKS está localizado |
| Região | cadeia | Região do AWS onde o cluster do EKS está localizado |
| ClusterName | cadeia | Nome do cluster do EKS |
| Verbo | cadeia | O verbo HTTP associado ao pedido da API (GET, POST, PUT, DELETE, etc.) |
| Utilizador | cadeia | Informações sobre o utilizador que está a fazer o pedido |
| SourceIPs | dinâmico | Matriz de endereços IP de origem a partir dos quais o pedido teve origem |
| UserAgent | cadeia | Cadeia de agente do utilizador do cliente que efetua o pedido |
| ObjectRef | cadeia | Referência ao objeto do Kubernetes que está a ser acedido |
| ResponseCode | int | Código de resposta HTTP para o pedido da API |
| Fase | cadeia | Fase do processamento do pedido (RequestReceived, ResponseStarted, ResponseComplete, Panic) |
| AuthDecision | cadeia | Decisão de autorização tomada pelo servidor de API |
| RawEvent | dinâmico | Concluir dados de eventos de auditoria não processados para análise avançada |
Resolução de Problemas
Problemas comuns e soluções
Não são apresentados dados na tabela AWSEKSLogs_CL:
- Verifique se o registo de auditoria do EKS está ativado no cluster.
- Verifique se o filtro de subscrição de Registos do CloudWatch está configurado corretamente.
- Certifique-se de que a função Lambda processa os registos sem erros. Verifique os Registos do CloudWatch para ver se existem registos de funções do Lambda.
- Verifique se as notificações do registo S3 estão configuradas corretamente para acionar mensagens SQS.
Falha na criação da pilha cloudFormation:
- Certifique-se de que tem permissões de IAM suficientes para criar todos os recursos necessários.
- Verifique se o nome do cluster EKS que forneceu existe na sua conta.
- Verifique se o nome do registo S3 é globalmente exclusivo.
Erros de autenticação:
- Verifique se o fornecedor de identidade Web OIDC está configurado corretamente.
- Certifique-se de que as permissões da função IAM são suficientes para aceder aos recursos S3 e SQS.
- Verifique se o ID da área de trabalho utilizado no modelo CloudFormation corresponde à área de trabalho Microsoft Sentinel.
Monitorização avançada
Se ainda não o fez, implemente a monitorização do estado de funcionamento do conector de dados para que possa saber quando é que os conectores não estão a receber dados ou se têm outros problemas. Para obter mais informações, veja Monitorizar o estado de funcionamento dos conectores de dados.
Passos seguintes
Neste documento, aprendeu a ligar registos de auditoria do AWS EKS a Microsoft Sentinel para uma monitorização abrangente da segurança do Kubernetes. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
- Comece a detetar ameaças com Microsoft Sentinel.
- Utilize livros para monitorizar os seus dados.
- Saiba mais sobre Microsoft Sentinel soluções para a segurança de contentores.