Sdílet prostřednictvím

Připojení Microsoft Sentinelu k Amazon Web Services k ingestování protokolů AWS WAF

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pomocí konektoru Firewall webových aplikací (WAF) založených na Amazon Web Services (AWS) můžete ingestovat protokoly WAF AWS shromážděné v kontejnerech AWS S3 do Microsoft Sentinelu. Protokoly AWS WAF jsou podrobné záznamy webového provozu analyzovaného AWS WAF proti seznamům řízení přístupu k webu (ACL). Tyto záznamy obsahují informace, jako je čas, kdy AWS WAF obdržel žádost, specifika požadavku a akci prováděnou pravidlem, které žádost odpovídala. Tyto protokoly a tato analýza jsou nezbytné pro zachování zabezpečení a výkonu webových aplikací.

Tento konektor obsahuje debut nového skriptu onboardingu založeného na AWS CloudFormation, který zjednodušuje vytváření prostředků AWS používaných konektorem.

Důležité

  • Datový konektor AMAZON Web Services S3 WAF je aktuálně ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

  • Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přehled

Datový konektor Amazon Web Services S3 WAF slouží k následujícím případům použití:

  • Monitorování zabezpečení a detekce hrozeb: Analýza protokolů AWS WAF pomáhá identifikovat bezpečnostní hrozby, jako jsou injektáž SQL a skriptování mezi weby (XSS), a reagovat na ně. Když tyto protokoly ingestujete do Microsoft Sentinelu, můžete pomocí pokročilých analýz a analýzy hrozeb detekovat a prozkoumat škodlivé aktivity.

  • Dodržování předpisů a auditování: Protokoly WAF AWS poskytují podrobné záznamy o provozu seznamu ACL webu, což může být zásadní pro účely generování sestav dodržování předpisů a auditování. Konektor zajišťuje, aby tyto protokoly byly k dispozici ve službě Sentinel pro snadný přístup a analýzu.

Tento článek vysvětluje, jak nakonfigurovat konektor WAF služby Amazon Web Services S3. Proces jeho nastavení má dvě části: stranu AWS a stranu Microsoft Sentinelu. Každý proces vytváří informace používané druhou stranou. Toto obousměrné ověřování vytváří zabezpečenou komunikaci.

Požadavky

  • Musíte mít oprávnění k zápisu do pracovního prostoru Služby Microsoft Sentinel.

  • Nainstalujte řešení Amazon Web Services z centra obsahu v Microsoft Sentinelu. Pokud už máte nainstalované řešení verze 3.0.2 (nebo starší), aktualizujte řešení v centru obsahu, abyste měli jistotu, že máte nejnovější verzi, která obsahuje tento konektor. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Povolení a konfigurace konektoru WAF amazon Web Services S3

Proces povolení a konfigurace konektoru se skládá z následujících úloh:

  • V prostředí AWS:

    Stránka konektoru Amazon Web Services S3 WAF v Microsoft Sentinelu obsahuje šablony zásobníku AWS CloudFormation ke stažení, které automatizují následující úlohy AWS:

    • Nakonfigurujte služby AWS tak, aby odesílaly protokoly do kontejneru S3.

    • Vytvořte frontu SQS (Simple Queue Service), která poskytuje oznámení.

    • Vytvořte zprostředkovatele webové identity pro ověřování uživatelů v AWS prostřednictvím OpenID Connect (OIDC).

    • Vytvořte předpokládanou roli pro udělení oprávnění uživatelům ověřeným zprostředkovatelem webové identity OIDC pro přístup k vašim prostředkům AWS.

    • Připojte příslušné zásady oprávnění IAM k udělení přístupu k příslušnému prostředku (kbelík S3, SQS).

  • V Microsoft Sentinelu:

    • Nakonfigurujte konektor WAF služby Amazon Web Services S3 na portálu Microsoft Sentinel přidáním kolektorů protokolů, které se dotazují na frontu a načítají data protokolů z kontejneru S3. Projděte si následující pokyny.

Nastavení prostředí AWS

Pro zjednodušení procesu onboardingu obsahuje stránka konektoru WAF webových služeb Amazon Web Services S3 v Microsoft Sentinelu šablony ke stažení, které můžete použít se službou AWS CloudFormation. Služba CloudFormation používá tyto šablony k automatickému vytváření zásobníků prostředků v AWS. Tyto zásobníky zahrnují samotné prostředky, jak je popsáno v tomto článku, a také přihlašovací údaje, oprávnění a zásady.

Příprava souborů šablon

Pokud chcete spustit skript pro nastavení prostředí AWS, použijte následující kroky:

  1. Na webu Azure Portal v navigační nabídce Služby Microsoft Sentinel rozbalte položku Konfigurace a vyberte Datové konektory.

    Na portálu Defender v nabídce Snadné spuštění rozbalte konfiguraci služby Microsoft Sentinel > a vyberte Datové konektory.

  2. Ze seznamu datových konektorů vyberte WAF amazon Web Services S3.

    Pokud konektor nevidíte, nainstalujte řešení Amazon Web Services z centra obsahu v částiSpráva obsahu ve službě Microsoft Sentinel nebo aktualizujte řešení na nejnovější verzi.

  3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

    Snímek obrazovky galerie datových konektorů

  4. V části Konfigurace v části 1. AWS CloudFormation Deployment, select the AWS CloudFormation Stacks link. Tím se konzola AWS otevře na nové kartě prohlížeče.

  5. Vraťte se na kartu portálu, kde máte otevřený Microsoft Sentinel. Výběrem možnosti Stáhnout v části Šablona 1: Nasazení ověřování OpenID Connect stáhnete šablonu, která vytvoří zprostředkovatele webové identity OIDC. Šablona se stáhne jako soubor JSON do určené složky pro stahování.

    Poznámka:

    Pokud máte starší konektor AWS S3, a proto už máte zprostředkovatele webové identity OIDC, můžete tento krok přeskočit.

  6. Výběrem možnosti Stáhnout v části Šablona 2: Nasazení prostředků WAF pro AWS stáhněte šablonu, která vytvoří další prostředky AWS. Šablona se stáhne jako soubor JSON do určené složky pro stahování.

    Snímek obrazovky se stránkou konfigurace konektoru AWS S3 WAF

Vytváření zásobníků AWS CloudFormation

Vraťte se na kartu prohlížeče konzoly AWS, která je otevřená na stránce AWS CloudFormation pro vytvoření zásobníku.

Pokud jste se ještě nepřihlásili k AWS, přihlaste se a budete přesměrováni na stránku AWS CloudFormation.

Vytvoření zprostředkovatele webové identity OIDC

Při vytváření nového zásobníku postupujte podle pokynů na stránce konzoly AWS.

(Pokud už máte zprostředkovatele webové identity OIDC z předchozí verze konektoru AWS S3, přeskočte tento krok a pokračujte. Vytvořte zbývající prostředky AWS.)

  1. Zadejte šablonu a nahrajte soubor šablony.

  2. Vyberte zvolit soubor a vyhledejte soubor "Template 1_ OpenID connect authentication deployment.json" (Šablona 1_ OpenID connect authentication deployment.json).

  3. Zvolte název zásobníku.

  4. Projděte si zbytek procesu a vytvořte zásobník.

Vytvoření zbývajících prostředků AWS

  1. Vraťte se na stránku zásobníků AWS CloudFormation a vytvořte nový zásobník.

  2. Vyberte zvolit soubor a vyhledejte soubor "Template 2_ AWS WAF resources deployment.json" (Šablona 2_ AWS WAF resources deployment.json).

  3. Zvolte název zásobníku.

  4. Po zobrazení výzvy zadejte ID pracovního prostoru Služby Microsoft Sentinel. Jak najít ID pracovního prostoru:

    • Na webu Azure Portal v navigační nabídce Služby Microsoft Sentinel rozbalte položku Konfigurace a vyberte Nastavení. Vyberte kartu Nastavení pracovního prostoru a na stránce pracovního prostoru služby Log Analytics vyhledejte ID pracovního prostoru.

    • Na portálu Defender v nabídce Snadné spuštění rozbalte položku Systém a vyberte Nastavení. Vyberte Microsoft Sentinel a pak v části Nastavení vyberte nastavení Log Analytics pro [WORKSPACE_NAME]. Najděte ID pracovního prostoru na stránce pracovního prostoru služby Log Analytics, která se otevře na nové kartě prohlížeče.

  5. Projděte si zbytek procesu a vytvořte zásobník.

Přidání kolektorů protokolů

Po vytvoření všech zásobníků prostředků se vraťte na kartu prohlížeče, která se otevře na stránce datového konektoru v Microsoft Sentinelu, a zahajte druhou část procesu konfigurace.

  1. V části Konfigurace v části 2. Připojte nové kolektory a vyberte Přidat nový kolektor.

    Snímek obrazovky s druhou částí konfigurace konektoru AWS

  2. Zadejte ARN role vytvořené role IAM. Výchozí název role je OIDC_MicrosoftSentinelRole, takže ARN role by byla
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Zadejte název vytvořené fronty SQS. Výchozí název této fronty je SentinelSQSQueue, takže adresa URL by byla
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Vyberte Připojit a přidejte kolektor. Tím se vytvoří pravidlo shromažďování dat pro agenta služby Azure Monitor, které načte protokoly a ingestuje je do vyhrazené tabulky AWSWAF v pracovním prostoru služby Log Analytics.

    Snímek obrazovky s přidáním nového kolektoru pro protokoly WAF

Ruční nastavení

Teď, když je proces automatického nastavení spolehlivější, neexistuje mnoho dobrých důvodů, proč se uchýlit k ručnímu nastavení. Pokud ale potřebujete, přečtěte si pokyny k ručnímu nastavení v dokumentaci ke konektoru Amazon Web Services S3.

Testování a monitorování konektoru

  1. Po nastavení konektoru přejděte na stránku Protokoly (nebo na portálu Defenderu pro pokročilé proaktivní vyhledávání ) a spusťte následující dotaz. Pokud se zobrazí nějaké výsledky, konektor funguje správně.

    AWSWAF
| take 10

  2. Pokud jste to ještě neudělali, doporučujeme implementovat monitorování stavu datového konektoru, abyste věděli, kdy konektory nedostávají data nebo jiné problémy s konektory. Další informace najdete v tématu Monitorování stavu datových konektorů.