Compartir a través de

Conexión de Microsoft Sentinel a Amazon Web Services para ingerir registros de AWS WAF

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use el conector del firewall de aplicaciones web (WAF) basado en S3 de Amazon Web Services (AWS) para ingerir los registros de AWS WAF, recogidos en cubos de AWS S3, en Microsoft Sentinel. Los registros de AWS WAF son registros detallados del tráfico web analizado por AWS WAF en las listas de control de acceso web (ACL). Estos registros contienen información como la hora en que AWS WAF recibió la solicitud, los detalles de la solicitud y la acción realizada por la regla con la que coincide la solicitud. Estos registros y este análisis son esenciales para mantener la seguridad y el rendimiento de las aplicaciones web.

Este conector presenta el debut de un nuevo script de incorporación basado en AWS CloudFormation para simplificar la creación de los recursos de AWS usados por el conector.

Importante

  • El conector de datos de Amazon Web Services S3 WAF se encuentra actualmente en fase de versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

  • Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Información general

El conector de datos de Amazon Web Services S3 WAF sirve para los siguientes casos de uso:

  • Supervisión de la seguridad y detección de amenazas: analice los registros de AWS WAF para ayudar a identificar y responder a amenazas de seguridad, como ataques de inyección de código SQL y scripting entre sitios (XSS). Al ingerir estos registros en Microsoft Sentinel, puede usar su análisis avanzado e inteligencia sobre amenazas para detectar e investigar actividades malintencionadas.

  • Cumplimiento y auditoría: los registros de AWS WAF proporcionan registros detallados del tráfico de ACL web, lo que puede ser fundamental para los informes de cumplimiento y la auditoría. El conector garantiza que estos registros están disponibles en Sentinel para facilitar el acceso y el análisis.

En este artículo se explica cómo configurar el conector de Amazon Web Services S3 WAF. El proceso de configuración consta de dos partes: el lado de AWS y el lado de Microsoft Sentinel. El proceso de cada lado genera información usada por el otro lado. Esta autenticación bidireccional crea una comunicación segura.

Requisitos previos

  • Debe tener permiso de escritura en el área de trabajo de Microsoft Sentinel.

  • Instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Si ya tiene instalada la versión 3.0.2 de la solución (o anterior), actualice la solución en el centro de contenido para asegurarse de que tiene la versión más reciente que incluye este conector. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Habilitación y configuración del conector de Amazon Web Services S3 WAF

El proceso de habilitación y configuración del conector consta de las siguientes tareas:

  • En el entorno de AWS:

    La página del conector Amazon Web Services S3 WAF de Microsoft Sentinel contiene plantillas descargables de pilas de AWS CloudFormation que automatizan las siguientes tareas de AWS:

    • Configure los servicios de AWS para enviar registros a un cubo S3.

    • Cree una cola de Simple Queue Service (SQS) para proporcionar una notificación.

    • Cree un proveedor de identidades web para autenticar a los usuarios en AWS a través de OpenID Connect (OIDC).

    • Cree un rol asumido para conceder permisos a los usuarios autenticados por el proveedor de identidades web de OIDC para acceder a los recursos de AWS.

    • Adjunte las directivas de permisos IAM adecuadas para conceder al rol asumido acceso a los recursos adecuados (cubo de S3, SQS).

  • En Microsoft Sentinel:

    • Configure el Conector de Amazon Web Services S3 WAF en el portal de Microsoft Sentinel añadiendo recopiladores de registros que sondeen la cola y recuperen los datos de registro del cubo de S3. Vea las instrucciones siguientes.

Configuración del entorno de AWS

Para simplificar el proceso de incorporación, la página del conector de Amazon Web Services S3 WAF en Microsoft Sentinel contiene plantillas descargables que puede usar con el servicio AWS CloudFormation. El servicio CloudFormation usa estas plantillas para crear automáticamente pilas de recursos en AWS. Estas pilas incluyen los propios recursos como se describe en este artículo, así como credenciales, permisos y directivas.

Preparación de los archivos de plantilla

Para ejecutar el script para configurar el entorno de AWS, siga estos pasos:

  1. En Azure Portal, en el menú de navegación de Microsoft Sentinel, expanda Configuración y seleccione Conectores de datos.

    En el portal de Defender, en el menú de inicio rápido, expanda Microsoft Sentinel > Configuración y seleccione Conectores de datos.

  2. Seleccione Amazon Web Services S3 WAF de la lista de conectores de datos.

    Si no ve el conector, instale la solución de Amazon Web Services desde el Centro de contenido en Administración de contenido en Microsoft Sentinel, o actualice la solución a la última versión.

  3. En el panel de detalles del conector, seleccione Abrir página del conector.

    Recorte de pantalla de la galería de conectores de datos.

  4. En la sección Configuración, en 1. Implementación de AWS CloudFormation, seleccione el vínculo Pilas de AWS CloudFormation. Se abrirá la consola de AWS en una nueva pestaña del explorador.

  5. Vuelva a la pestaña del portal donde tiene abierto Microsoft Sentinel. Seleccione Descargar en Plantilla 1: Implementación de autenticación de OpenID Connect para descargar la plantilla que crea el proveedor de identidades web de OIDC. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.

    Nota:

    Si tiene el conector de AWS S3 anterior y, por lo tanto, ya tiene un proveedor de identidades web de OIDC, puede omitir este paso.

  6. Seleccione Descargar en Plantilla 2: Implementación de recursos de AWS WAF para descargar la plantilla que crea los otros recursos de AWS. La plantilla se descarga como un archivo JSON en la carpeta de descargas designada.

    Recorte de pantalla de la página de configuración del conector WAF de AWS S3.

Creación de pilas de AWS CloudFormation

Vuelva a la pestaña del explorador de la consola de AWS, que está abierta a la página AWS CloudFormation para crear una pila.

Si aún no ha iniciado sesión en AWS, inicie sesión ahora y se le redirigirá a la página AWS CloudFormation.

Creación del proveedor de identidades web OIDC

Siga las instrucciones de la página consola de AWS para crear una nueva pila.

(Si ya tiene el proveedor de identidades web OIDC de la versión anterior del conector de AWS S3, omita este paso y continúe con Creación de los recursos de AWS restantes).

  1. Especifique una plantilla y cargue un archivo de plantilla.

  2. Seleccione Elegir archivo y busque el archivo "Template 1_ OpenID connect authentication deployment.json" que descargó.

  3. Elija un nombre para la pila.

  4. Avance por el resto del proceso y cree la pila.

Creación de los recursos de AWS restantes

  1. Vuelva a la página de pilas de AWS CloudFormation y cree una nueva pila.

  2. Seleccione Elegir archivo y busque el archivo "Template 2_ AWS WAF resources deployment.json" que descargó.

  3. Elija un nombre para la pila.

  4. Cuando se le solicite, escriba el identificador del área de trabajo de Microsoft Sentinel. Para buscar el identificador del área de trabajo:

    • En Azure Portal, en el menú de navegación de Microsoft Sentinel, expanda Configuración y seleccione Configuración. Seleccione la pestaña Configuración del área de trabajo y busque el identificador de área de trabajo en la página del área de trabajo de Log Analytics.

    • En el portal de Defender, en el menú inicio rápido, expanda Sistema y seleccione Configuración. Seleccione Microsoft Sentinely, a continuación, seleccione Configuración de Log Analytics en Configuración de [WORKSPACE_NAME]. Busque el identificador del área de trabajo de Log Analytics en la página del área de trabajo de Log Analytics, que se abre en una nueva pestaña del explorador.

  5. Avance por el resto del proceso y cree la pila.

Adición de recopiladores de registros

Cuando se creen todas las pilas de recursos, vuelva a la pestaña del explorador abierta a la página del conector de datos de Microsoft Sentinel y comience la segunda parte del proceso de configuración.

  1. En la sección Configuración, en 2. Conectar nuevos recopiladores y seleccione Agregar nuevo recopilador.

    Recorte de pantalla de la segunda parte de la configuración del conector de AWS.

  2. Escriba el ARN de rol de IAM que se creó. El nombre predeterminado del rol es OIDC_MicrosoftSentinelRole, por lo que el ARN del rol sería
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Escriba el nombre de la cola de SQS que se creó. El nombre predeterminado de esta cola es SentinelSQSQueue, por lo que la dirección URL sería
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Seleccione Conectar para agregar el recopilador. Esto crea una regla de recopilación de datos para el agente de Azure Monitor para recuperar los registros e ingerirlos en la tabla dedicada AWSWAF en el área de trabajo de Log Analytics.

    Recorte de pantalla de la adición de un nuevo recopilador para los registros de WAF.

Instalación manual

Ahora que el proceso de configuración automática es más fiable, no hay muchas razones para recurrir a la configuración manual. No obstante, si es necesario, consulte las Instrucciones de configuración manual de la documentación del conector de Amazon Web Services S3.

Prueba y supervisión del conector

  1. Una vez configurado el conector, vaya a la página Registros (o a la página Búsqueda avanzada en el portal de Defender) y ejecute la consulta siguiente. Si obtiene algún resultado, el conector funciona correctamente.

    AWSWAF
| take 10

  2. Si aún no lo ha hecho, se recomienda implementar supervisión del estado del conector de datos para que pueda saber cuándo los conectores no reciben datos o cualquier otro problema con los conectores. Para más información, consulte Supervisión del estado de los conectores de datos.