Partager via

Connecter Microsoft Sentinel à Amazon Web Services pour ingérer des journaux WAF AWS

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Utilisez le connecteur Amazon Web Services (AWS) S3 (Web Application Firewall) pour ingérer les journaux WAF AWS, collectés dans des compartiments AWS S3, vers Microsoft Sentinel. Les journaux d’activité WAF AWS sont des enregistrements détaillés du trafic web analysé par le WAF AWS par rapport aux listes de contrôle d’accès web (ACL). Ces enregistrements contiennent des informations telles que le moment où AWS WAF a reçu la demande, les spécificités de la demande et l’action effectuée par la règle correspondant à la demande. Ces journaux et cette analyse sont essentiels pour maintenir la sécurité et les performances des applications web.

Ce connecteur présente les débuts d’un nouveau script d’intégration basé sur AWS AWS CloudFormation, afin de simplifier la création des ressources AWS utilisées par le connecteur.

Important

  • Le connecteur de données Amazon Web Services S3 WAF est actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

  • Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Vue d’ensemble

Le connecteur de données Amazon Web Services S3 WAF sert les cas d’usage suivants :

  • Surveillance de la sécurité et détection des menaces : Analyser les journaux WAF AWS pour vous aider à identifier et à répondre aux menaces de sécurité telles que l’injection SQL et les attaques de script intersites (XSS). En ingérant ces journaux dans Microsoft Sentinel, vous pouvez utiliser son analytique avancée et son renseignement sur les menaces pour détecter et examiner les activités malveillantes.

  • Conformité et audit : journaux WAF AWS fournissent des enregistrements détaillés du trafic de liste de contrôle d’accès web, ce qui peut être essentiel à des fins de création de rapports et d’audit de conformité. Le connecteur garantit que ces journaux sont disponibles dans Sentinel pour faciliter l’accès et l’analyse.

Cet article explique comment configurer le connecteur WAF Amazon Web Services S3. Le processus de configuration de celui-ci comporte deux parties : le côté AWS et le côté Microsoft Sentinel. Le processus de chaque côté produit des informations utilisées par l’autre côté. Cette authentification bidirectionnelle crée une communication sécurisée.

Prérequis

  • Vous devez disposer de l’autorisation d’accès en écriture sur l’espace de travail Microsoft Sentinel.

  • Installez la solution Amazon Web Services à partir du hub de contenu dans Microsoft Sentinel. Si vous avez déjà installé la version 3.0.2 de la solution (ou une version antérieure), mettez à jour la solution dans le hub de contenu pour vous assurer que vous disposez de la dernière version qui inclut ce connecteur. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Activer et configurer le connecteur WAF Amazon Web Services S3

Le processus d’activation et de configuration du connecteur se compose des tâches suivantes :

  • Dans votre environnement AWS :

    La page de connecteur WAF Amazon Web Services S3 S 3 dans Microsoft Sentinel contient des modèles de pile AWS CloudFormation téléchargeables qui automatisent les tâches AWS suivantes :

    • Configurez vos services AWS pour envoyer des journaux à un compartiment S3.

    • Créez une file d’attente SQS (Simple Queue Service) pour fournir une notification.

    • Créez un fournisseur d'identité Web pour authentifier les utilisateurs auprès d'AWS via OpenID Connect (OIDC).

    • Créez un rôle assumé pour accorder des autorisations aux utilisateurs authentifiés par le fournisseur d'identité Web OIDC pour accéder à vos ressources AWS.

    • Attachez les stratégies d'autorisations IAM appropriées pour accorder au rôle assumé l'accès aux ressources appropriées (compartiment S3, SQS).

  • Dans Microsoft Sentinel :

    • Configurez connecteur WAF Amazon Web Services S3 dans le portail Microsoft Sentinel en ajoutant collecteurs de journaux qui interrogent la file d’attente et récupèrent les données de journal à partir du compartiment S3. Voir les instructions ci-dessous.

Configurer l’environnement AWS

Pour simplifier le processus d’intégration, la page du connecteur WAF Amazon Web Services S3 dans Microsoft Sentinel contient des modèles téléchargeables que vous pouvez utiliser avec le service AWS CloudFormation. Le service CloudFormation utilise ces modèles pour créer automatiquement des piles de ressources dans AWS. Ces piles incluent les ressources elles-mêmes, comme décrit dans cet article, ainsi que les informations d’identification, les autorisations et les stratégies.

Préparer les fichiers de modèle

Pour exécuter le script pour configurer l’environnement AWS, procédez comme suit :

  1. Dans le portail Azure, dans le menu de navigation Microsoft Sentinel, développez configuration, puis sélectionnez connecteurs de données.

    Dans le portail Defender, dans le menu de lancement rapide, développez Microsoft Sentinel > Configuration , puis sélectionnez connecteurs de données.

  2. Sélectionnez WAF Amazon Web Services S3 dans la liste des connecteurs de données.

    Si vous ne voyez pas le connecteur, installez la solution Amazon Web Services à partir du hub de contenu sous gestion de contenu dans Microsoft Sentinel, ou mettez à jour la solution vers la dernière version.

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

    Capture d’écran de la galerie de connecteurs de données.

  4. Dans la section Configuration, sous 1. Déploiement AWS CloudFormation, sélectionnez le lien Piles AWS CloudFormation. La console AWS s’ouvre dans un nouvel onglet de navigateur.

  5. Revenez à l’onglet du portail dans lequel Microsoft Sentinel est ouvert. Sélectionnez Télécharger sous Modèle 1 : déploiement d’authentification OpenID Connect pour télécharger le modèle qui crée le fournisseur d’identité web OIDC. Le modèle est téléchargé en tant que fichier JSON dans votre dossier de téléchargements désignés.

    Remarque

    Si vous avez l’ancien connecteur AWS S3 et que vous disposez donc déjà d’un fournisseur d’identité web OIDC, vous pouvez ignorer cette étape.

  6. Sélectionnez Télécharger sous modèle 2 : déploiement de ressources WAF AWS pour télécharger le modèle qui crée les autres ressources AWS. Le modèle est téléchargé en tant que fichier JSON dans votre dossier de téléchargements désignés.

    Capture d’écran de la page de configuration du connecteur WAF AWS S3.

Créer des piles AWS CloudFormation

Revenez à l’onglet du navigateur AWS Console, qui est ouvert à la page AWS CloudFormation pour la création d’une pile.

Si vous n’êtes pas déjà connecté à AWS, connectez-vous maintenant et vous êtes redirigé vers la page AWS CloudFormation.

Créer le fournisseur d’identité web OIDC

Suivez les instructions de la page console AWS pour créer une pile.

(Si vous disposez déjà du fournisseur d’identité web OIDC à partir de la version précédente du connecteur AWS S3, ignorez cette étape et passez à Créer les ressources AWS restantes.)

  1. Spécifiez un modèle et chargez un fichier de modèle.

  2. Sélectionnez Choisir un fichier et recherchez le fichier «Template 1_ OpenID connect authentication deployment.json» que vous avez téléchargé.

  3. Choisissez un nom pour la pile.

  4. Avancez jusqu’au reste du processus et créez la pile.

Créer les ressources AWS restantes

  1. Revenez à la page des piles AWS CloudFormation et créez une pile.

  2. Sélectionnez Choisir un fichier et recherchez le fichier «Template 2_ AWS WAF resources deployment.json» que vous avez téléchargé.

  3. Choisissez un nom pour la pile.

  4. Lorsque vous y êtes invité, entrez votre ID d’espace de travail Microsoft Sentinel. Pour trouver votre ID d’espace de travail :

    • Dans le portail Azure, dans le menu de navigation Microsoft Sentinel, développez Configuration , puis sélectionnez Paramètres. Sélectionnez l’onglet paramètres Espace de travail, puis recherchez l’ID de l’espace de travail dans la page de l’espace de travail Log Analytics.

    • Dans le portail Defender, dans le menu de lancement rapide, développez système, puis sélectionnez Paramètres. Sélectionnez Microsoft Sentinel, puis sélectionnez paramètres Log Analytics sous paramètres pour [WORKSPACE_NAME]. Recherchez l’ID de l’espace de travail dans la page de l’espace de travail Log Analytics, qui s’ouvre dans un nouvel onglet de navigateur.

  5. Avancez jusqu’au reste du processus et créez la pile.

Ajouter des collecteurs de journaux

Lorsque les piles de ressources sont toutes créées, revenez à l’onglet du navigateur ouvert à la page du connecteur de données dans Microsoft Sentinel et commencez la deuxième partie du processus de configuration.

  1. Dans la section Configuration, sous 2. Connectez de nouveaux collecteurs, sélectionnez Ajouter un nouveau collecteur.

    Capture d’écran de la deuxième partie de la configuration du connecteur AWS.

  2. Entrez le rôle ARN du rôle IAM créé. Le nom par défaut du rôle est OIDC_MicrosoftSentinelRole, de sorte que le rôle ARN serait
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Entrez le nom de la file d’attente SQS créée. Le nom par défaut de cette file d’attente est SentinelSQSQueue, de sorte que l’URL serait
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Sélectionnez Connect pour ajouter le collecteur. Cela crée une règle de collecte de données pour l’agent Azure Monitor pour récupérer les journaux et les ingérer dans la table de AWSWAF dédiée dans votre espace de travail Log Analytics.

    Capture d’écran de l’ajout d’un nouveau collecteur pour les journaux WAF.

Installation manuelle

Maintenant que le processus d’installation automatique est plus fiable, il n’y a pas beaucoup de bonnes raisons de recourir à la configuration manuelle. Si vous devez cependant consulter les instructions de configuration manuelle dans la documentation Amazon Web Services S3 Connector.

Tester et surveiller le connecteur

  1. Une fois le connecteur configuré, accédez à la page Journaux d’activité (ou à la page repérage avancé dans le portail Defender) et exécutez la requête suivante. Si vous obtenez des résultats, le connecteur fonctionne correctement.

    AWSWAF
| take 10

  2. Si ce n’est déjà fait, nous vous recommandons d’implémenter la surveillance de l’intégrité des connecteurs de données afin de savoir quand les connecteurs ne reçoivent pas de données ni d’autres problèmes avec les connecteurs. Pour plus d’informations, consultez Superviser l’intégrité de vos connecteurs de données.