Microsoft Sentinel verbinden met Amazon Web Services om AWS WAF-logboeken op te nemen

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gebruik de WAF-connector (Amazon Web Services) S3 (Web Application Firewall) voor het opnemen van AWS WAF-logboeken, verzameld in AWS S3-buckets, naar Microsoft Sentinel. AWS WAF-logboeken zijn gedetailleerde records van het webverkeer dat door de AWS WAF wordt geanalyseerd op basis van webtoegangsbeheerlijsten (ACL's). Deze records bevatten informatie zoals de tijd waarop AWS WAF de aanvraag heeft ontvangen, de specifieke kenmerken van de aanvraag en de actie die is ondernomen door de regel die overeenkomt met de aanvraag. Deze logboeken en deze analyse zijn essentieel voor het onderhouden van de beveiliging en prestaties van webtoepassingen.

Deze connector bevat het debuut van een nieuw onboardingscript op basis van AWS CloudFormation om het maken van de AWS-resources die door de connector worden gebruikt, te stroomlijnen.

Belangrijk

• De Amazon Web Services S3 WAF-gegevensconnector is momenteel in preview. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

• Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Overzicht

De Amazon Web Services S3 WAF-gegevensconnector dient de volgende gebruiksvoorbeelden:

• Beveiligingsbewaking en bedreigingsdetectie: Analyseer AWS WAF-logboeken om beveiligingsrisico's te identificeren en erop te reageren, zoals SQL-injectie en XSS-aanvallen (Cross-Site Scripting). Door deze logboeken op te nemen in Microsoft Sentinel, kunt u de geavanceerde analyse- en bedreigingsinformatie gebruiken om schadelijke activiteiten te detecteren en te onderzoeken.

• Naleving en controle: AWS WAF-logboeken bieden gedetailleerde records van web-ACL-verkeer, wat cruciaal kan zijn voor nalevingsrapportage en controledoeleinden. De connector zorgt ervoor dat deze logboeken beschikbaar zijn in Sentinel voor eenvoudige toegang en analyse.

In dit artikel wordt uitgelegd hoe u de Amazon Web Services S3 WAF-connector configureert. Het instellen ervan bestaat uit twee delen: de AWS-zijde en de Microsoft Sentinel-zijde. Het proces van elke zijde produceert informatie die door de andere kant wordt gebruikt. Met deze tweerichtingsverificatie wordt beveiligde communicatie gemaakt.

Vereisten

• U moet schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

• Installeer de Amazon Web Services-oplossing vanuit de Content Hub in Microsoft Sentinel. Als u versie 3.0.2 van de oplossing (of eerder) al hebt geïnstalleerd, werkt u de oplossing bij in de inhoudshub om ervoor te zorgen dat u de nieuwste versie hebt die deze connector bevat. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

De Amazon Web Services S3 WAF-connector inschakelen en configureren

Het proces voor het inschakelen en configureren van de connector bestaat uit de volgende taken:

• In uw AWS-omgeving:

  De pagina Amazon Web Services S3 WAF-connector in Microsoft Sentinel bevat downloadbare AWS CloudFormation-stacksjablonen waarmee de volgende AWS-taken worden geautomatiseerd:

  • Configureer uw AWS-service(s) om logboeken te verzenden naar een S3-bucket.

  • Maak een SQS-wachtrij (Simple Queue Service) om een melding te geven.

  • Maak een web-id-provider om gebruikers te verifiëren bij AWS via OpenID Connect (OIDC).

  • Maak een veronderstelde rol om machtigingen te verlenen aan gebruikers die zijn geverifieerd door de OIDC-web-id-provider voor toegang tot uw AWS-resources.

  • Koppel het juiste IAM-machtigingenbeleid om de roltoegang van de aangenomen rol toe te kennen aan de juiste resources (S3-bucket, SQS).

• In Microsoft Sentinel:

  • Configureer de Amazon Web Services S3 WAF-connector in de Microsoft Sentinel-portal door logboekverzamelaars toe te voegen die de wachtrij doorzoeken en logboekgegevens ophalen uit de S3-bucket. Zie de onderstaande instructies.

De AWS-omgeving instellen

Ter vereenvoudiging van het onboardingproces bevat de pagina Amazon Web Services S3 WAF-connector in Microsoft Sentinel downloadbare sjablonen die u kunt gebruiken met de AWS CloudFormation-service. De CloudFormation-service gebruikt deze sjablonen om automatisch resourcestacks te maken in AWS. Deze stacks bevatten de resources zelf, zoals beschreven in dit artikel, evenals referenties, machtigingen en beleidsregels.

De sjabloonbestanden voorbereiden

Voer de volgende stappen uit om het script uit te voeren om de AWS-omgeving in te stellen:

1. Vouw in Azure Portal in het navigatiemenu van Microsoft Sentinel de optie Configuratie uit en selecteer Gegevensconnectors.

   Vouw in de Defender-portal in het snelstartmenu Microsoft Sentinel-configuratie > uit en selecteer Gegevensconnectors.

2. Selecteer Amazon Web Services S3 WAF in de lijst met gegevensconnectors.

   Als u de connector niet ziet, installeert u de Amazon Web Services-oplossing van de Inhoudshub onder Inhoudsbeheer in Microsoft Sentinel of werkt u de oplossing bij naar de nieuwste versie.

3. Selecteer de pagina Connector openen in het detailvenster voor de connector.

   

4. In de sectie Configuratie onder 1. AWS CloudFormation Deployment, selecteer de koppeling AWS CloudFormation Stacks . Hiermee opent u de AWS-console in een nieuw browsertabblad.

5. Ga terug naar het tabblad van de portal waar Microsoft Sentinel is geopend. Selecteer Downloaden onder Sjabloon 1: OpenID Connect-verificatieimplementatie om de sjabloon te downloaden waarmee de OIDC-web-id-provider wordt gemaakt. De sjabloon wordt gedownload als een JSON-bestand naar uw aangewezen downloadmap.

   Notitie

   Als u de oudere AWS S3-connector hebt en u daarom al een OIDC-web-id-provider hebt, kunt u deze stap overslaan.

6. Selecteer Downloaden onder Sjabloon 2: IMPLEMENTATIE van AWS WAF-resources om de sjabloon te downloaden waarmee de andere AWS-resources worden gemaakt. De sjabloon wordt gedownload als een JSON-bestand naar uw aangewezen downloadmap.

   

AWS CloudFormation-stacks maken

Ga terug naar het tabblad van de AWS Console-browser, dat is geopend voor de pagina AWS CloudFormation voor het maken van een stack.

Als u nog niet bent aangemeld bij AWS, meldt u zich nu aan en wordt u omgeleid naar de pagina AWS CloudFormation.

De OIDC-web-id-provider maken

Volg de instructies op de pagina AWS Console voor het maken van een nieuwe stack.

(Als u de OIDC-web-id-provider al hebt van de vorige versie van de AWS S3-connector, slaat u deze stap over en gaat u verder met Maak de resterende AWS-resources.)

1. Geef een sjabloon op en upload een sjabloonbestand.

2. Selecteer Bestand kiezen en zoek het bestand 'Template 1_ OpenID connect authentication deployment.json' dat u hebt gedownload.

3. Kies een naam voor de stack.

4. Ga door de rest van het proces en maak de stack.

De resterende AWS-resources maken

1. Ga terug naar de pagina AWS CloudFormation-stacks en maak een nieuwe stack.

2. Selecteer Bestand kiezen en zoek het bestand Sjabloon 2_ AWS WAF-resources deployment.json dat u hebt gedownload.

3. Kies een naam voor de stack.

4. Voer desgevraagd uw Microsoft Sentinel-werkruimte-id in. Ga als volgende te werk om uw werkruimte-id te vinden:

   • Vouw in Azure Portal in het navigatiemenu van Microsoft Sentinel configuratie uit en selecteer Instellingen. Selecteer het tabblad Werkruimte-instellingen en zoek de werkruimte-id op de pagina van de Log Analytics-werkruimte.

   • Vouw In de Defender-portal in het snelstartmenu systeem uit en selecteer Instellingen. Selecteer Microsoft Sentinel en selecteer vervolgens Log Analytics-instellingen onder Instellingen voor [WORKSPACE_NAME]. Zoek de werkruimte-id op de pagina van de Log Analytics-werkruimte, die wordt geopend op een nieuw browsertabblad.

5. Ga door de rest van het proces en maak de stack.

Logboekverzamelaars toevoegen

Wanneer de resourcestacks zijn gemaakt, gaat u terug naar het browsertabblad dat is geopend naar de pagina gegevensconnector in Microsoft Sentinel en begint u het tweede deel van het configuratieproces.

1. In de sectie Configuratie onder 2. Verbind nieuwe collectors en selecteer Nieuwe collector toevoegen.

   

2. Voer de rol ARN in van de IAM-rol die is gemaakt. De standaardnaam voor de rol is OIDC_MicrosoftSentinelRole, dus de rol ARN zou zijn
   arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

3. Voer de naam in van de SQS-wachtrij die is gemaakt. De standaardnaam voor deze wachtrij is SentinelSQSQueue, dus de URL zou zijn
   https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

4. Selecteer Verbinding maken om de collector toe te voegen. Hiermee maakt u een regel voor gegevensverzameling voor de Azure Monitor-agent om de logboeken op te halen en op te nemen in de toegewezen AWSWAF-tabel in uw Log Analytics-werkruimte.

   

Handmatige installatie

Nu het automatische installatieproces betrouwbaarder is, zijn er niet veel goede redenen om gebruik te maken van handmatige installatie. Als u dit wel moet doen, raadpleegt u de instructies voor handmatige installatie in de documentatie van Amazon Web Services S3 Connector.

De connector testen en bewaken

1. Nadat de connector is ingesteld, gaat u naar de pagina Logboeken (of de pagina Geavanceerde opsporing in de Defender-portal) en voert u de volgende query uit. Als u resultaten krijgt, werkt de connector goed.

   AWSWAF
   | take 10
   

2. Als u dit nog niet hebt gedaan, raden we u aan de statuscontrole van de gegevensconnector te implementeren, zodat u kunt weten wanneer connectors geen gegevens of andere problemen met connectors ontvangen. Zie De status van uw gegevensconnectors controleren voor meer informatie.