Compartilhar via

Conecte o Microsoft Sentinel à Amazon Web Services para ingerir logs do AWS WAF

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use o conector do Web Application Firewall (WAF) baseado no Amazon Web Services (AWS) S3 para ingerir logs do AWS WAF, coletados em buckets do AWS S3, para o Microsoft Sentinel. Os logs do AWS WAF são registros detalhados do tráfego da web analisados pelo AWS WAF em relação às listas de controle de acesso à web (ACLs). Esses registros contêm informações como a hora em que o AWS WAF recebeu a solicitação, as especificidades da solicitação e a ação executada pela regra correspondente à solicitação. Esses logs e essa análise são essenciais para manter a segurança e o desempenho das aplicações web.

Esse conector apresenta a estreia de um novo script de integração baseado no AWS CloudFormation, para simplificar a criação dos recursos da AWS usados pelo conector.

Importante

  • O conector de dados WAF do Amazon Web Services S3 está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

  • O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Descrição geral

O conector de dados WAF do Amazon Web Services S3 atende aos seguintes casos de uso:

  • Monitoramento de segurança e deteção de ameaças: analise os logs do AWS WAF para ajudar a identificar e responder a ameaças à segurança, como injeção de SQL e ataques de script entre sites (XSS). Ao ingerir esses logs no Microsoft Sentinel, você pode usar suas análises avançadas e inteligência de ameaças para detetar e investigar atividades maliciosas.

  • Conformidade e auditoria: os logs do AWS WAF fornecem registros detalhados do tráfego de ACL da web, que podem ser cruciais para fins de relatórios e auditoria de conformidade. O conector garante que esses logs estejam disponíveis no Sentinel para fácil acesso e análise.

Este artigo explica como configurar o conector WAF do Amazon Web Services S3. O processo de configuração tem duas partes: o lado da AWS e o lado do Microsoft Sentinel. O processo de cada lado produz informações usadas pelo outro lado. Essa autenticação bidirecional cria uma comunicação segura.

Pré-requisitos

  • Você deve ter permissão de gravação no espaço de trabalho do Microsoft Sentinel.

  • Instale a solução Amazon Web Services a partir do Content Hub no Microsoft Sentinel. Se você tiver a versão 3.0.2 da solução (ou anterior) já instalada, atualize a solução no hub de conteúdo para garantir que você tenha a versão mais recente que inclua esse conector. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Habilitar e configurar o conector WAF do Amazon Web Services S3

O processo de habilitação e configuração do conector consiste nas seguintes tarefas:

  • Em seu ambiente da AWS:

    A página do conector WAF do Amazon Web Services S3 no Microsoft Sentinel contém modelos de pilha do AWS CloudFormation para download que automatizam as seguintes tarefas da AWS:

    • Configure o(s) seu(s) serviço(s) da AWS para enviar logs para um bucket do S3.

    • Crie uma fila SQS (Simple Queue Service) para fornecer notificação.

    • Crie um provedor de identidade da web para autenticar usuários na AWS por meio do OpenID Connect (OIDC).

    • Crie uma função assumida para conceder permissões aos usuários autenticados pelo provedor de identidade da web OIDC para acessar seus recursos da AWS.

    • Anexe as políticas de permissões apropriadas do IAM para conceder à função assumida acesso aos recursos apropriados (bucket do S3, SQS).

  • No Microsoft Sentinel:

    • Configure o conector WAF do Amazon Web Services S3 no portal do Microsoft Sentinel adicionando coletores de log que pesquisam a fila e recuperam dados de log do bucket do S3. Consulte as instruções abaixo.

Configurar o ambiente da AWS

Para simplificar o processo de integração, a página do conector WAF do Amazon Web Services S3 no Microsoft Sentinel contém modelos para download para você usar com o serviço AWS CloudFormation. O serviço CloudFormation usa esses modelos para criar automaticamente pilhas de recursos na AWS. Essas pilhas incluem os próprios recursos, conforme descrito neste artigo, bem como credenciais, permissões e políticas.

Preparar os arquivos de modelo

Para executar o script para configurar o ambiente da AWS, use as seguintes etapas:

  1. No portal do Azure, no menu de navegação do Microsoft Sentinel, expanda Configuração e selecione Conectores de dados.

    No portal do Defender, no menu de início rápido, expanda Configuração do Microsoft Sentinel > e selecione Conectores de dados.

  2. Selecione Amazon Web Services S3 WAF na lista de conectores de dados.

    Se você não vir o conector, instale a solução Amazon Web Services a partir do hub de conteúdo em Gerenciamento de conteúdo no Microsoft Sentinel ou atualize a solução para a versão mais recente.

  3. No painel de detalhes do conector, selecione Abrir página do conector.

    Captura de ecrã da galeria de conectores de dados.

  4. Na seção Configuração, em 1. AWS CloudFormation Deployment, selecione o link AWS CloudFormation Stacks. Isso abre o console da AWS em uma nova guia do navegador.

  5. Regresse ao separador do portal onde tem o Microsoft Sentinel aberto. Selecione Download em Modelo 1: implantação de autenticação do OpenID Connect para baixar o modelo que cria o provedor de identidade da Web OIDC. O modelo é baixado como um arquivo JSON para sua pasta de downloads designada.

    Nota

    Se você tiver o conector mais antigo do AWS S3 e, portanto, já tiver um provedor de identidade da web OIDC, poderá ignorar esta etapa.

  6. Selecione Download em Modelo 2: Implantação de recursos do AWS WAF para fazer download do modelo que cria os outros recursos da AWS. O modelo é baixado como um arquivo JSON para sua pasta de downloads designada.

    Captura de tela da página de configuração do conector WAF do AWS S3.

Criar pilhas do AWS CloudFormation

Retorne à guia do navegador do Console AWS, que está aberta na página do AWS CloudFormation para criar uma pilha.

Se você ainda não estiver conectado à AWS, faça login agora e será redirecionado para a página do AWS CloudFormation.

Criar o provedor de identidade da Web OIDC

Siga as instruções na página do Console AWS para criar uma nova pilha.

(Se você já tiver o provedor de identidade da web OIDC da versão anterior do conector do AWS S3, ignore esta etapa e prossiga para Crie os recursos restantes da AWS.)

  1. Especifique um modelo e carregue um arquivo de modelo.

  2. Selecione Escolher arquivo e localize o arquivo "Template 1_ OpenID connect authentication deployment.json" que você baixou.

  3. Escolha um nome para a pilha.

  4. Avance pelo resto do processo e crie a pilha.

Crie os recursos restantes da AWS

  1. Retorne à página de pilhas do AWS CloudFormation e crie uma nova pilha.

  2. Selecione Choose file (Escolher arquivo ) e localize o arquivo "Template 2_ AWS WAF resources deployment.json" que você baixou.

  3. Escolha um nome para a pilha.

  4. Quando solicitado, insira sua ID do Microsoft Sentinel Workspace. Para encontrar o ID do espaço de trabalho:

    • No portal do Azure, no menu de navegação do Microsoft Sentinel, expanda Configuração e selecione Configurações. Selecione a guia Configurações do espaço de trabalho e localize o ID do espaço de trabalho na página do espaço de trabalho do Log Analytics.

    • No portal do Defender, no menu de início rápido, expanda Sistema e selecione Configurações. Selecione Microsoft Sentinel e, em seguida, selecione Configurações do Log Analytics em Configurações para [WORKSPACE_NAME]. Encontre o ID do espaço de trabalho na página do espaço de trabalho do Log Analytics, que é aberta em uma nova guia do navegador.

  5. Avance pelo resto do processo e crie a pilha.

Adicionar coletores de log

Quando as pilhas de recursos forem todas criadas, retorne à guia do navegador aberta para a página do conector de dados no Microsoft Sentinel e inicie a segunda parte do processo de configuração.

  1. Na seção Configuração, em 2. Conecte novos coletores, selecione Adicionar novo coletor.

    Captura de tela da segunda parte da configuração do conector da AWS.

  2. Insira o ARN da função do IAM que foi criada. O nome padrão para a função é OIDC_MicrosoftSentinelRole, portanto, o ARN da função seria
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Insira o nome da fila SQS que foi criada. O nome padrão para essa fila é SentinelSQSQueue, portanto, a URL seria
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Selecione Conectar para adicionar o coletor. Isso cria uma regra de coleta de dados para o Azure Monitor Agent recuperar os logs e ingeri-los na tabela dedicada do AWSWAF em seu espaço de trabalho do Log Analytics.

    Captura de tela da adição de novo coletor para logs WAF.

Configuração manual

Agora que o processo de configuração automática é mais fiável, não há muitas boas razões para recorrer à configuração manual. No entanto, se necessário, consulte as instruções de configuração manual na documentação do Amazon Web Services S3 Connector.

Teste e monitore o conector

  1. Depois que o conector estiver configurado, vá para a página Logs (ou a página Caça avançada no portal do Defender) e execute a seguinte consulta. Se você obtiver algum resultado, o conector está funcionando corretamente.

    AWSWAF
| take 10

  2. Se você ainda não tiver feito isso, recomendamos que implemente o monitoramento da integridade do conector de dados para saber quando os conectores não estão recebendo dados ou quaisquer outros problemas com conectores. Para obter mais informações, consulte Monitorar a integridade dos conectores de dados.