Conecte o Microsoft Sentinel ao Amazon Web Services para ingerir os logs do WAF da AWS

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use o conector do Firewall de Aplicativo Web (WAF) baseado em S3 da Amazon Web Services (AWS) para ingerir os logs do WAF da AWS, coletados em buckets da AWS S3, no Microsoft Sentinel. Os logs do WAF da AWS são registros detalhados do tráfego da Web analisados pelo WAF da AWS em relação às listas de controle de acesso à Web (ACLs). Esses registros contêm informações como a hora em que o WAF da AWS recebeu a solicitação, as especificidades da solicitação e a ação tomada pela regra à qual a solicitação correspondeu. Esses logs e essa análise são essenciais para manter a segurança e o desempenho dos aplicativos Web.

Esse conector apresenta a estreia de um novo script de integração baseado na AWS CloudFormation, para simplificar a criação dos recursos da AWS usados pelo conector.

Importante

• O conector de dados Amazon Web Services S3 WAF está atualmente em versão prévia. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

• O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Visão geral

O conector de dados Amazon Web Services S3 WAF atende aos seguintes casos de uso:

• Monitoramento de segurança e detecção de ameaças: Analisar os logs de WAF da AWS para ajudar a identificar e responder a ameaças à segurança, como injeção de SQL e ataques de cross-site scripting. (XSS). Ao ingerir esses logs no Microsoft Sentinel, você pode usar sua análise avançada e inteligência contra ameaças para detectar e investigar atividades mal-intencionadas.

• Conformidade e auditoria: Os logs de WAF da AWS fornecem registros detalhados do tráfego de ACL da Web, o que pode ser crucial para fins de relatórios de conformidade e auditoria. O conector garante que esses logs estejam disponíveis no Sentinel para facilitar o acesso e a análise.

Este artigo explica como configurar o conector Amazon Web Services S3 WAF. O processo de configuração tem duas partes: o lado da AWS e o lado do Microsoft Sentinel. O processo de cada lado produz informações usadas pelo outro lado. Essa autenticação bidirecional cria uma comunicação segura.

Pré-requisitos

• Você precisa ter permissão de gravação no espaço de trabalho do Microsoft Sentinel.

• Instale a solução Amazon Web Services do Hub de Conteúdo no Microsoft Sentinel. Se você tiver a versão 3.0.2 da solução (ou anterior) já instalada, atualize a solução no hub de conteúdo para garantir que você tenha a versão mais recente que inclui esse conector. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Habilitar e configurar o conector Amazon Web Services S3 WAF

O processo de habilitação e configuração do conector consiste nas seguintes tarefas:

• Em seu ambiente da AWS:

  A página do conector Amazon Web Services S3 WAF no Microsoft Sentinel contém modelos de pilha do AWS CloudFormation para download que automatizam as seguintes tarefas da AWS:

  • Configure seus serviços AWS para enviar logs a um bucket S3.

  • Crie uma fila do SQS (Simple Queue Service) para fornecer notificação.

  • Crie um provedor de identidade web para autenticar usuários na AWS por meio do OpenID Connect (OIDC).

  • Crie uma função assumida para conceder permissões a usuários autenticados pelo provedor de identidade da web OIDC para acessar seus recursos da AWS.

  • Anexe as políticas de permissões do IAM apropriadas para conceder à função assumida acesso aos recursos apropriados (bucket S3, SQS).

• No Microsoft Sentinel:

  • Configuração do Connector Amazon Web Services S3 WAF no portal do Microsoft Sentinel adicionando coletores de log que pesquisam a fila e recuperam dados de log do bucket S3. Confira as instruções abaixo.

Configurar o ambiente da AWS

Para simplificar o processo de integração, a página do conector Amazon Web Services S3 WAF no Microsoft Sentinel contém modelos para download que podem ser usados com o serviço AWS CloudFormation. O serviço CloudFormation usa esses modelos para criar automaticamente pilhas de recursos na AWS. Essas pilhas incluem os próprios recursos, conforme descrito neste artigo, bem como credenciais, permissões e políticas.

Preparar os arquivos do modelo

Para executar o script para configurar o ambiente da AWS, siga as seguintes etapas:

1. No portal do Azure, no menu de navegação do Microsoft Sentinel, expanda Configuração e selecione Conectores de Dados.

   No portal do Defender, no menu de início Rápido, expanda Microsoft Sentinel > Configuração e selecione Conectores de Dados.

2. Selecione Amazon Web Services S3 WAF na lista de conectores de dados.

   Se você não vir o conector, instale a solução Amazon Web Services do Hub de conteúdo em Gerenciamento de conteúdo no Microsoft Sentinel, ou atualize a solução para a versão mais recente.

3. No painel de detalhes, selecione Abrir página do conector.

   

4. Na seção Configuração, em 1. Implantação do AWS CloudFormation, selecione o link AWS CloudFormation Stacks. Isso abre o console da AWS em uma nova guia do navegador.

5. Volte para a guia do portal onde o Microsoft Sentinel está aberto. Selecione Download em Modelo 1: Implantação de autenticação do OpenID Connect para baixar o modelo que cria o provedor de identidade da Web do OIDC. O modelo é baixado como um arquivo JSON para sua pasta de downloads designada.

   Observação

   Se você tiver o conector AWS S3 mais antigo e, portanto, já tiver um provedor de identidade da Web do OIDC, poderá ignorar esta etapa.

6. Selecione Download em Modelo 2: Implantação de recursos de WAF da AWS para baixar o modelo que cria os outros recursos da AWS. O modelo é baixado como um arquivo JSON para sua pasta de downloads designada.

   

Criar pilhas da AWS CloudFormation

Volte para a guia do navegador do Console da AWS, que está aberta na página da AWS CloudFormation para criar uma pilha.

Se ainda não estiver conectado à AWS, faça logon agora e você será redirecionado para a página da AWS CloudFormation.

Criar o provedor de identidade da Web do OIDC

Siga as instruções na página Console AWS para criar uma nova pilha.

(Se você já tiver o provedor de identidade da Web OIDC da versão anterior do conector AWS S3, ignore esta etapa e prossiga para Criar os recursos restantes da AWS.)

1. Especifique um modelo e carregue um arquivo de modelo.

2. Selecione Escolher arquivo e localize o arquivo "Template 1_ OpenID connect authentication deployment.json" que você baixou.

3. Escolha um nome para a pilha.

4. Avance pelo restante do processo e crie a pilha.

Criar os recursos restantes da AWS

1. Retorne à página de pilhas AWS CloudFormation e crie uma nova pilha.

2. Selecione Escolher arquivo e localize o arquivo "Template 2_ AWS WAF resources deployment.json" que você baixou.

3. Escolha um nome para a pilha.

4. Quando solicitado, insira sua ID de Workspace do Microsoft Sentinel. Para encontrar sua ID de Workspace:

   • No portal do Azure, no menu de navegação do Microsoft Sentinel, expanda Configuração e selecione Configurações. Selecione a guia Configurações do workspace e localize a ID do Workspace na página do workspace do Log Analytics.

   • No portal do Defender, no menu de início rápido, expanda Sistema e selecione Configurações. Selecione Microsoft Sentinel em, em seguida, selecione Configurações do Log Analytics em Configurações para [WORKSPACE_NAME]. Localize a ID do Workspace na página do workspace do Log Analytics, que é aberta em uma nova guia do navegador.

5. Avance pelo restante do processo e crie a pilha.

Adicionar coletores de logs

Quando todas as pilhas de recursos forem criadas, retorne à guia do navegador aberta na página do conector de dados no Microsoft Sentinel e inicie a segunda parte do processo de configuração.

1. Na seção Configuração, em 2. Conectar novos coletores, selecione Adicionar novo coletor.

   

2. Insira a ARN da função IAM que foi criada. O nome padrão da função é OIDC_MicrosoftSentinelRole, portanto, a função ARN seria
   arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

3. Insira o nome da fila SQS que foi criada. O nome padrão para essa fila é SentinelSQSQueue, portanto, a URL seria
   https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

4. Selecione Conectar para adicionar o coletor. Isso cria uma regra de coleta de dados para que o Agente do Azure Monitor recupere os logs e os ingira na tabela dedicada AWSWAF em seu workspace do Log Analytics.

   

Configuração manual

Agora que o processo de configuração automática é mais confiável, não há muitos bons motivos para recorrer à configuração manual. No entanto,se você precisar, consulte as Instruções de configuração manual na Documentação do Conector Amazon Web Services S3.

Testar e monitorar o conector

1. Depois que o conector estiver configurado, acesse a página Logs (ou a página Busca avançada de ameaças no portal do Defender) e execute a seguinte consulta. Se obtiver algum resultado, o conector está funcionando corretamente.

   AWSWAF
   | take 10
   

2. Se ainda não tiver feito isso, recomendamos que você implemente o monitoramento de integridade do conector de dados para que possa saber quando os conectores não estão recebendo dados ou quando há outros problemas com os conectores. Para obter mais informações, confira Monitorar a integridade dos seus conectores de dados.