Amazon Web Services S3-anslutningsprogram för Microsoft Sentinel
Med den här anslutningsappen kan du mata in AWS-tjänstloggar som samlats in i AWS S3-bucketar till Microsoft Sentinel. De datatyper som stöds för närvarande är:
- AWS CloudTrail
- VPC-flödesloggar
- AWS GuardDuty
- AWSCloudWatch
Mer information finns i Microsoft Sentinel-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | AWSGuardDuty AWSVPCFlow AWSCloudTrail AWSCloudWatch |
| Stöd för regler för datainsamling | Stöds enligt listan |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Resultat av hög allvarlighetsgrad sammanfattade efter aktivitetstyp
AWSGuardDuty
| where Severity > 7
| summarize count() by ActivityType
De 10 mest avvisade åtgärderna av typen IPv4
AWSVPCFlow
| where Action == "REJECT"
| where Type == "IPv4"
| take 10
Händelser för användarskapande som sammanfattas efter region
AWSCloudTrail
| where EventName == "CreateUser"
| summarize count() by AWSRegion
Förutsättningar
Om du vill integrera med Amazon Web Services S3 kontrollerar du att du har:
- Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper samt de AWS-tjänster vars loggar du vill samla in.
Installationsanvisningar för leverantör
- Konfigurera din AWS-miljö
Det finns två alternativ för att konfigurera din AWS-miljö för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan:
- Lägg till anslutning
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.