通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS WAF 日志

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用基于 Amazon Web Services (AWS) S3 的 Web 应用程序防火墙 (WAF) 连接器,将收集在 AWS S3 存储桶中的 AWS WAF 日志引入到Microsoft Sentinel。 AWS WAF 日志是 AWS WAF 针对 Web 访问控制列表 (ACL) 分析的 Web 流量的详细记录。 这些记录包含各种信息,例如 AWS WAF 收到请求的时间、请求的具体内容以及请求匹配的规则所执行的操作。 这些日志和此分析对于维护 Web 应用程序的安全性和性能至关重要。

此连接器首次推出基于 AWS CloudFormation 的新载入脚本,以简化连接器使用的 AWS 资源的创建过程

重要

  • Amazon Web Services S3 WAF 数据连接器目前为预览版Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

  • Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

概述

Amazon Web Services S3 WAF数据连接器用于以下用例

  • 安全监视和威胁检测:分析 AWS WAF 日志,以帮助识别和响应安全威胁,例如 SQL 注入和跨站脚本 (XSS) 攻击。 通过将这些日志引入 Microsoft Sentinel,可以使用其高级分析和威胁情报来检测和调查恶意活动。

  • 合规性和审核:AWS WAF 日志提供了 Web ACL 流量的详细记录,这对于合规性报告和审核目的至关重要。 连接器可确保这些日志在 Sentinel 中可用,以便轻松访问和分析。

本文介绍了如何配置 Amazon Web Services S3 WAF 连接器。 设置的过程包括两个部分:AWS 端和 Microsoft Sentinel 端。 每端的进程都将产生另一端使用的信息。 这种双向身份验证可建立安全通信。

先决条件

  • 必须拥有对 Microsoft Sentinel 工作区的写入权限。

  • 从 Microsoft Sentinel 中的“内容中心”安装 Amazon Web Services 解决方案。 如果已安装解决方案版本 3.0.2(或更早版本),请更新内容中心中的解决方案,以确保拥有包含此连接器的最新版本。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

启用和配置 Amazon Web Services S3 WAF 连接器

启用和配置连接器的过程包括以下任务:

  • 在 AWS 环境中

    Microsoft Sentinel 中的 Amazon Web Services S3 WAF 连接器页包含可下载的 AWS CloudFormation 堆栈模板,后者用于自动执行以下 AWS 任务

    • 配置你的 AWS 服务以将日志发送到 S3 存储桶。

    • 创建一个简单队列服务 (SQS) 队列以提供通知。

    • 创建 Web 标识提供者,以通过 OpenID Connect (OIDC) 向 AWS 验证用户

    • 创建一个承担的角色,以授予由 OIDC Web 标识提供者进行身份验证的用户访问 AWS 资源的权限

    • 附加适当的 IAM 权限策略以授予承担的角色对适当资源(S3 存储桶、SQS)的访问权限。

  • 在 Microsoft Sentinel 中

    • 在 Microsoft Sentinel 门户中配置 Amazon Web Services S3 WAF 连接器,方法是添加日志收集器来轮询队列并从 S3 存储桶中检索日志数据请参阅以下说明

设置 AWS 环境

为了简化载入过程,Microsoft Sentinel 中的 Amazon Web Services S3 WAF 连接器页包含可用于 AWS CloudFormation 服务的可下载模板。 CloudFormation 服务使用这些模板在 AWS 中自动创建资源堆栈。 这些堆栈包括本文中所述的资源,以及凭据、权限和策略。

准备模板文件

若要运行该脚本以设置 AWS 环境,请执行以下步骤:

  1. 在 Azure 门户中,从 Microsoft Sentinel 导航菜单展开“配置”,然后选择“数据连接器”。

    在 Defender 门户中,从快速启动菜单展开“Microsoft Sentinel”>“配置”,然后选择“数据连接器”。

  2. 从数据连接器列表中选择“Amazon Web Services S3 WAF”。

    如果未看到此连接器,请在 Microsoft Sentinel 中从“内容管理”下的“内容中心”安装 Amazon Web Services 解决方案,或者将该解决方案更新为最新版本。

  3. 在连接器的详细信息窗格中,选择“打开连接器页面”。

    数据连接器库的屏幕截图。

  4. 在“配置”部分,在“1.AWS CloudFormation 部署”下方,选择 AWS CloudFormation 堆栈链接。 这将在新浏览器选项卡中打开 AWS 控制台。

  5. 返回到已打开 Microsoft Sentinel 的门户选项卡。 在“模板 1: OpenID Connect 身份验证部署”下方选择“下载”,以下载用于创建 OIDC Web 标识提供者的模板。 该模板将作为 JSON 文件下载到指定的下载文件夹中。

    注意

    如果你拥有较旧的 AWS S3 连接器,因此已有 OIDC Web 标识提供者,则可以跳过此步骤。

  6. 在“模板 2: AWS WAF 资源部署”下方选择“下载”,以下载用于创建其他 AWS 资源的模板。 该模板将作为 JSON 文件下载到指定的下载文件夹中。

    AWS S3 WAF 连接器配置页的屏幕截图。

创建 AWS CloudFormation 堆栈

返回到 AWS 控制台浏览器选项卡,该选项卡将打开用于创建堆栈的 AWS CloudFormation 页面。

如果你尚未登录到 AWS,请立即登录,并重定向到 AWS CloudFormation 页面。

创建 OIDC Web 标识提供者

按照 AWS 控制台页面上的说明创建新堆栈。

(如果已有以前版本的 AWS S3 连接器中的 OIDC Web 标识提供者,请跳过此步骤并继续创建剩余的 AWS 资源。)

  1. 指定模板并上传模板文件。

  2. 选择“选择文件”,找到已下载的“Template 1_ OpenID connect authentication deployment.json”文件

  3. 选择堆栈的名称。

  4. 继续完成该过程的其余部分并创建堆栈。

创建剩余的 AWS 资源

  1. 返回到 AWS CloudFormation 堆栈页面并创建新堆栈。

  2. 选择“选择文件”,找到已下载的“Template 2_ AWS WAF resources deployment.json”文件

  3. 选择堆栈的名称。

  4. 出现提示时,输入你的 Microsoft Sentinel 工作区 ID。 若要查找工作区 ID,请执行以下操作:

    • 在 Azure 门户的 Microsoft Sentinel 导航菜单中,展开“配置”,然后选择“设置”。 选择“工作区设置”选项卡,然后在 Log Analytics 工作区页面上找到工作区 ID。

    • 在 Defender 门户的快速启动菜单中,展开“系统”并选择“设置”。 选择“Microsoft Sentinel”,然后在“[WORKSPACE_NAME] 的设置”下选择“Log Analytics 设置”。 在 Log Analytics 工作区页面上找到工作区 ID,该页面将在新的浏览器选项卡中打开。

  5. 继续完成该过程的其余部分并创建堆栈。

添加日志收集器

创建资源堆栈后,返回到浏览器选项卡,打开 Microsoft Sentinel 中的数据连接器页面,然后开始配置过程的第二部分。

  1. 在“配置”部分,在“2.连接新收集器”下方,选择“添加新收集器”。

    AWS 连接器配置第二部分的屏幕截图。

  2. 输入已创建的 IAM 角色的角色 ARN。 角色的默认名称为“OIDC_MicrosoftSentinelRole”,因此角色 ARN 将为
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole

  3. 输入已创建的 SQS 队列的名称。 此队列的默认名称为“SentinelSQSQueue”,因此 URL 将为
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue

  4. 选择“连接”以添加收集器。 这会为 Azure Monitor 代理创建数据收集规则,以检索日志并将其引入到 Log Analytics 工作区的专用 AWSWAF 表中

    为 WAF 日志添加新收集器的屏幕截图。

手动设置

由于自动设置过程更可靠,因此没有太多的理由来求助于手动设置。 但是,如果必须这样做,请参阅 Amazon Web Services S3 连接器文档中的手动设置说明

测试和监视连接器

  1. 设置连接器后,请转到“日志”页(或 Defender 门户中的“高级搜寻”页),并运行以下查询。 如果收到任何结果,则表示连接器工作正常。

    AWSWAF
| take 10

  2. 如果尚未这样做,则我们建议实施数据连接器运行状况监视,以便知道连接器何时未收到数据或连接器的任何其他问题。 有关详细信息,请参阅监视数据连接器的运行状况