共用方式為

將Microsoft Sentinel 連線至 Amazon Web Services 以內嵌 AWS WAF 記錄

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用 Amazon Web Services (AWS) S3 型 Web 應用程式防火牆 (WAF) 連接器來擷取 AWS WAF 記錄,並收集在 AWS S3 貯體中,以Microsoft Sentinel。 AWS WAF 記錄是 AWS WAF 針對 Web 存取控制清單 (ACL) 分析之 Web 流量的詳細記錄。 這些記錄包含資訊,例如 AWS WAF 收到要求的時間、要求的詳細數據,以及要求相符的規則所採取的動作。 這些記錄和這項分析對於維護 Web 應用程式的安全性和效能至關重要。

此連接器首次推出以 AWS CloudFormation 為基礎的上線腳本,以簡化建立連接器所使用的 AWS 資源。

重要

  • Amazon Web Services S3 WAF 數據連接器目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

  • Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

概觀

Amazon Web Services S3 WAF 數據連接器提供下列使用案例:

  • 安全性監視和威脅偵測: 分析 AWS WAF 記錄,以協助識別和回應安全性威脅,例如 SQL 插入式和跨網站腳本 (XSS) 攻擊。 藉由將這些記錄擷取至 Microsoft Sentinel,您可以使用其進階分析和威脅情報來偵測和調查惡意活動。

  • 合規性和稽核: AWS WAF 記錄會提供 Web ACL 流量的詳細記錄,這對合規性報告和稽核目的至關重要。 連接器可確保 Sentinel 中提供這些記錄,以便輕鬆存取和分析。

本文說明如何設定 Amazon Web Services S3 WAF 連接器。 設定它的程式有兩個部分:AWS 端和Microsoft Sentinel 端。 每一端的進程都會產生另一端所使用的資訊。 此雙向驗證會建立安全的通訊。

必要條件

  • 您必須具有Microsoft Sentinel 工作區的寫入許可權。

  • Microsoft Sentinel 的內容中樞 安裝 Amazon Web Services 解決方案。 如果您已安裝解決方案 3.0.2 版(或更早版本),請更新內容中樞中的解決方案,以確保您有包含此連接器的最新版本。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容

啟用及設定 Amazon Web Services S3 WAF 連接器

開啟與設定連接器的程式包含下列工作:

  • 在您的 AWS 環境中:

    Microsoft Sentinel 中的 Amazon Web Services S3 WAF 連接器頁面包含可下載的 AWS CloudFormation 堆棧範本,可將下列 AWS 工作自動化:

    • 設定 AWS 服務將記錄傳送至 S3 貯體

    • 建立 簡單的佇列服務 (SQS) 佇列 以提供通知。

    • 建立 Web 識別提供者 ,以透過 OpenID Connect (OIDC) 向 AWS 驗證使用者。

    • 建立 假設的角色 ,將許可權授與由 OIDC Web 身分識別提供者驗證的使用者,以存取 AWS 資源。

    • 附加適當的 IAM 許可權原則 ,以將所擔任的角色存取權授與適當的資源(S3 貯體、SQS)。

  • 在 Microsoft Sentinel 中:

    • 在 Microsoft Sentinel 入口網站中設定 Amazon Web Services S3 WAF 連接器,方法是新增記錄收集器,以輪詢佇列並從 S3 貯體擷取記錄數據。 請參閱下列指示。

設定 AWS 環境

為了簡化上線程式, Microsoft Sentinel 中的 Amazon Web Services S3 WAF 連接器頁面包含可供您搭配 AWS CloudFormation 服務使用的可下載範本。 CloudFormation 服務會使用這些範本在 AWS 中自動建立資源堆疊。 這些堆疊包含本文中所述的資源本身,以及認證、許可權和原則。

準備範本檔案

若要執行腳本來設定 AWS 環境,請使用下列步驟:

  1. 在 Azure 入口網站 中,從 Microsoft Sentinel 導覽功能表中,展開 [設定],然後選取 [數據連接器]。

    在 Defender 入口網站的 [快速啟動] 功能表中,展開 [Microsoft Sentinel > 組態 ],然後選取 [數據連接器]。

  2. 從數據連接器清單中選取 Amazon Web Services S3 WAF

    如果您沒有看到連接器,請在 Microsoft Sentinel 中的內容管理下,從內容中樞安裝 Amazon Web Services 解決方案,或將解決方案更新為最新版本。

  3. 在連接器的詳細資料窗格中,選取 [開啟連接器] 頁面。

    數據連接器資源庫的螢幕快照。

  4. 在 [組態]段中,低於 1。AWS CloudFormation 部署,選取 AWS CloudFormation Stacks 連結。 這會在新瀏覽器索引標籤中開啟 AWS 控制台。

  5. 返回入口網站的索引標籤,您Microsoft Sentinel 開啟。 選取 [範本 1:OpenID Connect 驗證部署] 底下的 [下載],以下載建立 OIDC Web 識別提供者的範本。 範本會以 JSON 檔案的形式下載到您指定的下載資料夾。

    注意

    如果您有較舊的 AWS S3 連接器,因此您已經有 OIDC Web 身分識別提供者,您可以略過此步驟。

  6. 選取 [範本 2:AWS WAF 資源部署] 底下的 [下載],以下載建立其他 AWS 資源的範本。 範本會以 JSON 檔案的形式下載到您指定的下載資料夾。

    AWS S3 WAF 連接器設定頁面的螢幕快照。

建立 AWS CloudFormation 堆疊

返回 AWS 控制台瀏覽器索引標籤,此索引標籤會開啟至 AWS CloudFormation 頁面以建立堆疊。

如果您尚未登入 AWS,請立即登入,並重新導向至 AWS CloudFormation 頁面。

建立 OIDC Web 識別提供者

依照 AWS 控制檯頁面上的指示來建立新的堆疊。

(如果您已經有舊版 AWS S3 連接器的 OIDC Web 身分識別提供者,請略過此步驟並繼續進行 建立其餘的 AWS 資源

  1. 指定範本並上傳範本檔案。

  2. 選取 [ 選擇檔案 ],然後找出您下載的「範本 1_ OpenID 連線驗證deployment.json」檔案。

  3. 選擇堆疊的名稱。

  4. 前進到程序的其餘部分,並建立堆疊。

建立其餘 AWS 資源

  1. 返回 AWS CloudFormation 堆疊頁面,並建立新的堆疊。

  2. 選取 [ 選擇檔案 ],然後找出您下載的「範本 2_ AWS WAF 資源deployment.json」檔案。

  3. 選擇堆疊的名稱。

  4. 出現提示時,輸入您的Microsoft Sentinel 工作區標識符。 若要尋找工作區識別碼:

    • 在 Azure 入口網站 的 [Microsoft Sentinel 導覽功能表中,展開 [組態],然後選取 [設定]。 選取 [ 工作區設定 ] 索引標籤,然後在Log Analytics工作區頁面上尋找工作區標識碼。

    • 在 Defender 入口網站的 [快速啟動] 功能表中,展開 [系統 ],然後選取 [ 設定]。 選取 [Microsoft Sentinel],然後選取 [設定] [WORKSPACE_NAME]底下的 [Log Analytics 設定]。 在Log Analytics工作區頁面上尋找工作區標識碼,這會在新瀏覽器索引標籤中開啟。

  5. 前進到程序的其餘部分,並建立堆疊。

新增記錄收集器

當資源堆疊全部建立時,返回瀏覽器索引標籤,開啟至 Microsoft sentinel 中的數據連接器頁面,然後開始組態程式的第二個部分。

  1. 在 [組態]段中,低於 2。連接新的收集器,選取 [新增收集器]。

    AWS 連接器設定第二部分的螢幕快照。

  2. 輸入已建立之 IAM 角色的角色 ARN。 角色的預設名稱是 OIDC_MicrosoftSentinelRole,因此ARN角色會是
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. 輸入建立的 SQS 佇列名稱。 此佇列的預設名稱是 SentinelSQSQueue,因此 URL 會是
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. 選取 [ 連線 ] 以新增收集器。 這會為 Azure 監視器代理程式建立數據收集規則,以擷取記錄,並將其內嵌至 Log Analytics 工作區中的專用 AWSWAF 數據表。

    新增 WAF 記錄收集器的螢幕快照。

手動設定

現在,自動設定程式更可靠,因此沒有太多充分的理由求助於手動設定。 不過,如果您必須參閱 Amazon Web Services S3 連接器檔中手動設定指示。

測試及監視連接器

  1. 設定連接器之後,請移至 [記錄 ] 頁面(或 Defender 入口網站中的 [進階搜捕 ] 頁面,然後執行下列查詢。 如果您取得任何結果,連接器會正常運作。

    AWSWAF
| take 10

  2. 如果您尚未這麼做,建議您實 作數據連接器健康情況監視 ,以便知道連接器何時未收到數據或任何其他連接器問題。 如需詳細資訊,請參閱監視資料連接器的健康情況