مشاركة عبر

توصيل Microsoft Sentinel ب Amazon Web Services لاستيعاب سجلات AWS WAF

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

استخدم موصل جدار حماية تطبيق الويب (WAF) المستند إلى Amazon Web Services (AWS) S3 لاستيعاب سجلات AWS WAF، التي تم جمعها في مستودعات AWS S3، إلى Microsoft Sentinel. سجلات AWS WAF هي سجلات مفصلة لحركة مرور الويب التي تم تحليلها بواسطة AWS WAF مقابل قوائم التحكم في الوصول إلى الويب (ACLs). تحتوي هذه السجلات على معلومات مثل وقت تلقي AWS WAF الطلب وخصوصيات الطلب والإجراء الذي اتخذته القاعدة التي تطابق الطلب. هذه السجلات وهذا التحليل ضروري للحفاظ على أمان وأداء تطبيقات الويب.

يتميز هذا الموصل لأول مرة من برنامج نصي جديد للإلحاق يستند إلى AWS CloudFormation، لتبسيط إنشاء موارد AWS المستخدمة من قبل الموصل.

هام

  • موصل بيانات Amazon Web Services S3 WAF قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

  • يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

نظرة عامة

يخدم موصل بيانات Amazon Web Services S3 WAF حالات الاستخدام التالية:

  • مراقبة الأمان واكتشاف التهديدات: تحليل سجلات AWS WAF للمساعدة في تحديد التهديدات الأمنية والاستجابة لها مثل حقن SQL وهجمات البرمجة النصية عبر المواقع (XSS). من خلال استيعاب هذه السجلات في Microsoft Sentinel، يمكنك استخدام التحليلات المتقدمة والتحليل الذكي للمخاطر للكشف عن الأنشطة الضارة والتحقيق فيها.

  • الامتثال والتدقيق: توفر سجلات AWS WAF سجلات مفصلة لنسبة استخدام شبكة ACL على الويب، والتي يمكن أن تكون حاسمة لأغراض الإبلاغ عن التوافق والتدقيق. يضمن الموصل توفر هذه السجلات داخل Sentinel لسهولة الوصول والتحليل.

توضح هذه المقالة كيفية تكوين موصل Amazon Web Services S3 WAF. تحتوي عملية إعداده على جزأين: جانب AWS وجانب Microsoft Azure Sentinel. تنتج عملية كل جانب معلومات يستخدمها الجانب الآخر. تنشئ هذه المصادقة ثنائية الاتجاه اتصالا آمنا.

المتطلبات الأساسية

  • يجب أن يكون لديك أذن الكتابة على مساحة عمل Microsoft Azure Sentinel.

  • قم بتثبيت حل Amazon Web Services من مركز المحتوى في Microsoft Sentinel. إذا كان لديك الإصدار 3.0.2 من الحل (أو إصدار سابق) مثبتا بالفعل، فقم بتحديث الحل في مركز المحتوى للتأكد من أن لديك أحدث إصدار يتضمن هذا الموصل. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

تمكين وتكوين موصل Amazon Web Services S3 WAF

تتكون عملية تمكين الموصل وتكوينه من المهام التالية:

  • في بيئة AWS الخاصة بك:

    تحتوي صفحة موصل Amazon Web Services S3 WAF في Microsoft Sentinel على قوالب مكدس AWS CloudFormation القابلة للتنزيل التي تعمل على أتمتة مهام AWS التالية:

    • تكوين خدمة (خدمات) AWS لإرسال السجلات إلى مستودع S3.

    • إنشاء قائمة انتظار خدمة قائمة انتظار بسيطة (SQS) لتوفير إخطار.

    • إنشاء موفر هوية ويب لمصادقة المستخدمين إلى AWS من خلال OpenID Connect (OIDC).

    • إنشاء دور مفترض لمنح أذونات للمستخدمين المصادق عليهم من قبل موفر هوية ويب OIDC للوصول إلى موارد AWS الخاصة بك.

    • قم بإرفاق نهج أذونات IAM المناسبة لمنح الدور المفترض حق الوصول إلى الموارد المناسبة (مستودع S3، SQS).

  • في Microsoft Sentinel:

    • قم بتكوين Amazon Web Services S3 WAF Connector في مدخل Microsoft Sentinel عن طريق إضافة جامعي السجلات الذين يستطلعون قائمة الانتظار ويستردون بيانات السجل من مستودع S3. راجع الإرشادات أدناه.

إعداد بيئة AWS

لتبسيط عملية الإعداد، تحتوي صفحة موصل Amazon Web Services S3 WAF في Microsoft Sentinel على قوالب قابلة للتنزيل لاستخدامها مع خدمة AWS CloudFormation. تستخدم خدمة CloudFormation هذه القوالب لإنشاء مكدسات الموارد تلقائيا في AWS. تتضمن هذه المكدسات الموارد نفسها كما هو موضح في هذه المقالة، بالإضافة إلى بيانات الاعتماد والأذونات والنهج.

إعداد ملفات القالب

لتشغيل البرنامج النصي لإعداد بيئة AWS، استخدم الخطوات التالية:

  1. في مدخل Microsoft Azure، من قائمة التنقل في Microsoft Sentinel، قم بتوسيع Configuration وحدد Data connectors.

    في مدخل Defender، من قائمة التشغيل السريع، قم بتوسيع تكوين Microsoft Sentinel > وحدد موصلات البيانات.

  2. حدد Amazon Web Services S3 WAF من قائمة موصلات البيانات.

    إذا لم تشاهد الموصل، فقم بتثبيت حل Amazon Web Services من مركز المحتوى ضمن إدارة المحتوى في Microsoft Sentinel، أو قم بتحديث الحل إلى أحدث إصدار.

  3. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

    لقطة شاشة لمعرض موصلات البيانات.

  4. في قسم التكوين ، ضمن 1. نشر AWS CloudFormation، حدد رابط AWS CloudFormation Stacks . يؤدي ذلك إلى فتح وحدة تحكم AWS في علامة تبويب متصفح جديدة.

  5. ارجع إلى علامة تبويب المدخل حيث يكون Microsoft Sentinel مفتوحا. حدد Download ضمن Template 1: OpenID Connect authentication deployment لتنزيل القالب الذي ينشئ موفر هوية ويب OIDC. يتم تنزيل القالب كملف JSON إلى مجلد التنزيلات المعين.

    إشعار

    إذا كان لديك موصل AWS S3 الأقدم، وبالتالي لديك بالفعل موفر هوية ويب OIDC، يمكنك تخطي هذه الخطوة.

  6. حدد Download ضمن Template 2: AWS WAF resources deployment لتنزيل القالب الذي ينشئ موارد AWS الأخرى. يتم تنزيل القالب كملف JSON إلى مجلد التنزيلات المعين.

    لقطة شاشة لصفحة تكوين موصل AWS S3 WAF.

إنشاء مكدسات AWS CloudFormation

ارجع إلى علامة تبويب مستعرض AWS Console، المفتوحة على صفحة AWS CloudFormation لإنشاء مكدس.

إذا لم تكن قد سجلت الدخول بالفعل إلى AWS، فسجل الدخول الآن، ثم تمت إعادة توجيهك إلى صفحة AWS CloudFormation.

إنشاء موفر هوية ويب OIDC

اتبع الإرشادات الموجودة في صفحة وحدة تحكم AWS لإنشاء مكدس جديد.

(إذا كان لديك بالفعل موفر هوية ويب OIDC من الإصدار السابق من موصل AWS S3، فتخط هذه الخطوة وانتقل إلى إنشاء موارد AWS المتبقية.)

  1. تحديد قالب وتحميل ملف قالب.

  2. حدد Choose file وحدد موقع ملف "Template 1_ OpenID connect authentication deployment.json" الذي قمت بتنزيله.

  3. اختر اسما للمكدس.

  4. تقدم خلال بقية العملية وأنشئ المكدس.

إنشاء موارد AWS المتبقية

  1. ارجع إلى صفحة مكدسات AWS CloudFormation وأنشئ مكدسا جديدا.

  2. حدد Choose file وحدد موقع ملف "Template 2_ AWS WAF resources deployment.json" الذي قمت بتنزيله.

  3. اختر اسما للمكدس.

  4. عند المطالبة، أدخل معرف مساحة عمل Microsoft Sentinel. للعثور على معرف مساحة العمل:

    • في مدخل Microsoft Azure، في قائمة التنقل Microsoft Sentinel، قم بتوسيع Configuration وحدد Settings. حدد علامة التبويب إعدادات مساحة العمل، وابحث عن معرف مساحة العمل في صفحة مساحة عمل Log Analytics.

    • في مدخل Defender، في قائمة التشغيل السريع، قم بتوسيع النظام وحدد الإعدادات. حدد Microsoft Sentinel، ثم حدد Log Analytics settings ضمن Settings for [WORKSPACE_NAME]. ابحث عن معرف مساحة العمل في صفحة مساحة عمل Log Analytics، التي تفتح في علامة تبويب مستعرض جديدة.

  5. تقدم خلال بقية العملية وأنشئ المكدس.

إضافة مجمعات السجل

عند إنشاء كل مكدسات الموارد، ارجع إلى علامة تبويب المستعرض المفتوحة إلى صفحة موصل البيانات في Microsoft Sentinel، وابدأ الجزء الثاني من عملية التكوين.

  1. في قسم التكوين ، ضمن 2. قم بتوصيل مجمعات جديدة، وحدد إضافة جامع جديد.

    لقطة شاشة للجزء الثاني من تكوين موصل AWS.

  2. أدخل الدور ARN لدور IAM الذي تم إنشاؤه. الاسم الافتراضي للدور هو OIDC_MicrosoftSentinelRole، لذلك سيكون الدور ARN
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. أدخل اسم قائمة انتظار SQS التي تم إنشاؤها. الاسم الافتراضي لقائمة الانتظار هذه هو SentinelSQSQueue، لذلك سيكون عنوان URL
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. حدد Connect لإضافة المجمع. يؤدي هذا إلى إنشاء قاعدة تجميع بيانات لعامل Azure Monitor لاسترداد السجلات واستيعابها في جدول AWSWAF المخصص في مساحة عمل Log Analytics.

    لقطة شاشة لإضافة مجمع جديد لسجلات WAF.

إعداد يدوي

الآن بعد أن أصبحت عملية الإعداد التلقائي أكثر موثوقية، لا توجد العديد من الأسباب الجيدة للجوء إلى الإعداد اليدوي. إذا كان يجب عليك، على الرغم من ذلك، راجع إرشادات الإعداد اليدوي في وثائق Amazon Web Services S3 Connector.

اختبار الموصل ومراقبته

  1. بعد إعداد الموصل، انتقل إلى صفحة السجلات (أو صفحة التتبع المتقدم في مدخل Defender) وقم بتشغيل الاستعلام التالي. إذا حصلت على أي نتائج، فإن الموصل يعمل بشكل صحيح.

    AWSWAF
| take 10

  2. إذا لم تكن قد فعلت ذلك بالفعل، نوصي بتنفيذ مراقبة صحة موصل البيانات بحيث يمكنك معرفة متى لا تتلقى الموصلات البيانات أو أي مشكلات أخرى مع الموصلات. لمزيد من المعلومات، راجع مراقبة سلامة موصلات البيانات.