Megosztás a következőn keresztül:

Az AWS S3-összekötővel kapcsolatos problémák elhárítása

  • Cikk

Az Amazon Web Services (AWS) S3-összekötő lehetővé teszi az AWS S3-gyűjtőkben gyűjtött AWS-szolgáltatásnaplók betöltését a Microsoft Sentinelbe. A jelenleg támogatott naplók típusai az AWS CloudTrail, a VPC Flow Logs és az AWS GuardDuty.

Ez a cikk azt ismerteti, hogyan azonosíthatja gyorsan az AWS S3-összekötővel kapcsolatos problémák okát, hogy megtalálja a problémák megoldásához szükséges lépéseket.

Megtudhatja, hogyan csatlakoztathatja a Microsoft Sentinelt az Amazon Web Serviceshez az AWS szolgáltatásnapló adatainak betöltéséhez.

A Microsoft Sentinel nem fogad adatokat az Amazon Web Services S3-összekötőtől vagy annak egyik adattípusától

Az AWS S3-összekötő (vagy annak egyik adattípusa) naplói az összekötő csatlakoztatása után több mint 30 percig nem láthatók a Microsoft Sentinel-munkaterületen.

Mielőtt megkeresi az okot és a megoldást, tekintse át az alábbi szempontokat:

  • Az összekötő csatlakoztatásától számítva körülbelül 20–30 percet is igénybe vehet, amíg az adatok betöltődnek a munkaterületre.
  • Az összekötő kapcsolati állapota azt jelzi, hogy létezik gyűjtési szabály, nem pedig azt, hogy az adatok betöltése megtörtént. Ha az Amazon Web Services S3-összekötő állapota zöld, van egy gyűjtési szabály az egyik adattípushoz, de még mindig nincs adat.

A probléma okának meghatározása

Ebben a szakaszban a következő okokkal foglalkozunk:

  1. Az AWS S3-összekötő engedélyszabályzatai nincsenek megfelelően beállítva.
  2. Az adatok nem lesznek betöltve az AWS S3-gyűjtőbe.
  3. Az AWS-felhőben található Amazon Simple Queue Service (SQS) nem kap értesítéseket az S3-gyűjtőtől.
  4. Az adatok nem olvashatók be az AWS-felhőben található SQS-ből/S3-ból. A GuardDuty-naplók esetében a problémát helytelen KMS-engedélyek okozzák.

1. ok: Az AWS S3-összekötő engedélyszabályzatai nincsenek megfelelően beállítva

Ezt a problémát az AWS-környezet helytelen engedélyei okozzák.

Engedélyszabályzatok létrehozása

Az AWS S3-adatösszekötő üzembe helyezéséhez engedélyszabályzatok szükségesek. Tekintse át a szükséges engedélyeket, és állítsa be a megfelelőket.

2. ok: A releváns adatok nem léteznek az S3-gyűjtőben

A vonatkozó naplók nem léteznek az S3-gyűjtőben.

Megoldás: Szükség esetén naplók és exportálási naplók keresése

  1. Az AWS-ben nyissa meg az S3 gyűjtőt, keresse meg a megfelelő mappát a szükséges naplók szerint, és ellenőrizze, hogy vannak-e naplófájlok a mappában.
  2. Ha az adatok nem léteznek, az AWS-konfigurációval kapcsolatos probléma merül fel. Ebben az esetben konfigurálnia kell egy AWS-szolgáltatást a naplók S3-gyűjtőbe való exportálásához.

3. ok: Az S3-adatok nem érkeztek meg az SQS-be

Az adatok átvitele nem sikerült az S3-ból az SQS-be.

Megoldás: Ellenőrizze, hogy az adatok megérkeztek-e, és konfigurálja az eseményértesítéseket

  1. Nyissa meg a megfelelő SQS-t az AWS-ben.
  2. A Monitorozás lapon a forgalomnak az Elküldött üzenetek száma vezérlőben kell megjelennie. Ha nincs forgalom az SQS-ben, akkor a probléma az AWS-konfigurációban van.
  3. Ellenőrizze, hogy az SQS eseményértesítés-definíciója tartalmazza-e a megfelelő adatszűrőket (előtagot és utótagot).
    1. Az eseményértesítések megtekintéséhez válassza a Tulajdonságok lapot az S3-gyűjtőben, majd keresse meg az Eseményértesítések szakaszt.
    2. Ha nem találja ezt a szakaszt, hozza létre.
    3. Ügyeljen rá, hogy az SQS rendelkezzen a megfelelő szabályzatokkal az adatok S3-gyűjtőből való lekéréséhez. Az SQS-nek tartalmaznia kell ezt a szabályzatot a Hozzáférési szabályzatok lapon.

4. ok: Az SQS nem olvasta be az adatokat

Az SQS nem tudta beolvasni az S3-adatokat.

Megoldás: Ellenőrizze, hogy az SQS beolvassa-e az adatokat

  1. Nyissa meg a megfelelő SQS-t az AWS-ben.

  2. A Monitorozás lapon a forgalomnak a Törölt üzenetek száma és a Beérkezett üzenetek száma vezérlőben kell megjelennie.

  3. Egyetlen kiugrás az adatok számában nem elegendő. Várjon, amíg elegendő adat (több kiugró érték) van, majd ellenőrizze a problémákat.

  4. Ha legalább az egyik vezérlő üres, ellenőrizze az állapotnaplókat a következő lekérdezés futtatásával:

    SentinelHealth 
| where TimeGenerated > ago(1d)
| where SentinelResourceKind in ('AmazonWebServicesCloudTrail', 'AmazonWebServicesS3')
| where OperationName == 'Data fetch failure summary'
| mv-expand TypeOfFailureDuringHour = ExtendedProperties["FailureSummary"]
| extend StatusCode = TypeOfFailureDuringHour["StatusCode"]
| extend StatusMessage = TypeOfFailureDuringHour["StatusMessage"]
| project SentinelResourceKind, SentinelResourceName, StatusCode, StatusMessage, SentinelResourceId, TypeOfFailureDuringHour, ExtendedProperties

  5. Győződjön meg arról, hogy az állapotfunkció engedélyezve van:

    SentinelHealth 
| take 20

  6. Ha az állapotfunkció nincs engedélyezve, engedélyezze.

Az AWS S3-összekötőből (vagy annak egyik adattípusából) származó adatok a Microsoft Sentinelben láthatók 30 percnél hosszabb késéssel

Ez a probléma általában akkor fordul elő, ha a Microsoft nem tud fájlokat olvasni az S3 mappában. A Microsoft nem tudja olvasni a fájlokat, mert titkosítottak vagy rossz formátumban vannak. Ezekben az esetekben a számos újrapróbálkozás végül késést okoz a betöltés során.

A probléma okának meghatározása

Ebben a szakaszban a következő okokkal foglalkozunk:

  • A naplótitkosítás nincs megfelelően beállítva
  • Az eseményértesítések nincsenek megfelelően definiálva
  • Állapothibák vagy állapot letiltva

1. ok: A naplótitkosítás nincs megfelelően beállítva

Ha a naplókat a kulcskezelő szolgáltatás (KMS) teljes egészében vagy részben titkosítja, előfordulhat, hogy a Microsoft Sentinel nem rendelkezik engedéllyel ehhez a KMS-hez a fájlok visszafejtéséhez.

Megoldás: Naplótitkosítás ellenőrzése

Győződjön meg arról, hogy a Microsoft Sentinel rendelkezik engedéllyel a KMS-hez a fájlok visszafejtéséhez. Tekintse át a GuardDuty- és CloudTrail-naplókhoz szükséges KMS-engedélyeket.

2. ok: Az eseményértesítések nincsenek megfelelően konfigurálva

Amazon S3-eseményértesítés konfigurálásakor meg kell adnia, hogy az Amazon S3 mely támogatott eseménytípusoknak kell elküldenie az értesítést. Ha egy nem megadott eseménytípus létezik az Amazon S3-gyűjtőben, az Amazon S3 nem küldi el az értesítést.

Megoldás: Ellenőrizze, hogy az eseményértesítések megfelelően vannak-e definiálva

Annak ellenőrzéséhez, hogy az S3 és az SQS közötti eseményértesítések megfelelően vannak-e definiálva, ellenőrizze, hogy:

  • Az értesítés a naplókat tartalmazó mappából van meghatározva, nem pedig a gyűjtőt tartalmazó fő mappából.
  • Az értesítés a .gz utótaggal van definiálva. Példa:

3. ok: Állapothibák vagy állapot letiltva

Előfordulhatnak hibák az állapotnaplókban, vagy előfordulhat, hogy az állapotfunkció nincs engedélyezve.

Megoldás: Ellenőrizze, hogy nincsenek-e hibák az állapotnaplókban, és engedélyezze az állapotot

  1. A következő lekérdezés futtatásával ellenőrizze, hogy nincsenek-e hibák az állapotnaplókban:

    SentinelHealth
| where TimeGenerated between (ago(startTime)..ago(endTime))
| where SentinelResourceKind  == "AmazonWebServicesS3"
| where Status != "Success"
| distinct TimeGenerated, OperationName, SentinelResourceName, Status, Description

  2. Győződjön meg arról, hogy az állapotfunkció engedélyezve van:

    SentinelHealth 
| take 20

  3. Ha az állapotfunkció nincs engedélyezve, engedélyezze.

    Az előző példában használt alábbi elemekről további információt a Kusto dokumentációjában talál:

    A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

    Egyéb erőforrások:

Következő lépések

Ebből a cikkből megtudhatja, hogyan azonosíthatja gyorsan az okokat, és hogyan oldhatja meg az AWS S3-összekötővel kapcsolatos gyakori problémákat.

Szívesen fogadjuk a visszajelzéseket, javaslatokat, a funkciókra, hibajelentésekre vagy fejlesztésekre és kiegészítésekre vonatkozó kéréseket. Lépjen a Microsoft Sentinel GitHub-adattárba egy probléma vagy elágaztatás létrehozásához, és töltsön fel egy hozzájárulást.