Megosztás a következőn keresztül:

A Microsoft Sentinel csatlakoztatása az Amazon Web Serviceshez az AWS WAF-naplók betöltéséhez

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az Amazon Web Services (AWS) S3-alapú webalkalmazási tűzfal (WAF) összekötőjével betölti az AWS S3-gyűjtőkben gyűjtött AWS WAF-naplókat a Microsoft Sentinelbe. Az AWS WAF-naplók az AWS WAF által a webes hozzáférés-vezérlési listák (ACL-ek) alapján elemezett webes forgalom részletes rekordjai. Ezek a rekordok olyan információkat tartalmaznak, mint például az AWS WAF kérésének beérkezésének időpontja, a kérelem jellemzői, valamint a kérelemnek megfelelő szabály által végrehajtott művelet. Ezek a naplók és ezek az elemzések elengedhetetlenek a webalkalmazások biztonságának és teljesítményének fenntartásához.

Ez az összekötő egy új AWS CloudFormation-alapú előkészítési szkript debütálásával egyszerűsíti az összekötő által használt AWS-erőforrások létrehozását.

Fontos

  • Az Amazon Web Services S3 WAF-adatösszekötő jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

  • A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Áttekintés

Az Amazon Web Services S3 WAF-adatösszekötő a következő használati eseteket szolgálja ki:

  • Biztonsági monitorozás és fenyegetésészlelés: Elemezze az AWS WAF-naplóit, amelyek segítenek azonosítani és reagálni az olyan biztonsági fenyegetésekre, mint az SQL-injektálás és a helyek közötti szkriptek (XSS) támadásai. Ezeknek a naplóknak a Microsoft Sentinelbe való betöltésével a fejlett elemzési és fenyegetésintelligencia használatával észlelheti és kivizsgálhatja a rosszindulatú tevékenységeket.

  • Megfelelőség és naplózás: Az AWS WAF-naplók részletes nyilvántartást nyújtanak a webes ACL-forgalomról, ami elengedhetetlen lehet a megfelelőségi jelentések és naplózási célok szempontjából. Az összekötő biztosítja, hogy ezek a naplók elérhetők legyenek a Sentinelben a könnyű hozzáférés és elemzés érdekében.

Ez a cikk az Amazon Web Services S3 WAF-összekötő konfigurálását ismerteti. A beállítás két részből áll: az AWS és a Microsoft Sentinel oldalból. Mindkét oldal folyamata a másik fél által használt információkat állítja elő. Ez a kétirányú hitelesítés biztonságos kommunikációt hoz létre.

Előfeltételek

  • Írási engedéllyel kell rendelkeznie a Microsoft Sentinel munkaterületen.

  • Telepítse az Amazon Web Services-megoldást a Content Hubról a Microsoft Sentinelben. Ha a megoldás (vagy korábbi) 3.0.2-es verziója már telepítve van, frissítse a megoldást a tartalomközpontban, hogy biztosan az összekötőt tartalmazó legújabb verzióval rendelkezzen. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Az Amazon Web Services S3 WAF-összekötő engedélyezése és konfigurálása

Az összekötő engedélyezésének és konfigurálásának folyamata a következő feladatokból áll:

  • Az AWS-környezetben:

    A Microsoft Sentinel Amazon Web Services S3 WAF-összekötő oldala letölthető AWS CloudFormation-veremsablonokat tartalmaz, amelyek automatizálják az alábbi AWS-feladatokat:

    • Konfigurálja az AWS-szolgáltatás(ok)t, hogy naplókat küldjön egy S3-gyűjtőbe.

    • Hozzon létre egy egyszerű üzenetsor-szolgáltatás (SQS) üzenetsort az értesítés megadásához.

    • Hozzon létre egy webes identitásszolgáltatót, amely az OpenID Connect (OIDC) használatával hitelesíti a felhasználókat az AWS-ben.

    • Hozzon létre egy feltételezett szerepkört, amely engedélyeket ad az OIDC webes identitásszolgáltatója által hitelesített felhasználóknak az AWS-erőforrások eléréséhez.

    • Csatolja a megfelelő IAM-engedélyszabályzatokat , hogy a feltételezett szerepkör hozzáférést biztosítson a megfelelő erőforrásokhoz (S3 gyűjtő, SQS).

  • A Microsoft Sentinelben:

    • Konfigurálja az Amazon Web Services S3 WAF-összekötőt a Microsoft Sentinel portálon olyan naplógyűjtők hozzáadásával, amelyek lekérdezik az üzenetsort, és lekérik a naplóadatokat az S3 gyűjtőből. Tekintse meg az alábbi utasításokat.

Az AWS-környezet beállítása

Az előkészítési folyamat egyszerűsítése érdekében a Microsoft Sentinel Amazon Web Services S3 WAF-összekötő oldala letölthető sablonokat tartalmaz, amelyeket az AWS CloudFormation szolgáltatással használhat. A CloudFormation szolgáltatás ezeket a sablonokat használja az erőforrásveremek automatikus létrehozásához az AWS-ben. Ezek a veremek magukban az erőforrásokat tartalmazzák a cikkben leírtak szerint, valamint hitelesítő adatokat, engedélyeket és szabályzatokat.

A sablonfájlok előkészítése

Az AWS-környezet beállításához futtassa a szkriptet az alábbi lépésekkel:

  1. Az Azure PortalOn a Microsoft Sentinel navigációs menüjében bontsa ki a Konfiguráció elemet, és válassza az Adatösszekötők lehetőséget.

    A Defender portál gyorsindítási menüjében bontsa ki a Microsoft Sentinel-konfigurációt>, és válassza ki az Adatösszekötőket.

  2. Válassza az Amazon Web Services S3 WAF elemet az adatösszekötők listájából.

    Ha nem látja az összekötőt, telepítse az Amazon Web Services-megoldást a Tartalomközpontból a Microsoft Sentinel Tartalomkezelés területén, vagy frissítse a megoldást a legújabb verzióra.

  3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

    Képernyőkép az adatösszekötők katalógusáról.

  4. A Konfiguráció szakaszban az 1. Az AWS CloudFormation Deployment (AWS CloudFormation Deployment) elemet választva válassza az AWS CloudFormation Stacks hivatkozást. Ezzel megnyitja az AWS-konzolt egy új böngészőlapon.

  5. Térjen vissza a portál lapjára, ahol meg van nyitva a Microsoft Sentinel. Válassza a Letöltés lehetőséget az 1. sablon: OpenID Connect-hitelesítés üzembe helyezése területen az OIDC webes identitásszolgáltatót létrehozó sablon letöltéséhez. A sablon JSON-fájlként lesz letöltve a kijelölt letöltési mappába.

    Feljegyzés

    Ha a régebbi AWS S3-összekötővel rendelkezik, ezért már rendelkezik OIDC webes identitásszolgáltatóval, kihagyhatja ezt a lépést.

  6. Válassza a Letöltés lehetőséget a 2. sablon: AWS WAF-erőforrások üzembe helyezése területen a többi AWS-erőforrást létrehozó sablon letöltéséhez. A sablon JSON-fájlként lesz letöltve a kijelölt letöltési mappába.

    Képernyőkép az AWS S3 WAF-összekötő konfigurációs oldaláról.

AWS CloudFormation-vermek létrehozása

Térjen vissza az AWS-konzol böngészőlapjára, amely meg van nyitva az AWS CloudFormation lapra egy verem létrehozásához.

Ha még nem jelentkezett be az AWS-be, jelentkezzen be most, és a rendszer átirányítja az AWS CloudFormation lapra.

Az OIDC webes identitásszolgáltató létrehozása

Kövesse az AWS-konzol oldalán található utasításokat egy új verem létrehozásához.

(Ha már rendelkezik az OIDC webes identitásszolgáltatóval az AWS S3-összekötő előző verziójából, hagyja ki ezt a lépést, és folytassa a következő lépéssel: Hozza létre a fennmaradó AWS-erőforrásokat.)

  1. Adjon meg egy sablont, és töltsön fel egy sablonfájlt.

  2. Válassza a Fájl kiválasztása lehetőséget, és keresse meg a letöltött "Template 1_ OpenID connect authentication deployment.json" fájlt.

  3. Válasszon nevet a veremnek.

  4. Haladja végig a folyamat többi részét, és hozza létre a vermet.

A fennmaradó AWS-erőforrások létrehozása

  1. Térjen vissza az AWS CloudFormation stacks lapjára, és hozzon létre egy új vermet.

  2. Válassza a Fájl kiválasztása lehetőséget, és keresse meg a letöltött "Template 2_ AWS WAF resources deployment.json" fájlt.

  3. Válasszon nevet a veremnek.

  4. Ahol a rendszer kéri, adja meg a Microsoft Sentinel-munkaterület azonosítóját. A munkaterület-azonosító megkeresése:

    • Az Azure Portal Microsoft Sentinel navigációs menüjében bontsa ki a Konfiguráció elemet, és válassza a Beállítások lehetőséget. Válassza a Munkaterület beállításai lapot, és keresse meg a Munkaterület azonosítóját a Log Analytics munkaterület lapján.

    • A Defender portál gyorsindítási menüjében bontsa ki a Rendszer elemet, és válassza a Beállítások lehetőséget. Válassza a Microsoft Sentinel lehetőséget, majd válassza a Log Analytics beállításait a [WORKSPACE_NAME]Beállítások területen. Keresse meg a Log Analytics-munkaterület lapon található munkaterület-azonosítót, amely egy új böngészőlapon nyílik meg.

  5. Haladja végig a folyamat többi részét, és hozza létre a vermet.

Naplógyűjtők hozzáadása

Amikor az erőforrás-vermek létrejöttek, térjen vissza a Microsoft Sentinel adatösszekötő lapjára megnyitott böngészőlapra, és kezdje el a konfigurációs folyamat második részét.

  1. A Konfiguráció szakaszban, 2 alatt. Csatlakoztassa az új gyűjtőket, és válassza az Új gyűjtő hozzáadása lehetőséget.

    Képernyőkép az AWS-összekötő konfigurációjának második részéről.

  2. Adja meg a létrehozott IAM-szerepkör ARN szerepkörét. A szerepkör alapértelmezett neve OIDC_MicrosoftSentinelRole, ezért az ARN szerepkör
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. Adja meg a létrehozott SQS-üzenetsor nevét. Az üzenetsor alapértelmezett neve SentinelSQSQueue, így az URL-cím a következő lesz:
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. Válassza a Csatlakozás lehetőséget a gyűjtő hozzáadásához. Ez létrehoz egy adatgyűjtési szabályt az Azure Monitor-ügynök számára a naplók lekéréséhez és a Log Analytics-munkaterület dedikált AWSWAF-táblájába való betöltéséhez.

    Képernyőkép a WAF-naplók új gyűjtőjének hozzáadásáról.

Manuális beállítás

Most, hogy az automatikus beállítási folyamat megbízhatóbb, nincs sok jó ok a manuális beállításra. Ha azonban szükséges, tekintse meg az Amazon Web Services S3 Connector dokumentációjának manuális beállítási utasításait.

Az összekötő tesztelése és monitorozása

  1. Az összekötő beállítása után lépjen a Naplók lapra (vagy a Defender portál Speciális vadászlapjára ), és futtassa a következő lekérdezést. Ha bármilyen eredményt kap, az összekötő megfelelően működik.

    AWSWAF
| take 10

  2. Ha még nem tette meg, javasoljuk, hogy implementálja az adatösszekötők állapotfigyelését , hogy tudja, mikor nem kapnak adatokat az összekötők, vagy az összekötőkkel kapcsolatos egyéb problémákat. További információ: Az adatösszekötők állapotának figyelése.