الاتصال Microsoft Sentinel إلى Amazon Web Services لاستيعاب بيانات سجل خدمة AWS

  • مقالة
  • قراءة خلال 10 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

استخدم موصلات Amazon Web Services (AWS) لسحب سجلات خدمة AWS إلى Microsoft Sentinel. تعمل هذه الموصلات عن طريق منح Microsoft Sentinel حق الوصول إلى سجلات موارد AWS الخاصة بك. يؤدي إعداد الموصل إلى إنشاء علاقة ثقة بين Amazon Web Services وMicrosoft Sentinel. يتم تحقيق ذلك على AWS من خلال إنشاء دور يمنح الإذن ل Microsoft Sentinel للوصول إلى سجلات AWS الخاصة بك.

يتوفر هذا الموصل في إصدارين: الموصل القديم لإدارة CloudTrail وسجلات البيانات، والإصدار الجديد الذي يمكنه استيعاب السجلات من خدمات AWS التالية عن طريق سحبها من حاوية S3:

هام

  • موصل Amazon Web Services S3 قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يشرح هذا المستند كيفية تكوين موصل AWS S3 الجديد. تتكون عملية إعداده من جزأين: جانب AWS وجانب Microsoft Sentinel.

  1. في بيئة AWS الخاصة بك:

    • قم بتكوين خدمة (خدمات) AWS الخاصة بك لإرسال السجلات إلى حاوية S3.

    • إنشاء قائمة انتظار خدمة قائمة انتظار بسيطة (SQS) لتوفير إعلام.

    • قم بإنشاء دور مفترض لمنح الأذونات لحساب Microsoft Sentinel الخاص بك (المعرف الخارجي) للوصول إلى موارد AWS الخاصة بك.

    • إرفاق نهج أذونات IAM المناسبة لمنح Microsoft Sentinel حق الوصول إلى الموارد المناسبة (حاوية S3، SQS).

  2. في Microsoft Sentinel:

    • قم بتمكين موصل AWS S3 وتكوينه في مدخل Microsoft Sentinel. انظر التعليمات أدناه.

تنتج عملية كل جانب معلومات يستخدمها الجانب الآخر. تخلق هذه المشاركة اتصالا آمنا.

لقد وفرنا ، في مستودعنا GitHub ، نصا برمجيا يعمل على أتمتة جانب AWS من هذه العملية. راجع إرشادات الإعداد التلقائي لاحقا في هذا المستند.

نظرة عامة على التصميم

يوضح هذا الرسم والنص التالي كيفية تفاعل أجزاء حل الموصل هذا.

Screenshot of A W S S 3 connector architecture.

  • يتم تكوين خدمات AWS لإرسال سجلاتها إلى حاويات التخزين S3 (خدمة التخزين البسيط).

  • ترسل حاوية S3 رسائل إعلام إلى قائمة انتظار رسائل SQS (خدمة قائمة الانتظار البسيطة) كلما تلقت سجلات جديدة.

  • يقوم موصل Microsoft Sentinel AWS S3 باستطلاع قائمة انتظار SQS على فترات منتظمة ومتكررة. إذا كانت هناك رسالة في قائمة الانتظار، فستحتوي على المسار إلى ملفات السجل.

  • يقرأ الموصل الرسالة مع المسار، ثم يجلب الملفات من حاوية S3.

  • للاتصال بقائمة انتظار SQS وحاوية S3، يستخدم Microsoft Sentinel بيانات اعتماد AWS ومعلومات الاتصال المضمنة في تكوين موصل AWS S3. يتم تكوين بيانات اعتماد AWS باستخدام دور وسياسة أذونات تمنحهم حق الوصول إلى هذه الموارد. وبالمثل، يتم تضمين معرف مساحة عمل Microsoft Sentinel في تكوين AWS، لذلك هناك في الواقع مصادقة ثنائية الاتجاه.

متطلبات النظام العالمية

يجب أن يكون لديك إذن كتابة على مساحة عمل Microsoft Sentinel.

الإعداد التلقائي

لتبسيط عملية الإعداد، قدمت Microsoft Sentinel نصا نصيا ل PowerShell لأتمتة إعداد جانب AWS من الموصل - موارد AWS وبيانات الاعتماد والأذونات المطلوبة.

يتخذ البرنامج النصي الإجراءات التالية:

  • ينشئ دورا مفترضا ل IAM بأقل قدر ممكن من الأذونات الضرورية، لمنح Microsoft Sentinel حق الوصول إلى سجلاتك في حاوية S3 معينة وقائمة انتظار SQS.

  • تمكين خدمات AWS المحددة من إرسال السجلات إلى حاوية S3 هذه، ورسائل الإعلام إلى قائمة انتظار SQS تلك.

  • إذا لزم الأمر، قم بإنشاء حاوية S3 وقائمة انتظار SQS لهذا الغرض.

  • تكوين أي نهج أذونات IAM ضرورية وتطبيقها على دور IAM الذي تم إنشاؤه أعلاه.

المتطلبات الأساسية

يجب أن يكون لديك PowerShell وAWS CLI على جهازك.

الإرشادات

لتشغيل البرنامج النصي لإعداد الموصل، اتبع الخطوات التالية:

  1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد Amazon Web Services S3 من معرض موصلات البيانات، وفي جزء التفاصيل، حدد فتح صفحة الموصل.

  3. في قسم التكوين ، ضمن 1. قم بإعداد بيئة AWS الخاصة بك، وقم بتوسيع الإعداد باستخدام البرنامج النصي PowerShell (مستحسن).

  4. اتبع الإرشادات التي تظهر على الشاشة لتنزيل البرنامج النصي لإعداد AWS S3 واستخراجه (يقوم الرابط بتنزيل ملف مضغوط يحتوي على البرنامج النصي الرئيسي للإعداد والبرامج النصية المساعدة) من صفحة الموصل.

  5. قبل تشغيل البرنامج النصي، قم بتشغيل aws configure الأمر من سطر أوامر PowerShell، وأدخل المعلومات ذات الصلة كما هو مطلوب. راجع واجهة سطر أوامر AWS | أساسيات التكوين للحصول على التفاصيل.

  6. الآن قم بتشغيل البرنامج النصي. انسخ الأمر من صفحة الموصل (ضمن "تشغيل البرنامج النصي لإعداد البيئة") والصقه في سطر الأوامر.

  7. سيطالبك البرنامج النصي بإدخال معرف مساحة العمل الخاص بك. يظهر هذا المعرف على صفحة الموصل. انسخه والصقه في موجه البرنامج النصي.

    Screenshot of command to run setup script and workspace I D.

  8. عند انتهاء تشغيل البرنامج النصي، انسخ الدور ARNوعنوان URL ل SQS من إخراج البرنامج النصي (انظر المثال في لقطة الشاشة الأولى أدناه) والصقهما في حقولهما الخاصة في صفحة الموصل ضمن 2. إضافة اتصال (انظر لقطة الشاشة الثانية أدناه).

    Screenshot of output of A W S connector setup script.

    Screenshot of pasting the A W S role information from the script, to the S3 connector.

  9. حدد نوع بيانات من القائمة المنسدلة جدول الوجهة . يخبر هذا الموصل بسجلات خدمة AWS التي يتم إنشاء هذا الاتصال لجمعها ، وفي أي جدول Log Analytics سيخزن البيانات التي تم استيعابها. ثم حدد إضافة اتصال.

ملاحظة

قد يستغرق البرنامج النصي ما يصل إلى 30 دقيقة لإنهاء التشغيل.

الإعداد اليدوي

توصي Microsoft باستخدام البرنامج النصي للإعداد التلقائي لنشر هذا الموصل. إذا كنت لا ترغب في الاستفادة من هذه الراحة لأي سبب من الأسباب ، فاتبع الخطوات أدناه لإعداد الموصل يدويا.

المتطلبات الأساسية

الإرشادات

يتكون الإعداد اليدوي من الخطوات التالية:

إنشاء دور مفترض في AWS ومنح حق الوصول إلى حساب AWS Sentinel

  1. في Microsoft Sentinel، حدد موصلات البيانات ثم حدد سطر Amazon Web Services S3 في الجدول وفي جزء AWS إلى اليسار، حدد فتح صفحة الموصل.

  2. ضمن تكوين، انسخالمعرف الخارجي (معرف مساحة العمل) والصقه جانبا.

  3. في وحدة تحكم إدارة AWS الخاصة بك، ضمن الأمان والامتثال للهوية&، حدد IAM.

    Screenshot of Amazon Web Services console.

  4. اختر الأدوار وحدد إنشاء دور.

    Screenshot of A W S roles creation screen.

  5. اختر حساب AWS آخر. في حقل معرف الحساب ، أدخل الرقم 197857026523 (يمكنك نسخه ولصقه من هنا). هذا الرقم هو معرف حساب خدمة Microsoft Sentinel ل AWS. يخبر AWS أن الحساب الذي يستخدم هذا الدور هو مستخدم Microsoft Sentinel.

    Screenshot of A W S role configuration screen.

  6. حدد خانة الاختيار طلب معرف خارجي ، ثم أدخل المعرف الخارجي (معرف مساحة العمل) الذي نسخته من صفحة موصل AWS في مدخل Microsoft Sentinel ولصقته جانبا. ثم حدد التالي: الأذونات.

    Screenshot of continuation of A W S role configuration screen.

  7. تخطي الخطوة التالية، إرفاق سياسات الأذونات، في الوقت الحالي. ستعود إليها لاحقا عندما تتلقى تعليماتك. حدد ⁧⁩التالي: العلامات⁧⁩.

    Screenshot of Next: Tags.

  8. أدخل علامة (اختيارية). ثم حدد "التالي: مراجعة" .

    Screenshot of tags screen.

  9. أدخل اسم دور وحدد إنشاء دور.

    Screenshot of role naming screen.

  10. في قائمة الأدوار ، حدد الدور الجديد الذي أنشأته.

    Screenshot of roles list screen.

  11. انسخ الدور ARN والصقه جانبا.

    Screenshot of copying role A R N.

  12. في لوحة معلومات AWS SQS، حدد قائمة انتظار SQS التي أنشأتها، وانسخ عنوان URL لقائمة الانتظار.

    Screenshot of copying S Q S queue U R L.

  13. في صفحة موصل AWS S3 في مدخل Microsoft Sentinel، ضمن 2. إضافة اتصال:

    1. الصق دور IAM ARN الذي نسخته قبل خطوتين في حقل دور RN .
    2. الصق عنوان URL لقائمة انتظار SQS التي نسختها في الخطوة الأخيرة في حقل عنوان URL ل SQS .
    3. حدد نوع بيانات من القائمة المنسدلة جدول الوجهة . يخبر هذا الموصل بسجلات خدمة AWS التي يتم إنشاء هذا الاتصال لجمعها ، وفي أي جدول Log Analytics سيخزن البيانات التي تم استيعابها.
    4. اختر إضافة اتصال.

    Screenshot of adding an A W S role connection to the S3 connector.

تكوين خدمة AWS لتصدير السجلات إلى حاوية S3

إنشاء خدمة قائمة انتظار بسيطة (SQS) في AWS

إذا لم تكن قد أنشأت قائمة انتظار SQS بعد، فقم بذلك الآن.

تمكين إعلام SQS

قم بتكوين حاوية S3 لإرسال إشعارات إلى قائمة انتظار SQS.

تطبيق سياسات أذونات IAM

تتضمن نهج الأذونات التي يجب تطبيقها على دور Microsoft Sentinel الذي قمت بإنشائه ما يلي:

  • أمازونسكوسدفقطالوصول

  • AWSLambdaSQueExecutionRole

  • أمازون S3ReadOnlyAccess

  • الوصول إلى نظام إدارة الجودة (KMS)

    للحصول على معلومات حول هذه السياسات والسياسات الإضافية التي يجب تطبيقها لاستيعاب الأنواع المختلفة من سجلات خدمة AWS، راجع صفحة سياسات أذونات موصل AWS S3 في GitHub الريبو.

المشكلات المعروفة واستكشاف الأخطاء وإصلاحها

المشكلات المعروفة

  • يمكن تخزين أنواع مختلفة من السجلات في نفس حاوية S3 ، ولكن لا ينبغي تخزينها في نفس المسار.

  • يجب أن تشير كل قائمة انتظار SQS إلى نوع واحد من الرسائل ، لذلك إذا كنت ترغب في استيعاب نتائج GuardDuty وسجلات تدفق VPC ، فيجب عليك إعداد قوائم انتظار منفصلة لكل نوع.

  • وبالمثل ، يمكن لقائمة انتظار SQS واحدة أن تخدم مسارا واحدا فقط في حاوية S3 ، لذلك إذا كنت تقوم لأي سبب من الأسباب بتخزين السجلات في مسارات متعددة ، فإن كل مسار يتطلب قائمة انتظار SQS مخصصة خاصة به.

خطوات استكشاف الأخطاء وإصلاحها

  1. تحقق من وجود بيانات السجل في حاوية S3.

    اعرض لوحة معلومات حاوية S3 وتحقق من تدفق البيانات إليها. إذا لم يكن الأمر كذلك، فتحقق من إعداد خدمة AWS بشكل صحيح.

  2. تحقق من وصول الرسائل في قائمة انتظار SQS.

    عرض لوحة معلومات قائمة انتظار AWS SQS - ضمن علامة التبويب مراقبة، يجب أن ترى حركة المرور في أداة الرسم البياني "عدد الرسائل المرسلة". إذا لم تشاهد أي حركة مرور، فتحقق من تكوين إعلام كائن S3 PUT بشكل صحيح.

  3. تحقق من قراءة الرسائل من قائمة انتظار SQS.

    تحقق من عناصر واجهة المستخدم "عدد الرسائل المستلمة" و"عدد الرسائل المحذوفة" في لوحة معلومات قائمة الانتظار. إذا لم تكن هناك إشعارات ضمن الرسائل المحذوفة"، فتحقق من الرسائل الصحية. من المحتمل أن تكون بعض الأذونات مفقودة. تحقق من تكوينات IAM الخاصة بك.

لمزيد من المعلومات، راجع مراقبة سلامة موصلات البيانات.

الخطوات التالية

في هذا المستند، تعلمت كيفية الاتصال بموارد AWS لاستيعاب سجلاتها في Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية: