Připojení Azure Sentinel k AWS CloudTrailConnect Azure Sentinel to AWS CloudTrail

Pomocí konektoru AWS můžete streamovat události správy AWS CloudTrail do Azure Sentinel.Use the AWS connector to stream your AWS CloudTrail management events into Azure Sentinel. Tento proces připojení deleguje delegáty přístupu pro Azure Sentinel do protokolů prostředků AWS a vytvoří vztah důvěryhodnosti mezi AWS CloudTrail a Azure Sentinel.This connection process delegates access for Azure Sentinel to your AWS resource logs, creating a trust relationship between AWS CloudTrail and Azure Sentinel. To se provádí na AWS vytvořením role, která pro přístup k protokolům AWS uděluje oprávnění službě Azure Sentinel.This is accomplished on AWS by creating a role that gives permission to Azure Sentinel to access your AWS logs.

Poznámka

AWS CloudTrail má ve svém LookupEvents API vestavěná omezení .AWS CloudTrail has built-in limitations in its LookupEvents API. Nepovoluje více než dvě transakce za sekundu (TPS) na účet a každý dotaz může vracet maximálně 50 záznamů.It allows no more than two transactions per second (TPS) per account, and each query can return a maximum of 50 records. V důsledku toho by v případě, že jeden tenant neustále generuje více než 100 záznamů za sekundu v jedné oblasti, bude výsledkem nevyřízené položky a prodlevy při příjmu dat.Consequently, if a single tenant constantly generates more than 100 records per second in one region, backlogs and delays in data ingestion will result.

PožadavkyPrerequisites

V pracovním prostoru Sentinel Azure musíte mít oprávnění k zápisu.You must have write permission on the Azure Sentinel workspace.

Poznámka

Sentinel Azure shromažďuje události správy CloudTrail ze všech oblastí.Azure Sentinel collects CloudTrail management events from all regions. Doporučujeme nevytvářet streamování událostí z jedné oblasti do druhé.It is recommended that you do not stream events from one region to another.

Připojení AWSConnect AWS

  1. V Azure Sentinel vyberte datové konektory a pak vyberte Amazon Web Services řádek v tabulce a v podokně AWS vpravo klikněte na otevřít stránku konektoru.In Azure Sentinel, select Data connectors and then select the Amazon Web Services line in the table and in the AWS pane to the right, click Open connector page.

  2. Postupujte podle pokynů v části Konfigurace pomocí následujících kroků.Follow the instructions under Configuration using the following steps.

  3. V konzole Amazon Web Services v části zabezpečení, identita & kompatibilitavyberte IAM.In your Amazon Web Services console, under Security, Identity & Compliance, select IAM.

    AWS1

  4. Zvolte role a vyberte vytvořit roli.Choose Roles and select Create role.

    AWS2

  5. Vyberte jiný účet AWS.Choose Another AWS account. V poli ID účtu zadejte ID účtu Microsoft (123412341234), které najdete na stránce konektoru AWS na portálu Azure Sentinel.In the Account ID field, enter the Microsoft Account ID (123412341234) that can be found in the AWS connector page in the Azure Sentinel portal.

    AWS3

  6. Ujistěte se, že je vybraná možnost vyžadovat externí ID a pak zadejte externí ID (ID pracovního prostoru), které najdete na stránce KONEKTORu AWS na portálu Azure Sentinel.Make sure Require External ID is selected and then and enter the External ID (Workspace ID) that can be found in the AWS connector page in the Azure Sentinel portal.

    AWS4

  7. V části připojení zásady oprávnění vyberte AWSCloudTrailReadOnlyAccess.Under Attach permissions policy select AWSCloudTrailReadOnlyAccess.

    AWS5

  8. Zadejte značku (volitelné).Enter a Tag (Optional).

    AWS6

  9. Pak zadejte název role a klikněte na tlačítko vytvořit roli .Then, enter a Role name and select the Create role button.

    AWS7

  10. V seznamu role vyberte roli, kterou jste vytvořili.In the Roles list, choose the role you created.

    AWS8

  11. Zkopírujte ARN role.Copy the Role ARN. Na portálu služby Azure Sentinel na obrazovce konektoru Amazon Web Services ji vložte do role pro přidání pole a klikněte na Přidat.In the Azure Sentinel portal, in the Amazon Web Services connector screen, paste it into the Role to add field and click Add.

    AWS9

  12. Pokud chcete použít příslušné schéma v Log Analytics pro události AWS, vyhledejte AWSCloudTrail.To use the relevant schema in Log Analytics for AWS events, search for AWSCloudTrail.

Další krokyNext steps

V tomto dokumentu jste zjistili, jak připojit AWS CloudTrail ke službě Azure Sentinel.In this document, you learned how to connect AWS CloudTrail to Azure Sentinel. Další informace o Sentinel Azure najdete v následujících článcích:To learn more about Azure Sentinel, see the following articles: