Conectar Azure Sentinel con AWS CloudTrailConnect Azure Sentinel to AWS CloudTrail

Utilice el conector de AWS para transmitir los eventos de administración de AWS CloudTrail a Azure Sentinel.Use the AWS connector to stream your AWS CloudTrail management events into Azure Sentinel. Este proceso de conexión delega el acceso de Azure Sentinel en los registros de recursos de AWS, lo que crea una relación de confianza entre AWS CloudTrail y Azure Sentinel.This connection process delegates access for Azure Sentinel to your AWS resource logs, creating a trust relationship between AWS CloudTrail and Azure Sentinel. Para ello, en AWS se crea un rol que concede a Azure Sentinel el permiso necesario para acceder a los registros de AWS.This is accomplished on AWS by creating a role that gives permission to Azure Sentinel to access your AWS logs.

Nota

AWS CloudTrail tiene limitaciones integradas en su LookupEvents API.AWS CloudTrail has built-in limitations in its LookupEvents API. No permite más de dos transacciones por segundo (TPS) por cuenta y ninguna consulta puede devolver más de 50 registros.It allows no more than two transactions per second (TPS) per account, and each query can return a maximum of 50 records. En consecuencia, si un único inquilino genera constantemente más de 100 registros por segundo en una región, se producirán trabajos pendientes y retrasos en la ingesta de datos.Consequently, if a single tenant constantly generates more than 100 records per second in one region, backlogs and delays in data ingestion will result.

Requisitos previosPrerequisites

Debe tener permiso de escritura en el área de trabajo de Azure Sentinel.You must have write permission on the Azure Sentinel workspace.

Nota

Azure Sentinel recopila eventos de administración de CloudTrail de todas las regiones.Azure Sentinel collects CloudTrail management events from all regions. Se recomienda no transmitir eventos de una región a otra.It is recommended that you do not stream events from one region to another.

Conexión de AWSConnect AWS

  1. En Azure Sentinel, haga clic en Data connectors (Conectores de datos), y seleccione la línea Amazon Web Services en la tabla y, en el panel de AWS situado a la derecha, haga clic en Open connector page (Abrir la página del conector).In Azure Sentinel, select Data connectors and then select the Amazon Web Services line in the table and in the AWS pane to the right, click Open connector page.

  2. Siga las instrucciones que aparecen en Configuration (Configuración) mediante los pasos siguientes.Follow the instructions under Configuration using the following steps.

  3. En la consola de Amazon Web Services, en Security, Identity & Compliance (Seguridad, identidad y cumplimiento), haga clic en IAM.In your Amazon Web Services console, under Security, Identity & Compliance, select IAM.

    AWS1

  4. Haga clic en Roles y en Create role (Crear rol).Choose Roles and select Create role.

    AWS2

  5. Seleccione Another AWS account (Otra cuenta de AWS).Choose Another AWS account. En el campo Account ID (Id. de cuenta), especifique el identificador de la cuenta Microsoft (123412341234) que encontrará en la página del conector de AWS del portal de Azure Sentinel.In the Account ID field, enter the Microsoft Account ID (123412341234) that can be found in the AWS connector page in the Azure Sentinel portal.

    AWS3

  6. Asegúrese de que la opción Require External ID (Requerir id. externo) esté seleccionada y escriba el identificador externo (identificador del área de trabajo), que encontrará en la página del conector de AWS del portal de Azure Sentinel.Make sure Require External ID is selected and then and enter the External ID (Workspace ID) that can be found in the AWS connector page in the Azure Sentinel portal.

    AWS4

  7. En Attach permissions policy (Asociar directiva de permisos), seleccioneAWSCloudTrailReadOnlyAccess.Under Attach permissions policy select AWSCloudTrailReadOnlyAccess.

    AWS5

  8. Escriba una etiqueta (opcional).Enter a Tag (Optional).

    AWS6

  9. A continuación, especifique el nombre del rol y haga clic en el botón Create role (Crear rol).Then, enter a Role name and select the Create role button.

    AWS7

  10. En la lista Roles, seleccione el rol que ha creado.In the Roles list, choose the role you created.

    AWS8

  11. Copie el valor de ARN de rol.Copy the Role ARN. En el portal de Azure Sentinel, en la pantalla del conector de Amazon Web Services, pegue el valor en el campo Role to add (Rol que se va a agregar) y haga clic en Add (Agregar).In the Azure Sentinel portal, in the Amazon Web Services connector screen, paste it into the Role to add field and click Add.

    AWS9

  12. Para usar el esquema correspondiente de Log Analytics con los eventos de AWS, busque AWSCloudTrail.To use the relevant schema in Log Analytics for AWS events, search for AWSCloudTrail.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar AWS CloudTrail con Azure Sentinel.In this document, you learned how to connect AWS CloudTrail to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: