Share via

Risolvere i problemi del connettore AWS S3

  • Articolo

Il connettore Amazon Web Services (AWS) S3 consente di inserire i log del servizio AWS, raccolti in bucket AWS S3, in Microsoft Sentinel. I tipi di log attualmente supportati sono AWS CloudTrail, log dei flussi VPC e AWS GuardDuty.

Questo articolo descrive come identificare rapidamente la causa dei problemi che si verificano con il connettore AWS S3 in modo da trovare i passaggi necessari per risolvere i problemi.

Informazioni su come connettere Microsoft Sentinel a Amazon Web Services per inserire i dati di log del servizio AWS.

Microsoft Sentinel non riceve dati dal connettore Amazon Web Services S3 o da uno dei relativi tipi di dati

I log per il connettore AWS S3 (o uno dei relativi tipi di dati) non sono visibili nell'area di lavoro di Microsoft Sentinel per più di 30 minuti dopo la connessione del connettore.

Prima di cercare una causa e una soluzione, esaminare queste considerazioni:

  • Possono essere necessari circa 20-30 minuti prima che i dati vengano inseriti nell'area di lavoro dopo la connessione del connettore.
  • Lo stato di connessione del connettore indica che esiste una regola di raccolta, non indica che i dati sono stati inseriti. Se lo stato del connettore Amazon Web Services S3 è verde, esiste una regola di raccolta per uno dei tipi di dati, ma ancora nessun dato.

Determinare la causa del problema

In questa sezione vengono illustrate queste cause:

  1. I criteri di autorizzazioni del connettore AWS S3 non sono impostati correttamente.
  2. I dati non vengono inseriti nel bucket S3 in AWS.
  3. Il servizio SQS (Amazon Simple Queue Service) nel cloud AWS non riceve notifiche dal contenitore S3.
  4. Non è possibile leggere i dati del servizio SQS/S3 nel cloud AWS. Con i log guardDuty, il problema è causato da autorizzazioni del Servizio di gestione delle chiavi errate.

Causa 1: i criteri di autorizzazioni del connettore AWS S3 non sono impostati correttamente

Questo problema è causato da autorizzazioni non corrette nell'ambiente AWS.

Creare criteri di autorizzazione

Sono necessari criteri di autorizzazioni per distribuire il connettore dati AWS S3. Esaminare le autorizzazioni necessarie e impostare le autorizzazioni pertinenti.

Causa 2: I dati pertinenti non esistono nel bucket S3

I log pertinenti non esistono nel bucket S3.

Soluzione: cercare i log ed esportare i log, se necessario

  1. In AWS aprire il bucket S3, cercare la cartella pertinente in base ai log necessari e verificare se sono presenti file di log all'interno della cartella.
  2. Se i dati non esistono, si verifica un problema con la configurazione di AWS. In questo caso, è necessario configurare un servizio AWS per esportare i log in un bucket S3.

Causa 3: I dati S3 non sono arrivati all'sqs

I dati non sono stati trasferiti correttamente da S3 a SQS.

Soluzione: verificare che i dati siano arrivati e configurare le notifiche degli eventi

  1. In AWS aprire il servizio SQS pertinente.
  2. Nella scheda Monitoraggio si dovrebbe visualizzare il traffico nel widget Numero di messaggi inviati. Se non è presente traffico nel servizio SQS, il problema risiede nella configurazione di AWS.
  3. Assicurarsi che la definizione delle notifiche degli eventi per SQS contenga i filtri dati corretti (prefisso e suffisso).
    1. Per visualizzare le notifiche degli eventi, selezionare la scheda Proprietà nel contenitore S3 e quindi passare alla sezione Notifiche eventi.
    2. Se non è possibile visualizzare questa sezione, crearla.
    3. Assicurarsi che SQS disponga dei criteri pertinenti per ottenere i dati dal bucket S3. L'utilità SQS deve contenere questo criterio nella scheda Criteri di accesso .

Causa 4: l'utilità SQS non ha letto i dati

L'utilità SQS non ha letto correttamente i dati S3.

Soluzione: verificare che l'utilità SQS legga i dati

  1. In AWS aprire il servizio SQS pertinente.

  2. Nella scheda Monitoraggio dovrebbe essere possibile visualizzare il traffico nei widget Numero di messaggi eliminati e Numero di messaggi ricevuti.

  3. Un picco di dati non è sufficiente. Attendere fino a quando non sono presenti dati sufficienti (diversi picchi) e quindi verificare la presenza di problemi.

  4. Se almeno uno dei widget è vuoto, controllare i log di integrità eseguendo questa query:

    SentinelHealth 
| where TimeGenerated > ago(1d)
| where SentinelResourceKind in ('AmazonWebServicesCloudTrail', 'AmazonWebServicesS3')
| where OperationName == 'Data fetch failure summary'
| mv-expand TypeOfFailureDuringHour = ExtendedProperties["FailureSummary"]
| extend StatusCode = TypeOfFailureDuringHour["StatusCode"]
| extend StatusMessage = TypeOfFailureDuringHour["StatusMessage"]
| project SentinelResourceKind, SentinelResourceName, StatusCode, StatusMessage, SentinelResourceId, TypeOfFailureDuringHour, ExtendedProperties

  5. Assicurarsi che la funzionalità di verifica dell'integrità sia abilitata:

    SentinelHealth 
| take 20

  6. Se non è abilitata, abilitarla.

I dati del connettore AWS S3 (o uno dei relativi tipi di dati) vengono visualizzati in Microsoft Sentinel con un ritardo di oltre 30 minuti

Questo problema si verifica in genere quando Microsoft non riesce a leggere i file nella cartella S3. Microsoft non è in grado di leggere i file perché sono crittografati o nel formato errato. In questi casi, la ripetizione di molti tentativi causa alla fine un ritardo nell'inserimento.

Determinare la causa del problema

In questa sezione vengono illustrate queste cause:

  • La crittografia dei log non è configurata correttamente
  • Le notifiche degli eventi non sono definite correttamente
  • Errori di integrità o integrità disabilitati

Causa 1: La crittografia dei log non è configurata correttamente

Se i log sono completamente o parzialmente crittografati dal servizio di gestione delle chiavi,Microsoft Sentinel potrebbe non avere l'autorizzazione per questo Servizio di gestione delle chiavi per decrittografare i file.

Soluzione: Controllare la crittografia dei log

Assicurarsi che Microsoft Sentinel disponga dell'autorizzazione per questo Servizio di gestione delle chiavi per decrittografare i file. Esaminare le autorizzazioni necessarie del servizio di gestione delle chiavi per i log GuardDuty e CloudTrail.

Causa 2: Le notifiche degli eventi non sono configurate correttamente

Quando si configura una notifica degli eventi amazon S3, è necessario specificare i tipi di evento supportati a cui Amazon S3 deve inviare la notifica. Se nel bucket Amazon S3 non esiste un tipo di evento non specificato, Amazon S3 non invia la notifica.

Soluzione: verificare che le notifiche degli eventi siano definite correttamente

Per verificare che le notifiche degli eventi da S3 a SQS siano definite correttamente, verificare che:

  • La notifica viene definita dalla cartella specifica che include i log e non dalla cartella principale che contiene il contenitore.
  • La notifica viene definita con il suffisso gz . Ad esempio:

Causa 3: Errori di integrità o integrità disabilitati

Potrebbero verificarsi errori nei log di integrità o la funzionalità di integrità potrebbe non essere abilitata.

Soluzione: verificare che non siano presenti errori nei log di integrità e abilitare l'integrità

  1. Verificare che non siano presenti errori nei log di integrità eseguendo questa query:

    SentinelHealth
| where TimeGenerated between (ago(startTime)..ago(endTime))
| where SentinelResourceKind  == "AmazonWebServicesS3"
| where Status != "Success"
| distinct TimeGenerated, OperationName, SentinelResourceName, Status, Description

  2. Assicurarsi che la funzionalità di verifica dell'integrità sia abilitata:

    SentinelHealth 
| take 20

  3. Se non è abilitata, abilitarla.

Passaggi successivi

In questo articolo si è appreso come identificare rapidamente le cause e risolvere i problemi comuni con il connettore AWS S3.

Sono disponibili commenti e suggerimenti, richieste di funzionalità, report di bug o miglioramenti e aggiunte. Passare al repository GitHub di Microsoft Sentinel per creare un problema o creare un fork e caricare un contributo.