アマゾン ウェブ サービス (AWS) S3 ベースの Web Application Firewall (WAF) コネクタを使用して、AWS S3 バケットに収集された AWS WAF ログを Microsoft Sentinel に取り込みます。 AWS WAF ログは、Web アクセス制御リスト (ACL) に対して AWS WAF によって分析された Web トラフィックの詳細なレコードです。 これらのレコードには、AWS WAF が要求を受信した時刻、要求の詳細、要求が一致した規則によって実行されたアクションなどの情報が含まれています。 これらのログとこの分析は、Web アプリケーションのセキュリティとパフォーマンスを維持するために不可欠です。
このコネクタには、 AWS CloudFormation ベースのオンボード スクリプトが用意されています。これにより、コネクタによって使用される AWS リソースの作成が効率化されます。
重要
Amazon Web Services S3 WAF データ コネクタは現在プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。
-
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
概要
Amazon Web Services S3 WAF データ コネクタは、次のユース ケースを提供します。
セキュリティの監視と脅威の検出: AWS WAF ログを分析して、SQL インジェクションやクロスサイト スクリプティング (XSS) 攻撃などのセキュリティ上の脅威を特定して対応します。 これらのログを Microsoft Sentinel に取り込むことで、その高度な分析と脅威インテリジェンスを使用し、悪意のあるアクティビティを検出して調査することができます。
コンプライアンスと監査: AWS WAF ログでは、Web ACL トラフィックの詳細なレコードが提供されます。これは、コンプライアンスレポートと監査の目的で重要な場合があります。 コネクタにより、これらのログが Sentinel 内で使用できるようになるため、簡単にアクセスして分析できます。
この記事では、アマゾン ウェブ サービス S3 WAF コネクタを構成する方法について説明します。 設定プロセスには、AWS 側と Microsoft Sentinel 側の 2 つの部分があります。 各側のプロセスは、もう一方の側で使用される情報を生成します。 この双方向認証により、セキュリティで保護された通信が作成されます。
前提条件
Microsoft Sentinel ワークスペースへの書き込みアクセス許可が必要です。
Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。 ソリューションのバージョン 3.0.2 (またはそれ以前) が既にインストールされている場合は、コンテンツ ハブでソリューションを更新して、このコネクタを含む最新バージョンを確実に入手してください。 詳細については、「Microsoft Sentinel の標準コンテンツの検出と管理」を参照してください。
アマゾン ウェブ サービス S3 WAF コネクタを有効にして構成する
コネクタを有効にして構成するプロセスは、次のタスクで構成されます。
AWS 環境では、次の手順を実行します。
Microsoft Sentinel の Amazon Web Services S3 WAF コネクタ ページには、次の AWS タスクを自動化するダウンロード可能な AWS CloudFormation スタック テンプレートが含まれています。
S3 バケットにログを送信するように AWS サービスを構成します。
通知を提供する 簡易キュー サービス (SQS) キュー を作成します。
OpenID Connect (OIDC) を使用して AWS に対してユーザーを認証する Web ID プロバイダー を作成します。
OIDC Web ID プロバイダーによって認証されたユーザーに AWS リソースにアクセスするためのアクセス許可を付与する 、想定されたロール を作成します。
適切な IAM アクセス許可ポリシー をアタッチして、想定されたロールに適切なリソース (S3 バケット、SQS) へのアクセスを許可します。
Microsoft Sentinel の場合:
- キューをポーリングし、S3 バケットからログ データを取得するログ コレクターを追加して、Microsoft Sentinel ポータルで Amazon Web Services S3 WAF コネクタを構成します。 以下の手順を参照してください。
AWS 環境を設定する
オンボード プロセスを簡略化するために、Microsoft Sentinel の Amazon Web Services S3 WAF コネクタ ページには、AWS CloudFormation サービスで使用するためのダウンロード可能なテンプレートが含まれています。 CloudFormation サービスは、これらのテンプレートを使用して、リソース スタックを AWS に自動的に作成します。 これらのスタックには、この記事で説明されているリソース自体と、資格情報、アクセス許可、ポリシーが含まれます。
注
自動セットアップ プロセスを使用することを強くお勧めします。 特殊な場合は、 手動セットアップ手順を参照してください。
テンプレート ファイルを準備する
スクリプトを実行して AWS 環境を設定するには、次の手順を実行します。
Azure portal の Microsoft Sentinel ナビゲーション メニューから [ 構成] を展開し、[ データ コネクタ] を選択します。
Defender ポータルのサイド リンク バー メニューから、 Microsoft Sentinel > 構成 を展開し、[ データ コネクタ] を選択します。
データ コネクタの一覧から Amazon Web Services S3 WAF を選択します。
コネクタが表示されない場合は、Microsoft Sentinel のコンテンツ管理の下にあるコンテンツ ハブから Amazon Web Services ソリューションをインストールするか、ソリューションを最新バージョンに更新します。
コネクタの詳細ウィンドウで、[コネクタ ページを 開く] を選択します。
構成セクションの1. AWS CloudFormation デプロイの下で、AWS CloudFormation Stacksリンクを選択します。 これにより、新しいブラウザー タブで AWS コンソールが開きます。
Microsoft Sentinel を開いているポータルのタブに戻ります。 [テンプレート 1: OpenID Connect 認証の展開] で [ダウンロード] を選択して、OIDC Web ID プロバイダーを作成するテンプレートをダウンロードします。 テンプレートは、指定したダウンロード フォルダーに JSON ファイル形式でダウンロードされます。
注
OIDC Web ID プロバイダーが既にある場合は、この手順をスキップします。
[テンプレート 2: AWS WAF リソースのデプロイ] で [ダウンロード] を選択して、他の AWS リソースを作成するテンプレートをダウンロードします。 テンプレートは、指定したダウンロード フォルダーに JSON ファイル形式でダウンロードされます。
AWS CloudFormation スタックを作成する
AWS コンソールのブラウザー タブに戻ります。これにより、スタックを作成する AWS CloudFormation ページが開きます。
まだ AWS にログインしていない場合は、今すぐログインし、AWS CloudFormation ページにリダイレクトされます。
OIDC Web ID プロバイダーを作成する
重要
AWS S3 コネクタの以前のバージョンの OIDC Web ID プロバイダーが既にある場合は、この手順をスキップして、 残りの AWS リソースの作成に進みます。
既に Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとして Microsoft Sentinel を追加します。 Microsoft Sentinel 用の新しい OIDC プロバイダーを作成しないでください。
新しいスタックを作成するには、AWS コンソール ページの指示に従います
テンプレートを指定してテンプレート ファイルをアップロードします。
[ ファイルの選択] を選択 し、ダウンロードした "Template 1_ OpenID connect authentication deployment.json" ファイルを見つけます。
スタックの名前を選択します。
残りのプロセスを進めてスタックを作成します。
残りの AWS リソースを作成する
AWS CloudFormation スタック ページに戻り、新しいスタックを作成します。
[ ファイルの選択] を選択 し、ダウンロードした "Template 2_ AWS WAF resources deployment.json" ファイルを見つけます。
スタックの名前を選択します。
メッセージが表示されたら、Microsoft Sentinel ワークスペース ID を入力します。 ワークスペース ID を確認するには:
Azure portal の Microsoft Sentinel ナビゲーション メニューで、[ 構成] を 展開し 、[設定] を選択します。 [ ワークスペースの設定 ] タブを選択し、[Log Analytics ワークスペース] ページでワークスペース ID を見つけます。
Defender ポータルのサイド リンク バー メニューで、[ システム ] を展開し、[ 設定] を選択します。 Microsoft Sentinel を選択し、 から
[WORKSPACE_NAME]を選択します。 新しいブラウザー タブに開かれる Log Analytics ワークスペース ページで、ワークスペース ID を見つけます。
残りのプロセスを進めてスタックを作成します。
ログ コレクターを追加する
リソース スタックがすべて作成されたら、Microsoft Sentinel のデータ コネクタ ページを開いているブラウザー タブに戻り、構成プロセスの 2 つ目のパートを開始します。
[ 構成 ] セクションの 2 の下。新しいコレクターを接続し、[ 新しいコレクターの追加] を選択します。
作成した IAM ロールのロール ARN を入力します。 ロールの既定の名前は OIDC_MicrosoftSentinelRoleなので、ロール ARN は
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole。作成した SQS キューの名前を入力します。 このキューの既定の名前は SentinelSQSQueue であるため、URL は
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue。[ 接続 ] を選択してコレクターを追加します。 これにより、Azure Monitor エージェントのデータ収集ルールが作成され、ログが取得され、Log Analytics ワークスペース内の専用 の AWSWAF テーブルに取り込まれます。
コネクタのテストと監視
コネクタが設定されたら、[ ログ ] ページ (または Defender ポータルの [高度な検出 ] ページ) に移動し、次のクエリを実行します。 何らかの結果が得られた場合、コネクタは正常に機能しています。
AWSWAF | take 10まだ行っていない場合は、 データ コネクタの正常性監視 を実装して、コネクタがいつデータを受信していないか、コネクタに関するその他の問題を把握できるようにすることをお勧めします。 詳細については、「 データ コネクタの正常性の監視」を参照してください。