设置您的 Amazon Web Services (AWS) 环境，以便将 AWS 日志收集到 Microsoft Sentinel 中

Amazon Web Services （AWS） 连接器简化了从 Amazon S3（简单存储服务）收集日志并将其引入 Microsoft Sentinel 的过程。 连接器提供了工具，可帮助你为 Microsoft Sentinel 日志收集配置 AWS 环境。

本文概述了将日志发送到 Microsoft Sentinel 所需的 AWS 环境设置，以及有关设置环境并使用每个受支持的连接器收集 AWS 日志的分步说明的链接。

AWS 环境设置概述

此图显示了如何设置 AWS 环境以将日志发送到 Azure：

1. 创建 S3（简单存储服务）存储存储桶和简单队列服务（SQS）队列 ，S3 存储桶在收到新日志时会向其发布通知。

   Microsoft Sentinel 连接器：

   • 按频繁的间隔轮训 SQS 队列中的消息，这些消息包含新日志文件的路径。
   • 根据 SQS 通知中指定的路径从 S3 存储桶中提取文件。

2. 创建 Open ID Connect (OIDC) Web 标识提供者，并将 Microsoft Sentinel 添加为已注册应用程序（方法是将其添加为受众）。

   Microsoft Sentinel 连接器使用 Microsoft Entra ID 通过 OpenID Connect （OIDC） 向 AWS 进行身份验证，并承担 AWS IAM 角色。

   重要

   如果您已经为 Microsoft Defender for Cloud 设置了 OIDC 连接提供程序，请在现有提供商中添加 Microsoft Sentinel 作为目标受众（商业：api://1462b192-27f7-4cb9-8523-0f4ecb54b47e，政府：api://d4230588-5f84-4281-a9c7-2c15194b28f7）。 不要尝试为 Microsoft Sentinel 创建新的 OIDC 提供程序。

3. 创建 AWS 假定角色 ，授予 Microsoft Sentinel 连接器访问 AWS S3 存储桶和 SQS 资源的权限。

   1. 分配适当的 IAM 权限策略 ，以授予对资源的假定角色访问权限。

   2. 将连接器配置为使用创建的假定角色和 SQS 队列来访问 S3 存储桶并检索日志。

4. 配置 AWS 服务以将日志发送到 S3 存储桶。

手动安装

尽管可以手动设置 AWS 环境，但如本部分所述，我们强烈建议改用 部署 AWS 连接器 时提供的自动化工具。

1.创建 S3 存储桶和 SQS 队列

1. 创建一个S3 存储桶，用于接收来自 AWS 服务（如 VPC、GuardDuty、CloudTrail 或 CloudWatch）的日志。

   请参阅 AWS 文档中 创建 S3 存储存储桶的说明 。

2. 创建一个标准的简单队列服务（SQS）消息队列，S3 存储桶可以向其发布通知。

   请参阅 AWS 文档中 创建标准简单队列服务（SQS）队列的说明 。

3. 配置 S3 存储桶以将通知消息发送到 SQS 队列。

   请参阅 AWS 文档中 有关将通知发布到 SQS 队列的说明 。

2.创建 Open ID Connect (OIDC) Web 标识提供者

请按照 AWS 文档中的说明进行操作：
创建 OpenID Connect (OIDC) 标识提供者。

3.创建 AWS 假定角色

1. 请按照 AWS 文档中的说明进行操作：
   创建适用于 Web 标识或 OpenID Connect 联合身份验证的角色。

   参数	选择/值	注释
   受信任的实体类型	Web 标识	而不是默认 AWS 服务。
   身份提供程序	商业： sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/ 政府： sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/	在上一步中创建的提供者。
   观众	商业： api://1462b192-27f7-4cb9-8523-0f4ecb54b47e 政府： api://d4230588-5f84-4281-a9c7-2c15194b28f7	在上一步中为标识提供者定义的受众。
   要分配的权限	AmazonSQSReadOnlyAccess AWSLambdaSQSQueueExecutionRole AmazonS3ReadOnlyAccess ROSAKMSProviderPolicy 用于引入不同类型的 AWS 服务日志的其他策略	有关这些策略的信息，请参阅Microsoft Sentinel GitHub 存储库中的相关 AWS S3 连接器权限策略页。 AWS Commercial S3 连接器权限策略页 AWS 政府 S3 连接器权限策略页
   名称	“OIDC_MicrosoftSentinelRole”	选择一个有意义的名称，其中包含对 Microsoft Sentinel 的引用。 名称必须包含确切的前缀 OIDC_;否则，连接器无法正常工作。

2. 编辑新角色的信任策略并添加另一个条件：
   "sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

   重要

   参数的值必须具有确切的 sts:RoleSessionName 前缀 MicrosoftSentinel_;否则连接器无法正常工作。

   完成的信任策略应如下所示：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
             "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
           }
         }
       }
     ]
   }
   

   • XXXXXXXXXXXX 是 AWS 帐户 ID。
   • XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX 是你的 Microsoft Sentinel 工作区 ID。

   完成编辑后，更新（保存）策略。

配置 AWS 服务以将日志导出到 S3 存储桶

有关将每种类型的日志发送到 S3 存储桶的说明，请参阅链接的 Amazon Web Services 文档：

• 将 VPC 流日志发布到 S3 存储桶。

  注释

  如果选择自定义日志的格式，则必须包含 start 属性，因为它映射到 Log Analytics 工作区中的 TimeGenerated 字段。 否则，TimeGenerated 字段将填充事件的 记录时间，而记录时间无法准确反映日志事件。

• 将 GuardDuty 结果导出到 S3 存储桶.

  注释

  • 在 AWS 中，结果默认每隔 6 小时导出一次。 根据环境要求调整更新的活动发现的导出频率。 若要加快此过程，可以修改默认设置，每 15 分钟导出结果一次。 请参阅 设置导出更新的活动发现的频率。

  • TimeGenerated 字段已填充结果的“Update at”值。

• AWS CloudTrail 的日志默认存储在 S3 存储桶中。

  • 为单个帐户创建跟踪。
  • 创建跨整个组织内多个帐户的跟踪。

• 将 CloudWatch 日志数据导出到 S3 存储桶。

4.部署 AWS 连接器

Microsoft Sentinel 提供以下 AWS 连接器：

• Amazon Web Services Web 应用程序防火墙（WAF）连接器：将收集在 AWS S3 存储桶中的 AWS WAF 日志导入至 Microsoft Sentinel。
• Amazon Web Services 服务日志连接器：将 AWS 服务日志导入（收集于 AWS S3 存储桶中），到 Microsoft Sentinel。

后续步骤

若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。
• 使用工作簿监视数据。