Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS

Use los conectores de Amazon Web Services (AWS) para extraer los registros de servicio de AWS en Microsoft Sentinel. Estos conectores funcionan concediendo a Microsoft Sentinel acceso a los registros de recursos de AWS. La configuración del conector establece una relación de confianza entre Amazon Web Services y Microsoft Sentinel. Para ello, en AWS se crea un rol que concede a Microsoft Sentinel el permiso necesario para acceder a los registros de AWS.

Este conector está disponible en dos versiones: el conector heredado para la administración de CloudTrail y los registros de datos, y la nueva versión que puede ingerir registros de los siguientes servicios de AWS al extraerlos de un cubo S3 (los vínculos son a la documentación de AWS):

En esta pestaña se explica cómo configurar el conector AWS CloudTrail. El proceso de configuración consta de dos partes: el lado de AWS y el lado de Microsoft Sentinel. El proceso de cada lado genera información usada por el otro lado. Esta autenticación bidireccional crea una comunicación segura.

Nota

AWS CloudTrail tiene limitaciones integradas en su LookupEvents API. No permite más de dos transacciones por segundo (TPS) por cuenta y ninguna consulta puede devolver más de 50 registros. En consecuencia, si un único inquilino genera constantemente más de 100 registros por segundo en una región, se producirán trabajos pendientes y retrasos en la ingesta de datos.

Actualmente, solo puede conectar AWS Commercial CloudTrail a Microsoft Sentinel y no a AWS GovCloud CloudTrail.

Requisitos previos

Nota

Azure Microsoft recopila eventos de administración de CloudTrail de todas las regiones. Se recomienda no transmitir eventos de una región a otra.

Conexión a AWS CloudTrail

La configuración de este conector tiene dos pasos:

Creación de un rol asumido por AWS y concesión de acceso a la cuenta de AWS Sentinel

  1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

  2. Seleccione Amazon Web Services en la galería de conectores de datos.

    Si no ve el conector, instale la solución de Amazon Web Services desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

  3. En el panel de detalles del conector, seleccione Abrir página del conector.

  4. En Configuración, copie el identificador de cuenta de Microsoft y el Id. externo (id. de área de trabajo) en el Portapapeles.

  5. En otra ventana o pestaña del explorador, abra la consola de AWS. Siga las instrucciones de la documentación de AWS para crear un rol para una cuenta de AWS.

    • Para el tipo de cuenta, en lugar de Esta cuenta, elija Otra cuenta de AWS.

    • En el campo Id. de cuenta, escriba el número 197857026523 (o péguelo) (el identificador de cuenta de Microsoft que copió en el paso anterior del Portapapeles). Este número es el identificador de la cuenta de servicio de Microsoft Sentinel para AWS. Indica a AWS que la cuenta que usa este rol es un usuario de Microsoft Sentinel.

    • En las opciones, seleccione Requerir identificador externo (no seleccione Requerir MFA). En el campo Id. externo, pegue el identificador del área de trabajo de Microsoft Sentinel que copió en el paso anterior. Esto identifica la cuenta específica de Microsoft Sentinel en AWS.

    • Asigne la directiva de permisos AWSCloudTrailReadOnlyAccess. Agregue una etiqueta si lo desea.

    • Asigne al rol un nombre descriptivo que incluya una referencia a Microsoft Sentinel. Ejemplo: "MicrosoftSentinelRole".

Adición de la información del rol de AWS al conector de datos AWS CloudTrail

  1. En la pestaña del explorador abierta a la consola de AWS, introduzca el servicio Administración de identidad y acceso (IAM) y vaya a la lista de Roles. Seleccione el rol que creó anteriormente.

  2. Copie el ARN en el Portapapeles.

  3. Vuelva a la pestaña del explorador de Microsoft Sentinel, que debe abrirse en la página del conector de datos de Amazon Web Services. En la sección Configuración, pegue el ARN de rol en el campo Rol que agregar y seleccione Agregar.

    Captura de pantalla en la que se agrega una conexión de un rol de AWS al conector de AWS.

  4. Para usar el esquema correspondiente de Log Analytics con los eventos de AWS, busque AWSCloudTrail.

    Importante

    A partir del 1 de diciembre de 2020, el campo AwsRequestId se ha reemplazado por el campo AwsRequestId_ (tenga en cuenta el guion bajo agregado). Los datos del campo anterior AwsRequestId se conservarán hasta el final del período de retención de datos especificado por el cliente.

Pasos siguientes

En este documento, ha aprendido a conectarse a los recursos de AWS para ingerir sus registros en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: