Соединитель Amazon Web Services S3 для Microsoft Sentinel
Этот соединитель позволяет собирать журналы служб AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Поддерживаемые в настоящее время типы данных:
- AWS CloudTrail
- Журналы потоков VPC
- AWS GuardDuty
- AWSCloudWatch
Дополнительные сведения см. в документации по Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | AWSGuardDuty AWSVPCFlow AWSCloudTrail AWSCloudWatch |
| Поддержка правил сбора данных | Поддерживается как указанный |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Результаты высокой серьезности, обобщенные по типу действия
AWSGuardDuty
| where Severity > 7
| summarize count() by ActivityType
Первые 10 отклоненных действий типа IPv4
AWSVPCFlow
| where Action == "REJECT"
| where Type == "IPv4"
| take 10
События создания пользователей, обобщенные по регионам
AWSCloudTrail
| where EventName == "CreateUser"
| summarize count() by AWSRegion
Необходимые компоненты
Чтобы интегрироваться с Amazon Web Services S3, убедитесь, что у вас есть:
- Среда: у вас должны быть следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли и политики разрешений IAM и службы AWS, журналы которых требуется собрать.
Инструкции по установке поставщика
- Настройка среды AWS
Существует два варианта настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics:
- Добавить подключение
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.