הגדרת AWS CloudTrail מול Azure Sentinel
חיבור מקורות מידע אל Azure Sentinel יכולים להיעשות על סמך סוגי קונקטורים שונים המבוססים על שיטות חיבור כדוגמת Service to Service או חיבור חיצוני על גבי API או Agent. הקונקטורים שמבוססים על Service to service הם קונקטורים מבוססי API שמאפשרים לבצע חיבור פשוט תוך דקות ספורות.
לשירות AWS ישנם שיטות שונות להזרמת לוגים אל Azure Sentinel בהם נמנה AWS CloudTrail, אך ישנם אפשרויות נוספות לחיבור סוגי לוגים אחרים הקיימים על AWS.
מהו AWS CloudTrail
AWS CloudTrail הוא רכיב שמופעל בשירות AWS הינו שירות שמסייע במעקב וניטור אחר פעולות בשירות AWS ומסייע בין היתר לביצוע אכיפה ביקורת, Governance ותאימות. פעולות שנעשו ע”י אדמין ומשתמש נרשמות כאירועים ברכיב AWS CloudTrail.
האירועים כוללים בין היתר פעולות מסוג: ממשק הניהול של AWS, בשורת הפקודה של AWS, פעולות פיתוח על גבי SDK או API.
AWS CloudTrail מופעל בחשבון AWS החל מרגע יצירת החשבון ולאחר מכן כל פעילות נרשמת כאירוע ומכאן ניתן להציג את כלל האירועים בממשק AWS CloudTrail ע”י אפשרויות הניהול של בממשק כגון: הצגת אירועים, ארכוב המידע, ניתוח איורעים, מעקב אחר משאבים שנעשו בהם שינויים, משתמש או אדמין אשר ביצע פעולה לא הכרחית, שימוש במשאבי AWS שונים וכן הלאה.
במקרים מסוימים אף אפשר לקחת אל המידע ולבנות תובנות וזאת בכדי לזהות ולהגיב לפעולות יוצאות דופן.
הלוגים של AWS CloudTrail ניתנים לצריכה לפי שני סוגים:
- לוגים (Trail) שמופעלים לכלל האיזורים (Regions) ובמצב כזה כל פעולה נרשמת כאירוע על גבי S3 Bucket ספציפי שמוגדר מראש, ובמידה ונוצר חשבון AWS נוסף באיזור אחר הוא מתווסף באופן אוטומטי אל אותו AWS CloudTrail.
- לוג (Trail) שמופעל לאיזור ספציפי ובמצב כזה כל פעולה נרשמת כאירוע על גבי S3 Bucket ספציפי שמוגדר מראש.
Trail היא הפעולה שמצבעת העברה של האירועים אל הרכיבים השונים כדוגמת S3 Bucket או CloudWatch ומכאן יש לנו אפשרות לבע פילטר על כל המידע שעובר כולל אפשרות להצפין את המידע עם מפתח שיושב על AWS KMS.
פורמט לוג של AWS CloudTrail נראה כך
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
האירועים הנשמרים על AWS CloudTrail ניתנים להזרמה אל תשתיות SIEM שונות בינהם Azure Sentinel.
הגדרת AWS CloudTrail מול Azure Sentinel
הקונקטור של AWS CloudTrail מאפשר הזרמת מידע מתוך AWS CloudTrail אל Azure Sentinel ע”י דלגציה של Azure Sentinel מול הלוגים של AWS, ביצירת הדלגציה נוצר Trust ברמת השירות ומשם הלוגים מוזרמים אל Azure Sentinel.
יצירת הדלגציה נעשית ע”י הגדרת Role ייעודי לטובת Azure Sentinel שמספק הרשאות קריאה בלבד ולמשאבים מסוימים בלבד של AWS CloudTrail.
איך מגדירים
בכדי להגדיר הזרמת לוגים על גבי AWS CloudTrail אל Azure Sentinel יש לבצע את הפעולות הבאות:
בשלב ראשון ניצור Data Connector של AWS ונקח שני פרמטרים חשובים לטובת דלגציה:
Microsoft account ID
External ID (Workspace ID)
לאחר מכן, בממשק AWS ניצור Role עם הרשאות מאוד ספציפיות של קריאה בלבד מתוך AWS CloudTrail, ובסיום נקח מספר מאפיינים והעיקרי הוא ARN.
לאחר מכן בממשק Azure Sentinel נכניס מזהה ARN ונוסיף אותו לשירות.
בסיום נגיע למצב שהקונקטור מוגדר בצורה תקינה.
בדיקת אירועים
לאחר שביצענו חיבור בין AWS CloudTrail אל Azure Sentinel נוכל לבדוק לוגים ולהוסיף Hunting Queries.
לאחר שמבצעים חיבור של AWS CloudTrail מול Azure Sentinel אנו יכולים לבדוק אירועים מול Log Query או להוסיף Hunting Queries וכן Analytics.
פקודות מתוך Log Queries
הגדרת Analytics להתראה על בעיות אבטחה מול AWS
