הגדרת AWS CloudTrail מול Azure Sentinel

חיבור מקורות מידע אל Azure Sentinel יכולים להיעשות על סמך סוגי קונקטורים שונים המבוססים על שיטות חיבור כדוגמת Service to Service או חיבור חיצוני על גבי API או Agent. הקונקטורים שמבוססים על Service to service הם קונקטורים מבוססי API שמאפשרים לבצע חיבור פשוט תוך דקות ספורות.

לשירות AWS ישנם שיטות שונות להזרמת לוגים אל Azure Sentinel בהם נמנה AWS CloudTrail, אך ישנם אפשרויות נוספות לחיבור סוגי לוגים אחרים הקיימים על AWS.

מהו AWS CloudTrail

AWS CloudTrail הוא רכיב שמופעל בשירות AWS הינו שירות שמסייע במעקב וניטור אחר פעולות בשירות AWS ומסייע בין היתר לביצוע אכיפה ביקורת, Governance ותאימות. פעולות שנעשו ע"י אדמין ומשתמש נרשמות כאירועים ברכיב AWS CloudTrail.

האירועים כוללים בין היתר פעולות מסוג: ממשק הניהול של AWS, בשורת הפקודה של AWS, פעולות פיתוח על גבי SDK או API.

AWS CloudTrail מופעל בחשבון AWS החל מרגע יצירת החשבון ולאחר מכן כל פעילות נרשמת כאירוע ומכאן ניתן להציג את כלל האירועים בממשק AWS CloudTrail ע"י אפשרויות הניהול של בממשק כגון: הצגת אירועים, ארכוב המידע, ניתוח איורעים, מעקב אחר משאבים שנעשו בהם שינויים, משתמש או אדמין אשר ביצע פעולה לא הכרחית, שימוש במשאבי AWS שונים וכן הלאה.

במקרים מסוימים אף אפשר לקחת אל המידע ולבנות תובנות וזאת בכדי לזהות ולהגיב לפעולות יוצאות דופן.

2020-02-08_16h16_45

הלוגים של AWS CloudTrail ניתנים לצריכה לפי שני סוגים:

  • לוגים (Trail) שמופעלים לכלל האיזורים (Regions) ובמצב כזה כל פעולה נרשמת כאירוע על גבי S3 Bucket ספציפי שמוגדר מראש, ובמידה ונוצר חשבון AWS נוסף באיזור אחר הוא מתווסף באופן אוטומטי אל אותו AWS CloudTrail.
  • לוג (Trail) שמופעל לאיזור ספציפי ובמצב כזה כל פעולה נרשמת כאירוע על גבי S3 Bucket ספציפי שמוגדר מראש.

Trail היא הפעולה שמצבעת העברה של האירועים אל הרכיבים השונים כדוגמת S3 Bucket או CloudWatch ומכאן יש לנו אפשרות לבע פילטר על כל המידע שעובר כולל אפשרות להצפין את המידע עם מפתח שיושב על AWS KMS.

פורמט לוג של AWS CloudTrail נראה כך

AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat

האירועים הנשמרים על AWS CloudTrail ניתנים להזרמה אל תשתיות SIEM שונות בינהם Azure Sentinel.

הגדרת AWS CloudTrail מול Azure Sentinel

הקונקטור של AWS CloudTrail מאפשר הזרמת מידע מתוך AWS CloudTrail אל Azure Sentinel ע"י דלגציה של Azure Sentinel מול הלוגים של AWS, ביצירת הדלגציה נוצר Trust ברמת השירות ומשם הלוגים מוזרמים אל Azure Sentinel.

יצירת הדלגציה נעשית ע"י הגדרת Role ייעודי לטובת Azure Sentinel שמספק הרשאות קריאה בלבד ולמשאבים מסוימים בלבד של AWS CloudTrail.

איך מגדירים

בכדי להגדיר הזרמת לוגים על גבי AWS CloudTrail אל Azure Sentinel יש לבצע את הפעולות הבאות:

בשלב ראשון ניצור Data Connector של AWS ונקח שני פרמטרים חשובים לטובת דלגציה:

Microsoft account ID

External ID (Workspace ID)

2020-02-08_21h41_34

לאחר מכן, בממשק AWS ניצור Role עם הרשאות מאוד ספציפיות של קריאה בלבד מתוך AWS CloudTrail, ובסיום נקח מספר מאפיינים והעיקרי הוא ARN.

2020-02-06_10h39_24

2020-02-06_10h36_22

2020-02-06_10h36_022020-02-06_10h36_392020-02-06_10h39_04

2020-02-08_21h51_32

2020-02-06_10h40_52

לאחר מכן בממשק Azure Sentinel נכניס מזהה ARN ונוסיף אותו לשירות.

2020-02-08_21h48_29

בסיום נגיע למצב שהקונקטור מוגדר בצורה תקינה.

2020-02-08_21h49_44

בדיקת אירועים

לאחר שביצענו חיבור בין AWS CloudTrail אל Azure Sentinel נוכל לבדוק לוגים ולהוסיף Hunting Queries.

לאחר שמבצעים חיבור של AWS CloudTrail מול Azure Sentinel אנו יכולים לבדוק אירועים מול Log Query או להוסיף Hunting Queries וכן Analytics.

פקודות מתוך Log Queries

2020-02-08_22h00_242020-02-08_22h00_50

הגדרת Analytics להתראה על בעיות אבטחה מול AWS

2020-02-08_22h02_28

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

%d בלוגרים אהבו את זה: