다음을 통해 공유

Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS WAF 로그 수집

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

AWS(Amazon Web Services) S3 기반 WAF(웹 애플리케이션 방화벽) 커넥터를 사용하여 AWS S3 버킷에서 수집된 AWS WAF 로그를 Microsoft Sentinel에 수집합니다. AWS WAF 로그는 AWS WAF가 ACL(웹 액세스 제어 목록)에 대해 분석한 웹 트래픽에 대한 자세한 레코드입니다. 이러한 레코드에는 AWS WAF가 요청을 받은 시간, 요청의 세부 정보 및 요청이 일치하는 규칙에서 수행한 작업과 같은 정보가 포함됩니다. 이러한 로그와 이 분석은 웹 애플리케이션의 보안 및 성능을 유지하는 데 필수적입니다.

이 커넥터는 커넥터에서 사용하는 AWS 리소스의 생성을 간소화하기 위해 새로운 AWS CloudFormation 기반 온보딩 스크립트를 제공합니다.

Important

  • Amazon Web Services S3 WAF 데이터 커넥터는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

  • Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

개요

Amazon Web Services S3 WAF 데이터 커넥터는 다음과 같은 사용 사례를 제공합니다.

  • 보안 모니터링 및 위협 감지: AWS WAF 로그를 분석하여 SQL 삽입 및 XSS(사이트 간 스크립팅) 공격과 같은 보안 위협을 식별하고 대응합니다. 이러한 로그를 Microsoft Sentinel에 수집하면 고급 분석 및 위협 인텔리전스를 사용하여 악의적인 활동을 감지하고 조사할 수 있습니다.

  • 규정 준수 및 감사: AWS WAF 로그는 규정 준수 보고 및 감사 목적에 매우 중요할 수 있는 웹 ACL 트래픽에 대한 자세한 레코드를 제공합니다. 커넥터는 쉽게 액세스하고 분석할 수 있도록 이러한 로그를 Sentinel 내에서 사용할 수 있도록 합니다.

이 문서에서는 Amazon Web Services S3 WAF 커넥터를 구성하는 방법을 설명합니다. 설정 프로세스는 AWS 쪽과 Microsoft Sentinel 쪽의 두 부분으로 이루어져 있습니다. 양쪽 프로세스는 각각 다른 쪽에서 사용되는 정보를 생성합니다. 이런 양방향 인증을 통해 보안 통신이 가능해집니다.

필수 조건

  • Microsoft Sentinel 작업 영역에 대한 쓰기 권한이 있어야 합니다.

  • Microsoft Sentinel의 콘텐츠 허브에서 Amazon Web Services 솔루션을 설치합니다. 솔루션 버전 3.0.2(또는 이전 버전)가 이미 설치된 경우 콘텐츠 허브에서 솔루션을 업데이트하여 이 커넥터를 포함하는 최신 버전이 있는지 확인합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

Amazon Web Services S3 WAF 커넥터 사용 및 구성

커넥터를 사용하도록 설정하고 구성하는 프로세스는 다음 작업으로 구성됩니다.

  • AWS 환경에서 다음을 수행합니다.

    Microsoft Sentinel의 Amazon Web Services S3 WAF 커넥터 페이지에는 다음 AWS 작업을 자동화하는 다운로드 가능한 AWS CloudFormation 스택 템플릿이 포함되어 있습니다.

    • S3 버킷에 로그를 보내도록 AWS 서비스를 구성합니다.

    • 알림을 제공할 SQS(Simple Queue Service) 큐를 만듭니다.

    • OIDC(OpenID Connect)를 통해 AWS에 사용자를 인증하기 위한 웹 ID 공급자를 만듭니다.

    • OIDC 웹 ID 공급자가 인증한 사용자에게 AWS 리소스에 액세스할 수 있는 권한을 부여하려면 가정된 역할을 만듭니다.

    • 적절한 IAM 권한 정책을 연결하여 위임된 역할에 적절한 리소스(S3 버킷, SQS)에 대한 액세스 권한을 부여합니다.

  • Microsoft Sentinel에서 다음을 수행합니다.

    • 큐를 폴링하고 S3 버킷에서 로그 데이터를 검색하는 로그 수집기를 추가하여 Microsoft Sentinel 포털에서 Amazon Web Services S3 WAF 커넥터를 구성합니다. 아래 지침을 참조하세요.

AWS 환경 설정

온보딩 프로세스를 간소화하기 위해 Microsoft Sentinel의 Amazon Web Services S3 WAF 커넥터 페이지에는 AWS CloudFormation 서비스와 함께 사용할 수 있는 다운로드 가능한 템플릿이 포함되어 있습니다. CloudFormation 서비스는 이러한 템플릿을 사용하여 AWS에서 리소스 스택을 자동으로 만듭니다. 이러한 스택에는 이 문서에 설명된 대로 리소스 자체뿐만 아니라 자격 증명, 사용 권한 및 정책이 포함됩니다.

템플릿 파일 준비

스크립트를 실행하여 AWS 환경을 설정하려면 다음 단계를 사용합니다.

  1. Azure Portal의 Microsoft Sentinel 탐색 메뉴에서 구성을 확장하고 데이터 커넥터를 선택합니다.

    Defender 포털의 빠른 실행 메뉴에서 Microsoft Sentinel > 구성을 확장하고 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 목록에서 Amazon Web Services S3 WAF를 선택합니다.

    커넥터가 표시되지 않는 경우 Microsoft Sentinel의 콘텐츠 관리 아래에 콘텐츠 허브에서 Amazon Web Services 솔루션을 설치하거나 솔루션을 최신 버전으로 업데이트합니다.

  3. 커넥터의 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

    데이터 커넥터 갤러리의 스크린샷.

  4. 구성 섹션의 1 아래에 있습니다. AWS CloudFormation 배포에서 AWS CloudFormation Stacks 링크를 선택합니다. 그러면 새 브라우저 탭에서 AWS 콘솔이 열립니다.

  5. Microsoft Sentinel이 열려 있는 포털의 탭으로 돌아갑니다. 템플릿 1: OpenID Connect 인증 배포에서 다운로드를 선택하여 OIDC 웹 ID 공급자를 만드는 템플릿을 다운로드합니다. 템플릿은 지정된 다운로드 폴더에 JSON 파일로 다운로드됩니다.

    참고 항목

    이전 AWS S3 커넥터가 있으므로 OIDC 웹 ID 공급자가 이미 있는 경우 이 단계를 건너뛸 수 있습니다.

  6. 템플릿 2: AWS WAF 리소스 배포에서 다운로드를 선택하여 다른 AWS 리소스를 만드는 템플릿을 다운로드합니다. 템플릿은 지정된 다운로드 폴더에 JSON 파일로 다운로드됩니다.

    AWS S3 WAF 커넥터 구성 페이지의 스크린샷.

AWS CloudFormation 스택 만들기

스택을 만들기 위해 AWS CloudFormation 페이지에 열려 있는 AWS 콘솔 브라우저 탭으로 돌아갑니다.

AWS에 아직 로그인하지 않은 경우 지금 로그인하면 AWS CloudFormation 페이지로 리디렉션됩니다.

OIDC 웹 ID 공급자 만들기

AWS 콘솔 페이지의 지침에 따라 새 스택을 만듭니다.

(이전 버전의 AWS S3 커넥터의 OIDC 웹 ID 공급자가 이미 있는 경우 이 단계를 건너뛰고 나머지 AWS 리소스를 만듭니다.)

  1. 템플릿을 지정하고 템플릿 파일을 업로드합니다.

  2. 파일 선택을 선택하고 다운로드한 "템플릿 1_ OpenID 연결 인증 deployment.json" 파일을 찾습니다.

  3. 스택의 이름을 선택합니다.

  4. 프로세스의 나머지 부분을 진행하여 스택을 만듭니다.

나머지 AWS 리소스 만들기

  1. AWS CloudFormation 스택 페이지로 돌아가서 새 스택을 만듭니다.

  2. 파일 선택을 선택하고 다운로드한 "Template 2_ AWS WAF 리소스 deployment.json" 파일을 찾습니다.

  3. 스택의 이름을 선택합니다.

  4. 메시지가 표시되면 Microsoft Sentinel 작업 영역 ID를 입력합니다. 작업 영역 ID를 찾으려면 다음을 수행합니다.

    • Azure Portal의 Microsoft Sentinel 탐색 메뉴에서 구성을 확장하고 설정을 선택합니다. 작업 영역 설정 탭을 선택하고 Log Analytics 작업 영역 페이지에서 작업 영역 ID를 찾습니다.

    • Defender 포털의 빠른 실행 메뉴에서 시스템을 확장하고 설정을 선택합니다. Microsoft Sentinel을 선택한 다음 설정에서[WORKSPACE_NAME] Log Analytics 설정을 선택합니다. 새 브라우저 탭에서 열리는 Log Analytics 작업 영역 페이지에서 작업 영역 ID를 찾습니다.

  5. 프로세스의 나머지 부분을 진행하여 스택을 만듭니다.

로그 수집기 추가

리소스 스택이 모두 만들어지면 Microsoft Sentinel의 데이터 커넥터 페이지로 열려 있는 브라우저 탭으로 돌아가서 구성 프로세스의 두 번째 부분을 시작합니다.

  1. 구성 섹션의 2 아래에 있습니다. 새 수집기를 연결하고 새 수집기 추가를 선택합니다.

    AWS 커넥터 구성의 두 번째 부분 스크린샷

  2. 생성된 IAM 역할의 역할 ARN을 입력합니다. 역할 의 기본 이름은 OIDC_MicrosoftSentinelRole ARN 역할입니다.
    arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.

  3. 생성된 SQS 큐의 이름을 입력합니다. 이 큐 의 기본 이름은 SentinelSQSQueue이므로 URL은 입니다.
    https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.

  4. 연결을 선택하여 수집기를 추가합니다. 이렇게 하면 Azure Monitor 에이전트가 로그를 검색하고 Log Analytics 작업 영역의 전용 AWSWAF 테이블에 수집하는 데이터 수집 규칙이 만들어집니다.

    WAF 로그에 대한 새 수집기를 추가하는 스크린샷

수동 설치

이제 자동 설정 프로세스가 더 안정적이므로 수동 설치를 사용하는 데는 많은 이유가 없습니다. 하지만 Amazon Web Services S3 커넥터 설명서수동 설정 지침을 참조하세요.

커넥터 테스트 및 모니터링

  1. 커넥터가 설정되면 로그 페이지(또는 Defender 포털의 고급 헌팅 페이지)로 이동하여 다음 쿼리를 실행합니다. 결과가 있으면 커넥터가 제대로 작동합니다.

    AWSWAF
| take 10

  2. 아직 수행하지 않은 경우 커넥터가 데이터를 수신하지 않거나 커넥터와 관련된 다른 문제를 알 수 있도록 데이터 커넥터 상태 모니터링을 구현하는 것이 좋습니다. 자세한 내용은 데이터 커넥터의 상태 모니터링을 참조하세요.