GuardDuty-Sentinel-Integration完全指南:无缝连接AWS安全数据与Microsoft Sentinel的10个关键步骤
GuardDuty-Sentinel-Integration完全指南无缝连接AWS安全数据与Microsoft Sentinel的10个关键步骤【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration在当今混合云安全环境中如何将AWS GuardDuty的安全发现与Microsoft Sentinel无缝集成是许多安全团队面临的挑战。这个完整的集成解决方案提供了生产就绪的KQL解析层让您能够立即查询和分析GuardDuty数据实现跨云威胁检测和响应。为什么选择GuardDuty-Sentinel-Integration传统方法的痛点许多团队在使用Microsoft Sentinel的原生AWS S3连接器时会遇到各种问题——连接器显示已连接但数据不流动、KMS权限问题、原始GuardDuty数据难以查询、缺乏ASIM标准化、缺少实时推送选项等。解决方案的优势GuardDuty-Sentinel-Integration通过配置驱动的KQL函数使GuardDuty数据立即可查询并与ASIM对齐同时还提供可选的Lambda处理程序实现EventBridge到Sentinel的实时流式传输。这个项目解决了以下核心问题数据流动问题90%的连接器问题源于KMS权限项目提供了详细的KMS权限指南查询复杂性原始GuardDuty JSON数据难以直接分析标准化缺失缺乏ASIM规范化难以进行跨源威胁狩猎延迟问题原生S3连接器有15-30分钟的延迟架构概览双路径数据流设计GuardDuty-Sentinel集成架构项目采用双路径架构设计提供灵活的数据摄取方式路径一S3连接器默认路径AWS GuardDuty → S3导出 → SQS队列 → Microsoft Sentinel AWS S3连接器轮询优势无需自定义计算资源延迟约15-30分钟管理完全由Microsoft管理路径二Lambda直接推送可选路径AWS GuardDuty → EventBridge → Lambda → Log Analytics API实时优势亚分钟级延迟控制完全自定义处理逻辑灵活性支持实时安全事件响应快速开始5分钟部署指南先决条件准备Microsoft Sentinel工作区确保您有访问权限AWS GuardDuty启用在AWS控制台中激活GuardDuty服务AWS S3连接器安装从Sentinel内容中心安装Amazon Web Services解决方案步骤1配置AWS S3连接器按照连接器设置指南的详细步骤操作从Sentinel内容中心安装Amazon Web Services解决方案配置AWS S3连接器用于GuardDuty数据类型使用自动设置脚本创建AWS资源步骤2部署KQL函数使用一键部署脚本快速完成部署# 克隆仓库 git clone https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration cd guardduty-sentinel-integration # 使用一键部署脚本 ./deploy.sh -g 您的资源组 -w 您的Sentinel工作区或者使用Azure CLI直接部署az deployment group create \ --resource-group 您的资源组 \ --template-file deployment/azuredeploy.json \ --parameters workspaceName您的Sentinel工作区步骤3验证安装运行简单的烟雾测试验证一切正常// 验证数据可用性 AWSGuardDuty_Main(1d) | take 10核心KQL函数您的安全数据分析工具箱配置函数AWSGuardDuty_Config()这是所有解析器的中央配置点管理表名、查询时间范围、功能标志等设置。通过修改kql/AWSGuardDuty_Config.kql文件您可以一次性更改所有设置。主解析器AWSGuardDuty_Main()基础解析器处理所有GuardDuty发现自动检测和处理EventBridge信封格式。主要功能包括自动检测EventBridge信封格式验证数据架构版本提取核心GuardDuty字段提供标准化的时间戳和严重性级别专业解析器按安全领域分类网络发现解析器AWSGuardDuty_Network.kql提取远程IP、协议、VPC ID、威胁类别支持地理信息丰富化IAM/API调用解析器AWSGuardDuty_IAM.kql分析API名称、用户名、访问密钥ID计算风险评分S3存储桶解析器AWSGuardDuty_S3.kql检测公开暴露的存储桶分析加密状态和访问控制列表EKS/Kubernetes解析器AWSGuardDuty_EKS.kql监控Kubernetes命名空间和用户活动检测权限提升和可疑工作负载ASIM标准化AWSGuardDuty_ASIMNetworkSession()将GuardDuty网络数据转换为ASIM标准格式实现跨源威胁狩猎。这个解析器确保您的GuardDuty数据可以与其他安全数据源如Azure防火墙、Office 365等无缝集成。实战查询示例立即开始安全分析高严重性发现分析// 过去24小时的高严重性发现 AWSGuardDuty_Main(1d) | where SeverityLevel High | project EventTime, FindingType, Title, AwsAccountId, AwsRegion网络威胁分析// 7天网络威胁分析 AWSGuardDuty_Network(7d) | where isnotempty(RemoteIp) | summarize Findings count() by RemoteCountry, FindingType | order by Findings descS3公开暴露检测// S3公开暴露发现 AWSGuardDuty_S3(7d) | where IsPubliclyExposed true or S3RiskCategory Encryption Disabled | project EventTime, BucketName, S3RiskCategory, EffectivePermission, EncryptionType, AwsAccountIdEKS安全监控// EKS权限提升和可疑工作负载 AWSGuardDuty_EKS(7d) | where K8sThreatCategory in (Privilege Escalation, Credential Access) | project EventTime, ClusterName, K8sNamespace, K8sObjectName, K8sIsPrivileged, K8sRiskScoreLambda实时推送亚分钟级延迟解决方案对于需要实时安全响应的场景项目提供了lambda_ingestion_handler.py脚本实现EventBridge到Sentinel的直接推送。Lambda处理器的关键功能自动信封检测自动检测和解包EventBridge信封格式JSON扁平化将嵌套的JSON转换为平面、Sentinel友好的架构HMAC-SHA256认证使用Log Analytics数据收集器API的安全认证结构化错误处理为每种故障模式提供详细的错误响应环境变量配置SENTINEL_WORKSPACE_ID 您的Log Analytics工作区ID SENTINEL_SHARED_KEY 您的Log Analytics主密钥 LOG_TYPE AWSGuardDuty # 目标表名 LOG_LEVEL INFO # 日志级别EventBridge规则配置{ source: [aws.guardduty], detail-type: [GuardDuty Finding] }故障排除常见问题与解决方案问题1连接器显示已连接但无数据原因90%的情况下是KMS权限问题解决方案查看KMS权限指南确保IAM角色具有kms:Decrypt权限问题2解析函数返回空结果原因列名错误或数据格式不匹配解决方案运行AWSGuardDuty | getschema检查数据结构更新配置问题3只有低严重性发现原因数据延迟 - 高严重性发现导出较慢解决方案等待30-60分钟检查AWS GuardDuty控制台问题4部署失败原因参数配置错误或权限不足解决方案查看部署运行手册和故障排除指南验证与测试确保一切正常运行项目包含完整的验证套件确保您的部署正确运行烟雾测试运行validation/smoke_tests.kql中的查询验证✅ GuardDuty数据可用性✅ 数据结构有效性✅ 多种发现类型检测✅ 网络和IAM发现正确解析数据质量验证使用AWSGuardDuty_Schema()函数评估数据质量// 数据质量评估 AWSGuardDuty_Schema(7d) | summarize OverallQualityScore avg(QualityScore), QualityCategory case( avg(QualityScore) 0.9, Excellent, avg(QualityScore) 0.7, Good, avg(QualityScore) 0.5, Fair, Poor )高级配置定制化您的集成修改默认配置所有函数都从单个配置函数读取设置。要更改设置只需修改一次AWSGuardDuty_Config() | where Setting TableName // 默认AWSGuardDuty | where Setting RawColumn // 默认EventData | where Setting DefaultLookback // 默认7d自定义部署参数使用自定义参数重新部署az deployment group create \ --template-file deployment/azuredeploy.json \ --parameters workspaceNameMyWorkspace guardDutyTableNameCustomTable启用地理信息丰富化在网络解析器中启用地理信息丰富化// 在AWSGuardDuty_Config中设置 | where Setting EnableGeoEnrichment | project Value true最佳实践生产环境部署建议1. 分阶段部署策略阶段1仅部署S3连接器路径阶段2添加KQL解析函数阶段3评估是否需要Lambda实时推送2. 监控与告警设置设置数据摄取监控告警配置解析错误告警监控数据延迟和完整性3. 性能优化调整查询时间范围避免过长的时间窗口使用适当的索引和分区策略定期清理历史数据4. 安全考虑确保KMS密钥的适当权限限制对Sentinel工作区的访问定期审计Lambda函数权限项目结构了解代码组织guardduty-sentinel-integration/ ├── kql/ # KQL解析函数 │ ├── AWSGuardDuty_Config.kql │ ├── AWSGuardDuty_Main.kql # 处理直接和EventBridge信封格式 │ ├── AWSGuardDuty_Network.kql │ ├── AWSGuardDuty_IAM.kql │ ├── AWSGuardDuty_S3.kql # S3存储桶发现 │ ├── AWSGuardDuty_EKS.kql # EKS/Kubernetes发现 │ ├── AWSGuardDuty_ASIMNetworkSession.kql │ └── AWSGuardDuty_Schema.kql # 数据质量验证 ├── deployment/ # ARM/Bicep模板 │ ├── azuredeploy.json │ └── deploy.bicep ├── scripts/ # 部署和摄取脚本 │ ├── lambda_ingestion_handler.py # EventBridge → Sentinel直接推送 │ └── validate-deployment.ps1 ├── validation/ # 诊断查询 │ ├── smoke_tests.kql │ └── troubleshooting.kql ├── docs/ # 完整指南 │ ├── connector-setup.md │ ├── troubleshooting.md │ └── kms-permissions.md └── deploy.sh # 一键部署脚本版本更新最新功能与改进版本1.3.0新功能添加scripts/lambda_ingestion_handler.py- 通过Log Analytics数据收集器API实现EventBridge→Sentinel直接推送双摄取路径S3连接器托管、轮询和Lambda实时、亚分钟级Lambda处理器包含HMAC-SHA256认证、结构化错误处理和自动信封检测更新的架构图反映双摄取路径CI工作流修复ASIM解析器上游引用验证现在接受传递依赖版本1.2.0增强添加AWSGuardDuty_S3解析器 - 提取存储桶加密、公开访问状态和ACL详细信息添加AWSGuardDuty_EKS解析器 - 覆盖EKS审计日志和运行时监控发现修复AWSGuardDuty_Main自动检测和解包EventBridge信封格式修复AWSGuardDuty_ASIMNetworkSession- 移除对上游架构中不存在的列的引用开始您的云安全集成之旅GuardDuty-Sentinel-Integration项目为混合云环境中的安全团队提供了完整的解决方案。无论您是刚开始使用AWS和Azure的安全集成还是需要优化现有的安全监控流程这个项目都能为您提供开箱即用的KQL解析函数立即开始分析GuardDuty数据灵活的摄取选项根据需求选择S3连接器或Lambda实时推送ASIM标准化实现跨源威胁狩猎完整的文档和故障排除指南快速解决常见问题持续更新和维护跟上AWS和Azure的最新功能通过遵循本指南中的步骤您可以在几小时内将AWS GuardDuty与Microsoft Sentinel无缝集成实现全面的云安全监控和威胁响应能力。️立即开始您的云安全集成之旅让GuardDuty的安全发现为您的Microsoft Sentinel安全运营中心提供强大的威胁检测能力【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考