收集 Akamai DataStream 2 記錄

本文說明如何使用 Amazon S3，將 Akamai DataStream 2 記錄擷取至 Google Security Operations。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Akamai Control Center 的特殊權限 (DataStream 2 設定存取權)
• AWS (S3、IAM) 的特殊存取權

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用者指南建立 Amazon S3 值區：建立值區
2. 儲存 bucket 的「名稱」和「區域」，以供日後參考 (例如 akamai-cloud-monitor)。
3. 按照這份使用者指南建立使用者：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「Access Keys」部分中，按一下「Create Access Key」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
12. 按一下 [完成]。
13. 選取 [權限] 分頁標籤。
14. 在「Permissions policies」(權限政策) 區段中，按一下「Add permissions」(新增權限)。
15. 選取「新增權限」。
16. 選取「直接附加政策」
17. 搜尋並選取 AmazonS3FullAccess 政策。
18. 點選「下一步」。
19. 按一下「Add permissions」。

設定 S3 上傳的身分與存取權管理政策和角色

1. 在 AWS 控制台中，依序前往「IAM」>「Policies」>「Create policy」>「JSON」分頁標籤。

2. 輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowAkamaiWriteToS3",
         "Effect": "Allow",
         "Action": ["s3:PutObject"],
         "Resource": "arn:aws:s3:::akamai-datastream-2-logs/akamai/datastream2/json/*"
       }
     ]
   }
   

   • 如果您輸入的值區名稱不同，請替換 akamai-datastream-2-logs。

3. 依序點選「Next」>「Create policy」。

4. 依序前往「IAM」>「Users」>「Create user」。

5. 將使用者命名為 akamai-datastream-writer。

6. 附加新建立的政策。

7. 為這個使用者建立存取金鑰，以便在 Akamai DataStream 2 設定中使用。

設定 Akamai DataStream 2，將記錄傳送至 Amazon S3

1. 在 Akamai Control Center 中，前往 DataStream 2。
2. 按一下「建立串流」。
3. 選取適合資源的記錄類型 (例如「傳送」、「Edge DNS」、「GTM」)。
4. 在「資料集」中，選取所需欄位。除非有特定需求，否則請保留預設值。
5. 依序前往「廣告放送」>「目的地」，然後選取「Amazon S3」。
6. 使用新建立的 bucket 填寫 S3 目的地詳細資料：
   • Bucket：akamai-datastream-2-logs
   • 資料夾路徑：akamai/datastream2/json/
   • 區域：值區區域
   • 存取金鑰 ID：先前建立的使用者存取金鑰
   • 存取密鑰：先前建立的使用者存取密鑰
7. 將「記錄格式」設為「JSON」。
8. 選用：在「傳送選項」中，將「推送頻率」設為「30 秒」。
9. 依序點選「驗證並儲存」>「下一步」>「啟用」。

選用：為 Google SecOps 建立唯讀 IAM 使用者和金鑰

1. 依序前往 AWS 管理中心 > IAM > 使用者 > 新增使用者。
2. 點選 [Add users] (新增使用者)。
3. 提供下列設定詳細資料：
   • 使用者：輸入 secops-reader。
   • 存取類型：選取「存取金鑰 - 程式輔助存取」。
4. 按一下「建立使用者」。
5. 附加最低讀取權限政策 (自訂)：依序選取「使用者」>「secops-reader」>「權限」>「新增權限」>「直接附加政策」>「建立政策」。

6. 在 JSON 編輯器中輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::akamai-datastream-2-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::akamai-datastream-2-logs"
       }
     ]
   }
   

7. 將名稱設為 secops-reader-policy。

8. 依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。

9. 依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。

10. 下載 CSV (這些值會輸入至動態饋給)。

在 Google SecOps 中設定資訊提供，擷取 Akamai DataStream 2 記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「+ 新增動態消息」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Akamai DataStream 2 logs)。
4. 選取「Amazon S3 V2」做為「來源類型」。
5. 選取「Akamai DataStream 2」做為「記錄類型」。
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • S3 URI：s3://akamai-datastream-2-logs/akamai/datastream2/json/
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。