Coletar registros do Akamai DataStream 2
Este documento explica como ingerir registros do Akamai DataStream 2 no Google Security Operations usando o Amazon S3.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Acesso privilegiado ao Akamai Control Center (acesso à configuração do DataStream 2)
- Acesso privilegiado à AWS (S3, IAM)
Configurar o bucket do AWS S3 e o IAM para o Google SecOps
- Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
- Salve o Nome e a Região do bucket para referência futura (por exemplo,
akamai-cloud-monitor
). - Crie um usuário seguindo este guia: Como criar um usuário do IAM.
- Selecione o usuário criado.
- Selecione a guia Credenciais de segurança.
- Clique em Criar chave de acesso na seção Chaves de acesso.
- Selecione Serviço de terceiros como o Caso de uso.
- Clique em Próxima.
- Opcional: adicione uma tag de descrição.
- Clique em Criar chave de acesso.
- Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
- Clique em Concluído.
- Selecione a guia Permissões.
- Clique em Adicionar permissões na seção Políticas de permissões.
- Selecione Adicionar permissões.
- Selecione Anexar políticas diretamente.
- Pesquise e selecione a política AmazonS3FullAccess.
- Clique em Próxima.
- Clique em Adicionar permissões
Configurar a política e o papel do IAM para uploads do S3
- No console da AWS, acesse IAM > Políticas > Criar política > guia JSON.
Insira a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAkamaiWriteToS3", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": "arn:aws:s3:::akamai-datastream-2-logs/akamai/datastream2/json/*" } ] }
- Substitua
akamai-datastream-2-logs
se você tiver inserido um nome de bucket diferente.
- Substitua
Clique em Próxima > Criar política.
Acesse IAM > Usuários > Criar usuário.
Nomeie o usuário
akamai-datastream-writer
.Anexe a política recém-criada.
Crie chaves de acesso para esse usuário usar na configuração do Akamai DataStream 2.
Configurar o Akamai DataStream 2 para entregar registros ao Amazon S3
- Na Central de controle da Akamai, acesse DataStream 2.
- Clique em Criar um fluxo.
- Selecione o tipo de registro adequado para sua propriedade (por exemplo, Entrega, DNS de borda, GTM).
- Em Conjuntos de dados, selecione os campos necessários. Mantenha os padrões, a menos que você tenha uma necessidade específica.
- Acesse Exibição > Destino e selecione Amazon S3.
- Preencha os detalhes do destino do S3 usando o bucket recém-criado:
- Bucket:
akamai-datastream-2-logs
- Caminho da pasta:
akamai/datastream2/json/
- Região: a região do seu bucket
- ID da chave de acesso: a chave de acesso do usuário criada anteriormente
- Chave de acesso secreta: a chave de acesso secreta do usuário criada anteriormente
- Bucket:
- Defina Formato do registro como JSON.
- Opcional: em Opções de exibição, defina a Frequência de push como 30 segundos.
- Clique em Validar e salvar > Próxima > Ativar.
Opcional: criar um usuário e chaves do IAM somente leitura para o Google SecOps
- Acesse Console da AWS > IAM > Usuários > Adicionar usuários.
- Clique em Add users.
- Informe os seguintes detalhes de configuração:
- Usuário: insira
secops-reader
. - Tipo de acesso: selecione Chave de acesso – Acesso programático.
- Usuário: insira
- Clique em Criar usuário.
- Anexe a política de leitura mínima (personalizada): Usuários > secops-reader > Permissões > Adicionar permissões > Anexar políticas diretamente > Criar política.
No editor JSON, insira a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::akamai-datastream-2-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::akamai-datastream-2-logs" } ] }
Defina o nome como
secops-reader-policy
.Acesse Criar política > pesquise/selecione > Próxima > Adicionar permissões.
Acesse Credenciais de segurança > Chaves de acesso > Criar chave de acesso.
Faça o download do CSV (esses valores são inseridos no feed).
Configurar um feed no Google SecOps para ingerir registros do Akamai DataStream 2
- Acesse Configurações do SIEM > Feeds.
- Clique em + Adicionar novo feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
Akamai DataStream 2 logs
). - Selecione Amazon S3 V2 como o Tipo de origem.
- Selecione Akamai DataStream 2 como o Tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- URI do S3:
s3://akamai-datastream-2-logs/akamai/datastream2/json/
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
- URI do S3:
- Clique em Próxima.
- Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.