Mengumpulkan log Akamai DataStream 2

Didukung di:

Dokumen ini menjelaskan cara menyerap log Akamai DataStream 2 ke Google Security Operations menggunakan Amazon S3.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Akamai Control Center (akses konfigurasi DataStream 2)
  • Akses istimewa ke AWS (S3, IAM)

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, akamai-cloud-monitor).
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Mengonfigurasi kebijakan dan peran IAM untuk upload S3

  1. Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

  2. Masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAkamaiWriteToS3",
      "Effect": "Allow",
      "Action": ["s3:PutObject"],
      "Resource": "arn:aws:s3:::akamai-datastream-2-logs/akamai/datastream2/json/*"
    }
  ]
}
    • Ganti akamai-datastream-2-logs jika Anda memasukkan nama bucket yang berbeda.

  3. Klik Berikutnya > Buat kebijakan.

  4. Buka IAM > Users > Create user.

  5. Beri nama pengguna akamai-datastream-writer.

  6. Lampirkan kebijakan yang baru dibuat.

  7. Buat kunci akses untuk pengguna ini agar dapat digunakan dalam konfigurasi Akamai DataStream 2.

Mengonfigurasi Akamai DataStream 2 untuk mengirimkan log ke Amazon S3

  1. Di Akamai Control Center, buka DataStream 2.
  2. Klik Buat aliran data.
  3. Pilih jenis log yang sesuai untuk properti Anda (misalnya, Pengiriman, Edge DNS, GTM).
  4. Di Set data, pilih kolom yang Anda perlukan. Tetap gunakan setelan default kecuali jika Anda memiliki kebutuhan khusus.
  5. Buka Penayangan > Tujuan, lalu pilih Amazon S3.
  6. Isi detail tujuan S3 menggunakan bucket yang baru dibuat:
    • Bucket: akamai-datastream-2-logs
    • Jalur folder: akamai/datastream2/json/
    • Region: Region bucket Anda
    • Access key ID: Kunci akses Pengguna yang dibuat sebelumnya
    • Secret access key: Kunci akses rahasia Pengguna yang dibuat sebelumnya
  7. Tetapkan Format log ke JSON.
  8. Opsional: Di Opsi penayangan, tetapkan Frekuensi push ke 30 detik.
  9. Klik Validasi & Simpan > Berikutnya > Aktifkan.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

  1. Buka Konsol AWS > IAM > Pengguna > Tambahkan pengguna.
  2. Klik Add users.
  3. Berikan detail konfigurasi berikut:
    • Pengguna: Masukkan secops-reader.
    • Jenis akses: Pilih Kunci akses – Akses terprogram.
  4. Klik Buat pengguna.
  5. Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

  6. Di editor JSON, masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::akamai-datastream-2-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::akamai-datastream-2-logs"
    }
  ]
}

  7. Tetapkan nama ke secops-reader-policy.

  8. Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.

  9. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

  10. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk menyerap log Akamai DataStream 2

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Akamai DataStream 2 logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Akamai DataStream 2 sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://akamai-datastream-2-logs/akamai/datastream2/json/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.