AlphaSOC-Benachrichtigungslogs erfassen

In diesem Dokument wird beschrieben, wie Sie AlphaSOC Alert-Logs mit Amazon S3 in Google Security Operations aufnehmen. Der Parser extrahiert Daten zu Sicherheitswarnungen aus ASOC-Warnungen im JSON-Format und wandelt sie in das einheitliche Datenmodell (Unified Data Model, UDM) um. Es parst Felder, die sich auf Beobachter, Prinzipal, Ziel und Metadaten beziehen, und reichert die Daten mit Sicherheitsergebnissen an, die aus Bedrohungsinformationen, Schweregraden und zugehörigen Kategorien abgeleitet werden. Schließlich wird die Ausgabe in das UDM-Format strukturiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz.
• Privilegierter Zugriff auf die AlphaSOC-Plattform.
• Privilegierter Zugriff auf AWS (S3, Identity and Access Management (IAM)).

AWS S3-Bucket und IAM für Google SecOps konfigurieren

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. alphasoc-alerts-logs).
3. Erstellen Sie einen IAM-Nutzer mit den minimal erforderlichen Berechtigungen für den S3-Zugriff. Folgen Sie dazu dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen .
7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie auf Berechtigungen hinzufügen> Richtlinie erstellen> JSON.

15. Geben Sie die folgende Mindestrichtlinie für den S3-Zugriff an (ersetzen Sie <BUCKET_NAME> und <OBJECT_PREFIX> durch Ihre Werte):

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "ListBucketPrefix",
          "Effect": "Allow",
          "Action": ["s3:ListBucket"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>",
          "Condition": { 
            "StringLike": { 
              "s3:prefix": ["<OBJECT_PREFIX>/*"] 
            } 
          }
        },
        {
          "Sid": "GetObjects",
          "Effect": "Allow",
          "Action": ["s3:GetObject"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
        }
      ]
    }
    

16. Optional: Wenn Sie im Feed die Option Übertragene Dateien löschen verwenden möchten, fügen Sie der Richtlinie diese zusätzliche Erklärung hinzu:

    {
      "Sid": "DeleteObjectsIfEnabled",
      "Effect": "Allow",
      "Action": ["s3:DeleteObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
    

17. Klicken Sie auf Weiter > Richtlinie erstellen.

18. Kehren Sie zum IAM-Nutzer zurück und klicken Sie auf Berechtigungen hinzufügen > Richtlinien direkt anhängen.

19. Suchen Sie nach der Richtlinie, die Sie gerade erstellt haben, und wählen Sie sie aus.

20. Klicken Sie auf Weiter > Berechtigungen hinzufügen.

IAM-Rolle für AlphaSOC konfigurieren, um Ergebnisse in Ihren S3-Bucket zu exportieren

1. Rufen Sie in der AWS-Konsole IAM > Rollen > Rolle erstellen auf.

2. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus und fügen Sie die folgende Richtlinie ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::610660487454:role/data-export"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. Klicken Sie auf Weiter.

4. Klicken Sie auf Richtlinie erstellen, um eine Inline-Richtlinie hinzuzufügen, die Schreibvorgänge für das ausgewählte Präfix zulässt (ersetzen Sie <BUCKET_ARN> und <OBJECT_PREFIX>, z. B. alphasoc/alerts):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "InlinePolicy",
         "Effect": "Allow",
         "Action": ["s3:PutObject", "s3:PutObjectAcl"],
         "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
       }
     ]
   }
   

5. Wenn für Ihren Bucket KMS-Verschlüsselung verwendet wird, fügen Sie der Richtlinie die folgende Anweisung hinzu (ersetzen Sie <AWS_REGION>, <AWS_ACCOUNT_ID> und <AWS_KEY_ID> durch Ihre Werte):

   {
     "Sid": "KMSkey",
     "Effect": "Allow",
     "Action": "kms:GenerateDataKey",
     "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
   }
   

6. Geben Sie einen Namen für die Rolle ein (z. B. AlphaSOC-S3-Export), klicken Sie auf Rolle erstellen und kopieren Sie den Rollen-ARN für den nächsten Schritt.

Details zur S3-Exportkonfiguration für AlphaSOC angeben

1. Wenden Sie sich an den AlphaSOC-Support (support@alphasoc.com) oder Ihren AlphaSOC-Ansprechpartner und geben Sie die folgenden Konfigurationsdetails an, um den S3-Export von Ergebnissen zu aktivieren:
   • S3-Bucket-Name (z. B. alphasoc-alerts-logs)
   • AWS-Region des S3-Buckets (z. B. us-east-1)
   • S3-Objektpräfix (Zielpfad zum Speichern von Ergebnissen, z. B. alphasoc/alerts)
   • IAM-Rollen-ARN, der im vorherigen Abschnitt erstellt wurde
   • S3-Export für Ergebnisse oder Benachrichtigungen aus Ihrem Arbeitsbereich aktivieren
2. AlphaSOC konfiguriert die S3-Exportintegration auf seiner Seite und sendet eine Bestätigung, sobald die Einrichtung abgeschlossen ist.

Feed in Google SecOps konfigurieren, um AlphaSOC-Benachrichtigungen aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf + Neuen Feed hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. AlphaSOC Alerts.
4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
5. Wählen Sie AlphaSOC als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • S3-URI: s3://alphasoc-alerts-logs/alphasoc/alerts/
   • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
   • Asset-Namespace: Der Asset-Namespace (z. B. alphasoc.alerts)
   • Optional: Labels für Datenaufnahme: Fügen Sie ein Label für die Datenaufnahme hinzu, z. B. vendor=alphasoc oder type=alerts.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten