Recopilar registros de alertas de AlphaSOC

En este documento se explica cómo ingerir registros de Alert de AlphaSOC en Google Security Operations mediante Amazon S3. El analizador extrae datos de alertas de seguridad de las alertas de ASOC en formato JSON y los transforma en el modelo de datos unificado (UDM). Analiza los campos relacionados con el observador, la entidad principal, el objetivo y los metadatos, enriquece los datos con los resultados de seguridad derivados de la información sobre amenazas, los niveles de gravedad y las categorías asociadas, y, por último, estructura el resultado en formato UDM.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Una instancia de Google SecOps.
• Acceso privilegiado a la plataforma AlphaSOC.
• Acceso privilegiado a AWS (S3, gestión de identidades y accesos [IAM]).

Configurar un segmento de AWS S3 y IAM para Google SecOps

1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, alphasoc-alerts-logs).
3. Crea un usuario de gestión de identidades y accesos (IAM) con los permisos mínimos necesarios para acceder a S3 siguiendo esta guía de usuario: Crear un usuario de gestión de identidades y accesos (IAM).
4. Selecciona el Usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. En la sección Claves de acceso, haz clic en Crear clave de acceso .
7. Selecciona Servicio de terceros en Caso práctico.
8. Haz clic en Siguiente.
9. Opcional: añade una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo .CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Añadir permisos > Crear política > JSON.

15. Proporciona la siguiente política mínima para el acceso a S3 (sustituye <BUCKET_NAME> y <OBJECT_PREFIX> por tus valores):

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "ListBucketPrefix",
          "Effect": "Allow",
          "Action": ["s3:ListBucket"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>",
          "Condition": { 
            "StringLike": { 
              "s3:prefix": ["<OBJECT_PREFIX>/*"] 
            } 
          }
        },
        {
          "Sid": "GetObjects",
          "Effect": "Allow",
          "Action": ["s3:GetObject"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
        }
      ]
    }
    

16. Opcional: Si tienes previsto usar la opción Eliminar archivos transferidos en el feed, añade esta declaración adicional a la política:

    {
      "Sid": "DeleteObjectsIfEnabled",
      "Effect": "Allow",
      "Action": ["s3:DeleteObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
    

17. Haz clic en Siguiente > Crear política.

18. Vuelve al usuario de gestión de identidades y accesos y haz clic en Añadir permisos > Adjuntar políticas directamente.

19. Busca y selecciona la política que acabas de crear.

20. Haz clic en Siguiente > Añadir permisos.

Configurar el rol de gestión de identidades y accesos de AlphaSOC para exportar resultados a tu contenedor de S3

1. En la consola de AWS, vaya a IAM > Roles > Crear rol.

2. Selecciona Política de confianza personalizada y pega la siguiente política:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::610660487454:role/data-export"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. Haz clic en Siguiente.

4. Haz clic en Crear política para añadir una política insertada que permita escribir en el prefijo que elijas (sustituye <BUCKET_ARN> y <OBJECT_PREFIX> por alphasoc/alerts, por ejemplo):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "InlinePolicy",
         "Effect": "Allow",
         "Action": ["s3:PutObject", "s3:PutObjectAcl"],
         "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
       }
     ]
   }
   

5. Si tu segmento usa el cifrado de KMS, añade esta instrucción a la misma política (sustituye <AWS_REGION>, <AWS_ACCOUNT_ID> y <AWS_KEY_ID> por tus valores):

   {
     "Sid": "KMSkey",
     "Effect": "Allow",
     "Action": "kms:GenerateDataKey",
     "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
   }
   

6. Asigna un nombre al rol (por ejemplo, AlphaSOC-S3-Export), haz clic en Crear rol y copia su ARN del rol para el siguiente paso.

Proporcionar los detalles de configuración de exportación de S3 a AlphaSOC

1. Ponte en contacto con el equipo de Asistencia de AlphaSOC (support@alphasoc.com) o con tu representante de AlphaSOC y proporciona los siguientes detalles de configuración para habilitar la exportación de resultados a S3:
   • Nombre del segmento de S3 (por ejemplo, alphasoc-alerts-logs)
   • Región de AWS del segmento de S3 (por ejemplo, us-east-1)
   • Prefijo de objeto de S3 (ruta de destino para almacenar los resultados; por ejemplo, alphasoc/alerts)
   • ARN del rol de gestión de identidades y accesos creado en la sección anterior
   • Solicitar que se habilite la exportación a S3 de las detecciones o alertas de tu espacio de trabajo
2. AlphaSOC configurará la integración de exportación de S3 por su parte y te enviará una confirmación cuando se haya completado la configuración.

Configurar un feed en Google SecOps para ingerir alertas de AlphaSOC

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en + Añadir nuevo feed.
3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, AlphaSOC Alerts).
4. Selecciona Amazon S3 V2 como Tipo de fuente.
5. Selecciona AlphaSOC como Tipo de registro.
6. Haz clic en Siguiente.
7. Especifique los valores de los siguientes parámetros de entrada:
   • URI de S3: s3://alphasoc-alerts-logs/alphasoc/alerts/
   • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
   • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
   • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
   • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
   • Espacio de nombres de recursos: el espacio de nombres de recursos (por ejemplo, alphasoc.alerts)
   • Opcional: Etiquetas de ingestión: añade una etiqueta de ingestión (por ejemplo, vendor=alphasoc o type=alerts).
8. Haz clic en Siguiente.
9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.