Raccogliere i log degli avvisi AlphaSOC
Questo documento spiega come importare i log AlphaSOC Alert in Google Security Operations utilizzando Amazon S3. Il parser estrae i dati degli avvisi di sicurezza dagli avvisi ASOC in formato JSON, trasformandoli nel modello UDM (Unified Data Model). Analizza i campi relativi a osservatore, principal, target e metadati, arricchendo i dati con i risultati di sicurezza derivati da informazioni sulle minacce, livelli di gravità e categorie associate, prima di strutturare l'output nel formato UDM.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps.
- Accesso con privilegi alla piattaforma AlphaSOC.
- Accesso privilegiato ad AWS (S3, Identity and Access Management (IAM)).
Configura il bucket AWS S3 e IAM per Google SecOps
- Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
- Salva il nome e la regione del bucket per riferimento futuro (ad esempio,
alphasoc-alerts-logs). - Crea un utente IAM con le autorizzazioni minime richieste per l'accesso a S3 seguendo questa guida utente: Creazione di un utente IAM.
- Seleziona l'utente creato.
- Seleziona la scheda Credenziali di sicurezza.
- Nella sezione Chiavi di accesso, fai clic su Crea chiave di accesso .
- Seleziona Servizio di terze parti come Caso d'uso.
- Fai clic su Avanti.
- (Facoltativo) Aggiungi un tag di descrizione.
- Fai clic su Crea chiave di accesso.
- Fai clic su Scarica file .CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
- Fai clic su Fine.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi autorizzazioni > Crea criterio > JSON.
Fornisci il seguente criterio minimo per l'accesso a S3 (sostituisci
<BUCKET_NAME>e<OBJECT_PREFIX>con i tuoi valori):{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucketPrefix", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<BUCKET_NAME>", "Condition": { "StringLike": { "s3:prefix": ["<OBJECT_PREFIX>/*"] } } }, { "Sid": "GetObjects", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" } ] }(Facoltativo) Se prevedi di utilizzare l'opzione Elimina i file trasferiti nel feed, aggiungi questa ulteriore dichiarazione al criterio:
{ "Sid": "DeleteObjectsIfEnabled", "Effect": "Allow", "Action": ["s3:DeleteObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" }Fai clic su Avanti > Crea criterio.
Torna all'utente IAM e fai clic su Aggiungi autorizzazioni > Collega criteri direttamente.
Cerca e seleziona il criterio che hai appena creato.
Fai clic su Avanti > Aggiungi autorizzazioni.
Configura il ruolo IAM per AlphaSOC per esportare i risultati nel tuo bucket S3
- Nella console AWS, vai a IAM > Ruoli > Crea ruolo.
Seleziona Norma di attendibilità personalizzata e incolla la seguente norma:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::610660487454:role/data-export" }, "Action": "sts:AssumeRole" } ] }Fai clic su Avanti.
Fai clic su Crea policy per aggiungere una policy inline che consenta le scritture nel prefisso scelto (sostituisci
<BUCKET_ARN>e<OBJECT_PREFIX>, ad esempioalphasoc/alerts):{ "Version": "2012-10-17", "Statement": [ { "Sid": "InlinePolicy", "Effect": "Allow", "Action": ["s3:PutObject", "s3:PutObjectAcl"], "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*" } ] }Se il bucket utilizza la crittografia KMS, aggiungi questa istruzione alla stessa policy (sostituisci
<AWS_REGION>,<AWS_ACCOUNT_ID>e<AWS_KEY_ID>con i tuoi valori):{ "Sid": "KMSkey", "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>" }Assegna un nome al ruolo (ad esempio
AlphaSOC-S3-Export), fai clic su Crea ruolo e copia il relativo ARN ruolo per il passaggio successivo.
Fornisci a AlphaSOC i dettagli di configurazione dell'esportazione S3
- Contatta l'assistenza AlphaSOC (
support@alphasoc.com) o il tuo rappresentante AlphaSOC e fornisci i seguenti dettagli di configurazione per attivare l'esportazione S3 dei risultati:- Nome del bucket S3 (ad esempio,
alphasoc-alerts-logs) - Regione AWS del bucket S3 (ad esempio,
us-east-1) - Prefisso oggetto S3 (percorso di destinazione per l'archiviazione dei risultati, ad esempio
alphasoc/alerts) - ARN del ruolo IAM creato nella sezione precedente
- Richiedi l'attivazione dell'esportazione S3 per i risultati o gli avvisi del tuo spazio di lavoro
- Nome del bucket S3 (ad esempio,
- AlphaSOC configurerà l'integrazione dell'esportazione S3 e fornirà una conferma al termine della configurazione.
Configura un feed in Google SecOps per importare gli avvisi AlphaSOC
- Vai a Impostazioni SIEM > Feed.
- Fai clic su + Aggiungi nuovo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio,
AlphaSOC Alerts). - Seleziona Amazon S3 V2 come Tipo di origine.
- Seleziona AlphaSOC come tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- URI S3:
s3://alphasoc-alerts-logs/alphasoc/alerts/ - Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
- Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset (ad esempio,
alphasoc.alerts) - (Facoltativo) Etichette di importazione: aggiungi un'etichetta di importazione (ad esempio,
vendor=alphasoc,type=alerts).
- URI S3:
- Fai clic su Avanti.
- Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.