Coletar registros de alertas do AlphaSOC
Este documento explica como ingerir registros de alerta do AlphaSOC no Google Security Operations usando o Amazon S3. O analisador extrai dados de alertas de segurança dos alertas do ASOC em formato JSON, transformando-os no modelo de dados unificado (UDM). Ele analisa campos relacionados a observador, principal, destino e metadados, enriquecendo os dados com resultados de segurança derivados de informações de ameaças, níveis de gravidade e categorias associadas, antes de estruturar a saída no formato UDM.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps.
- Acesso privilegiado à plataforma AlphaSOC.
- Acesso privilegiado à AWS (S3, Identity and Access Management [IAM]).
Configurar o bucket do AWS S3 e o IAM para o Google SecOps
- Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
- Salve o Nome e a Região do bucket para referência futura (por exemplo,
alphasoc-alerts-logs). - Crie um usuário do IAM com as permissões mínimas necessárias para acesso ao S3 seguindo este guia do usuário: Como criar um usuário do IAM.
- Selecione o usuário criado.
- Selecione a guia Credenciais de segurança.
- Na seção Chaves de acesso, clique em Criar chave de acesso .
- Selecione Serviço de terceiros como Caso de uso.
- Clique em Próxima.
- Opcional: adicione uma tag de descrição.
- Clique em Criar chave de acesso.
- Clique em Fazer o download do arquivo .CSV para salvar a Chave de acesso e a Chave de acesso secreta para referência futura.
- Clique em Concluído.
- Selecione a guia Permissões.
- Clique em Adicionar permissões > Criar política > JSON.
Forneça a seguinte política mínima para acesso ao S3 (substitua
<BUCKET_NAME>e<OBJECT_PREFIX>pelos seus valores):{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucketPrefix", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<BUCKET_NAME>", "Condition": { "StringLike": { "s3:prefix": ["<OBJECT_PREFIX>/*"] } } }, { "Sid": "GetObjects", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" } ] }Opcional: se você planeja usar a opção Excluir arquivos transferidos no feed, adicione esta declaração extra à política:
{ "Sid": "DeleteObjectsIfEnabled", "Effect": "Allow", "Action": ["s3:DeleteObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" }Clique em Próxima > Criar política.
Volte ao usuário do IAM e clique em Adicionar permissões > Anexar políticas diretamente.
Pesquise e selecione a política que você acabou de criar.
Clique em Próxima > Adicionar permissões.
Configurar a função do IAM para que o AlphaSOC exporte descobertas para seu bucket do S3
- No console da AWS, acesse IAM > Papéis > Criar papel.
Selecione Política de confiança personalizada e cole a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::610660487454:role/data-export" }, "Action": "sts:AssumeRole" } ] }Clique em Próxima.
Clique em Criar política para adicionar uma política inline que permita gravações no prefixo escolhido. Substitua
<BUCKET_ARN>e<OBJECT_PREFIX>por um prefixo comoalphasoc/alerts:{ "Version": "2012-10-17", "Statement": [ { "Sid": "InlinePolicy", "Effect": "Allow", "Action": ["s3:PutObject", "s3:PutObjectAcl"], "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*" } ] }Se o bucket usar a criptografia do KMS, adicione esta instrução à mesma política (substitua
<AWS_REGION>,<AWS_ACCOUNT_ID>e<AWS_KEY_ID>pelos seus valores):{ "Sid": "KMSkey", "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>" }Nomeie a função (por exemplo,
AlphaSOC-S3-Export), clique em Criar função e copie o ARN da função para a próxima etapa.
Fornecer detalhes da configuração de exportação do S3 para a AlphaSOC
- Entre em contato com o suporte da AlphaSOC (
support@alphasoc.com) ou com seu representante da AlphaSOC e forneça os seguintes detalhes de configuração para ativar a exportação de descobertas do S3:- Nome do bucket do S3 (por exemplo,
alphasoc-alerts-logs) - Região da AWS do bucket S3 (por exemplo,
us-east-1) - Prefixo do objeto do S3 (caminho de destino para armazenar descobertas, por exemplo,
alphasoc/alerts) - ARN da função do IAM criado na seção anterior
- Solicitar a ativação da exportação do S3 para descobertas ou alertas do seu espaço de trabalho
- Nome do bucket do S3 (por exemplo,
- A AlphaSOC vai configurar a integração de exportação do S3 e enviar uma confirmação quando a configuração for concluída.
Configurar um feed no Google SecOps para ingerir alertas da AlphaSOC
- Acesse Configurações do SIEM > Feeds.
- Clique em + Adicionar novo feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
AlphaSOC Alerts). - Selecione Amazon S3 V2 como o Tipo de origem.
- Selecione AlphaSOC como o Tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- URI do S3:
s3://alphasoc-alerts-logs/alphasoc/alerts/ - Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
- Namespace do recurso: o namespace do recurso (por exemplo,
alphasoc.alerts) - Opcional: Rótulos de ingestão: adicione um rótulo de ingestão (por exemplo,
vendor=alphasoc,type=alerts).
- URI do S3:
- Clique em Próxima.
- Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.