Recopila registros de alertas de AlphaSOC
En este documento, se explica cómo transferir registros de Alertas de AlphaSOC a Google Security Operations con Amazon S3. El analizador extrae los datos de las alertas de seguridad de las alertas de ASOC en formato JSON y los transforma en el modelo de datos unificado (UDM). Analiza los campos relacionados con el observador, el principal, el objetivo y los metadatos, y enriquece los datos con los resultados de seguridad derivados de la información sobre amenazas, los niveles de gravedad y las categorías asociadas, antes de estructurar finalmente el resultado en el formato de UDM.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Es una instancia de Google SecOps.
- Acceso privilegiado a la plataforma AlphaSOC
- Acceso con privilegios a AWS (S3, Identity and Access Management [IAM]).
Configura el bucket de AWS S3 y el IAM para Google SecOps
- Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
- Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo,
alphasoc-alerts-logs). - Crea un usuario de IAM con los permisos mínimos requeridos para el acceso a S3 siguiendo esta guía del usuario: Crea un usuario de IAM.
- Selecciona el usuario creado.
- Selecciona la pestaña Credenciales de seguridad.
- En la sección Claves de acceso, haz clic en Crear clave de acceso .
- Selecciona Servicio de terceros como Caso de uso.
- Haz clic en Siguiente.
- Opcional: Agrega una etiqueta de descripción.
- Haz clic en Crear clave de acceso.
- Haz clic en Descargar archivo .CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
- Haz clic en Listo.
- Selecciona la pestaña Permisos.
- Haz clic en Agregar permisos > Crear política > JSON.
Proporciona la siguiente política mínima para el acceso a S3 (reemplaza
<BUCKET_NAME>y<OBJECT_PREFIX>por tus valores):{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucketPrefix", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<BUCKET_NAME>", "Condition": { "StringLike": { "s3:prefix": ["<OBJECT_PREFIX>/*"] } } }, { "Sid": "GetObjects", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" } ] }Opcional: Si planeas usar la opción Borrar archivos transferidos en el feed, agrega esta declaración adicional a la política:
{ "Sid": "DeleteObjectsIfEnabled", "Effect": "Allow", "Action": ["s3:DeleteObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" }Haz clic en Siguiente > Crear política.
Regresa al usuario de IAM y haz clic en Agregar permisos > Adjuntar políticas directamente.
Busca y selecciona la política que acabas de crear.
Haz clic en Siguiente > Agregar permisos.
Configura el rol de IAM para que AlphaSOC exporte los hallazgos a tu bucket de S3
- En la consola de AWS, ve a IAM > Roles > Create role.
Selecciona Política de confianza personalizada y pega la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::610660487454:role/data-export" }, "Action": "sts:AssumeRole" } ] }Haz clic en Siguiente.
Haz clic en Crear política para agregar una política intercalada que permita escrituras en el prefijo que elegiste (reemplaza
<BUCKET_ARN>y<OBJECT_PREFIX>, comoalphasoc/alerts):{ "Version": "2012-10-17", "Statement": [ { "Sid": "InlinePolicy", "Effect": "Allow", "Action": ["s3:PutObject", "s3:PutObjectAcl"], "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*" } ] }Si tu bucket usa la encriptación de KMS, agrega esta instrucción a la misma política (reemplaza
<AWS_REGION>,<AWS_ACCOUNT_ID>y<AWS_KEY_ID>por tus valores):{ "Sid": "KMSkey", "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>" }Asigna un nombre al rol (por ejemplo,
AlphaSOC-S3-Export), haz clic en Crear rol y copia su ARN del rol para el siguiente paso.
Proporciona los detalles de configuración de la exportación a S3 a AlphaSOC
- Comunícate con el equipo de asistencia de AlphaSOC (
support@alphasoc.com) o con tu representante de AlphaSOC y proporciona los siguientes detalles de configuración para habilitar la exportación de hallazgos a S3:- Nombre del bucket de S3 (por ejemplo,
alphasoc-alerts-logs) - Región de AWS del bucket de S3 (por ejemplo,
us-east-1) - Prefijo del objeto de S3 (ruta de destino para almacenar los hallazgos, por ejemplo,
alphasoc/alerts) - ARN del rol de IAM creado en la sección anterior
- Solicita habilitar la exportación a S3 para las alertas o los hallazgos de tu espacio de trabajo
- Nombre del bucket de S3 (por ejemplo,
- AlphaSOC configurará la integración de exportación de S3 de su lado y proporcionará la confirmación una vez que se complete la configuración.
Configura un feed en Google SecOps para transferir las alertas de AlphaSOC
- Ve a Configuración de SIEM > Feeds.
- Haz clic en + Agregar feed nuevo.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
AlphaSOC Alerts). - Selecciona Amazon S3 V2 como el Tipo de fuente.
- Selecciona AlphaSOC como el Tipo de registro.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- URI de S3:
s3://alphasoc-alerts-logs/alphasoc/alerts/ - Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres del recurso: El espacio de nombres del recurso (por ejemplo,
alphasoc.alerts) - Opcional: Etiquetas de transferencia: Agrega una etiqueta de transferencia (por ejemplo,
vendor=alphasoc,type=alerts).
- URI de S3:
- Haz clic en Siguiente.
- Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.