Collecter les journaux d'alertes AlphaSOC
Ce document explique comment ingérer des journaux AlphaSOC Alert dans Google Security Operations à l'aide d'Amazon S3. L'analyseur extrait les données des alertes de sécurité ASOC au format JSON et les transforme en modèle de données unifié (UDM). Il analyse les champs liés à l'observateur, au principal, à la cible et aux métadonnées, en enrichissant les données avec les résultats de sécurité dérivés des informations sur les menaces, des niveaux de gravité et des catégories associées, avant de structurer la sortie au format UDM.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps.
- Accès privilégié à la plate-forme AlphaSOC.
- Accès privilégié à AWS (S3, Identity and Access Management (IAM)).
Configurer un bucket AWS S3 et IAM pour Google SecOps
- Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
- Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple,
alphasoc-alerts-logs). - Créez un utilisateur IAM avec les autorisations minimales requises pour accéder à S3 en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
- Sélectionnez l'utilisateur créé.
- Sélectionnez l'onglet Informations d'identification de sécurité.
- Dans la section Clés d'accès, cliquez sur Créer une clé d'accès .
- Sélectionnez Service tiers comme Cas d'utilisation.
- Cliquez sur Suivant.
- Facultatif : Ajoutez un tag de description.
- Cliquez sur Créer une clé d'accès.
- Cliquez sur Télécharger le fichier .CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour les consulter ultérieurement.
- Cliquez sur OK.
- Sélectionnez l'onglet Autorisations.
- Cliquez sur Ajouter des autorisations> Créer une règle> JSON.
Fournissez la stratégie minimale suivante pour l'accès à S3 (remplacez
<BUCKET_NAME>et<OBJECT_PREFIX>par vos valeurs) :{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucketPrefix", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<BUCKET_NAME>", "Condition": { "StringLike": { "s3:prefix": ["<OBJECT_PREFIX>/*"] } } }, { "Sid": "GetObjects", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" } ] }Facultatif : Si vous prévoyez d'utiliser l'option Supprimer les fichiers transférés dans le flux, ajoutez cette déclaration supplémentaire au règlement :
{ "Sid": "DeleteObjectsIfEnabled", "Effect": "Allow", "Action": ["s3:DeleteObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" }Cliquez sur Suivant > Créer une règle.
Revenez à l'utilisateur IAM, puis cliquez sur Ajouter des autorisations > Attacher des stratégies directement.
Recherchez et sélectionnez la règle que vous venez de créer.
Cliquez sur Suivant > Ajouter des autorisations.
Configurer un rôle IAM pour qu'AlphaSOC exporte les résultats dans votre bucket S3
- Dans la console AWS, accédez à IAM > Rôles > Créer un rôle.
Sélectionnez Règle d'approbation personnalisée et collez la règle suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::610660487454:role/data-export" }, "Action": "sts:AssumeRole" } ] }Cliquez sur Suivant.
Cliquez sur Créer une règle pour ajouter une règle intégrée qui autorise les écritures dans le préfixe de votre choix (remplacez
<BUCKET_ARN>et<OBJECT_PREFIX>paralphasoc/alerts, par exemple) :{ "Version": "2012-10-17", "Statement": [ { "Sid": "InlinePolicy", "Effect": "Allow", "Action": ["s3:PutObject", "s3:PutObjectAcl"], "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*" } ] }Si votre bucket utilise le chiffrement KMS, ajoutez cette instruction à la même règle (remplacez
<AWS_REGION>,<AWS_ACCOUNT_ID>et<AWS_KEY_ID>par vos valeurs) :{ "Sid": "KMSkey", "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>" }Nommez le rôle (par exemple,
AlphaSOC-S3-Export), cliquez sur Create role (Créer un rôle), puis copiez son Role ARN (ARN du rôle) pour l'étape suivante.
Fournir à AlphaSOC les détails de la configuration d'exportation S3
- Contactez l'assistance AlphaSOC (
support@alphasoc.com) ou votre représentant AlphaSOC, et fournissez les informations de configuration suivantes pour activer l'exportation des résultats vers S3 :- Nom du bucket S3 (par exemple,
alphasoc-alerts-logs) - Région AWS du bucket S3 (par exemple,
us-east-1) - Préfixe d'objet S3 (chemin de destination pour stocker les résultats, par exemple
alphasoc/alerts) - ARN du rôle IAM créé dans la section précédente
- Demander à activer l'exportation S3 pour les résultats ou les alertes de votre espace de travail
- Nom du bucket S3 (par exemple,
- AlphaSOC configurera l'intégration de l'exportation S3 de son côté et vous enverra une confirmation une fois la configuration terminée.
Configurer un flux dans Google SecOps pour ingérer les alertes AlphaSOC
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur + Ajouter un flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
AlphaSOC Alerts). - Sélectionnez Amazon S3 V2 comme type de source.
- Sélectionnez AlphaSOC comme type de journal.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- URI S3 :
s3://alphasoc-alerts-logs/alphasoc/alerts/ - Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
- Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
- Espace de noms de l'élément : espace de noms de l'élément (par exemple,
alphasoc.alerts) - Facultatif : Étiquettes d'ingestion : ajoutez une étiquette d'ingestion (par exemple,
vendor=alphasoc,type=alerts).
- URI S3 :
- Cliquez sur Suivant.
- Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.