Mengumpulkan log pemberitahuan AlphaSOC

Didukung di:

Dokumen ini menjelaskan cara menyerap log AlphaSOC Alert ke Google Security Operations menggunakan Amazon S3. Parser mengekstrak data pemberitahuan keamanan dari pemberitahuan ASOC dalam format JSON, lalu mengubahnya menjadi Model Data Terpadu (UDM). Proses ini mengurai kolom yang terkait dengan pengamat, pokok, target, dan metadata, memperkaya data dengan hasil keamanan yang berasal dari informasi ancaman, tingkat keparahan, dan kategori terkait, sebelum akhirnya menyusun output ke dalam format UDM.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke platform AlphaSOC.
  • Akses istimewa ke AWS (S3, Identity and Access Management (IAM)).

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, alphasoc-alerts-logs).
  3. Buat pengguna IAM dengan izin minimum yang diperlukan untuk akses S3 dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Di bagian Access Keys, klik Create Access Key .
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file .CSV untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin > Buat kebijakan > JSON.

  15. Berikan kebijakan minimal berikut untuk akses S3 (ganti <BUCKET_NAME> dan <OBJECT_PREFIX> dengan nilai Anda):

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListBucketPrefix",
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>",
      "Condition": { 
        "StringLike": { 
          "s3:prefix": ["<OBJECT_PREFIX>/*"] 
        } 
      }
    },
    {
      "Sid": "GetObjects",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
  ]
}

  16. Opsional: Jika Anda berencana menggunakan opsi Hapus file yang ditransfer di feed, tambahkan pernyataan tambahan ini ke kebijakan:

    {
  "Sid": "DeleteObjectsIfEnabled",
  "Effect": "Allow",
  "Action": ["s3:DeleteObject"],
  "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
}

  17. Klik Berikutnya > Buat kebijakan.

  18. Kembali ke pengguna IAM, lalu klik Tambahkan izin > Lampirkan kebijakan secara langsung.

  19. Telusuri dan pilih kebijakan yang baru saja Anda buat.

  20. Klik Berikutnya > Tambahkan izin.

Mengonfigurasi peran IAM untuk AlphaSOC guna mengekspor temuan ke bucket S3 Anda

  1. Di AWS Console, buka IAM > Roles > Create role.

  2. Pilih Kebijakan kepercayaan kustom dan tempel kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::610660487454:role/data-export"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Klik Berikutnya.

  4. Klik Create policy untuk menambahkan inline policy yang mengizinkan penulisan ke prefiks yang Anda pilih (ganti <BUCKET_ARN> dan <OBJECT_PREFIX> seperti alphasoc/alerts):

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "InlinePolicy",
      "Effect": "Allow",
      "Action": ["s3:PutObject", "s3:PutObjectAcl"],
      "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
    }
  ]
}

  5. Jika bucket Anda menggunakan enkripsi KMS, tambahkan pernyataan ini ke kebijakan yang sama (ganti <AWS_REGION>, <AWS_ACCOUNT_ID>, dan <AWS_KEY_ID> dengan nilai Anda):

    {
  "Sid": "KMSkey",
  "Effect": "Allow",
  "Action": "kms:GenerateDataKey",
  "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
}

  6. Beri nama peran (misalnya, AlphaSOC-S3-Export), klik Create role, dan salin Role ARN untuk langkah berikutnya.

Berikan detail konfigurasi ekspor S3 ke AlphaSOC

  1. Hubungi dukungan AlphaSOC (support@alphasoc.com) atau perwakilan AlphaSOC Anda dan berikan detail konfigurasi berikut untuk mengaktifkan ekspor temuan S3:
    • Nama bucket S3 (misalnya, alphasoc-alerts-logs)
    • Region AWS bucket S3 (misalnya, us-east-1)
    • Awalan objek S3 (jalur tujuan untuk menyimpan temuan, misalnya, alphasoc/alerts)
    • ARN peran IAM yang dibuat di bagian sebelumnya
    • Permintaan untuk mengaktifkan ekspor S3 untuk temuan atau pemberitahuan dari ruang kerja Anda
  2. AlphaSOC akan mengonfigurasi integrasi ekspor S3 di sisi mereka dan memberikan konfirmasi setelah penyiapan selesai.

Mengonfigurasi feed di Google SecOps untuk memproses Pemberitahuan AlphaSOC

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, AlphaSOC Alerts).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih AlphaSOC sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://alphasoc-alerts-logs/alphasoc/alerts/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset (misalnya, alphasoc.alerts)
    • Opsional: Label penyerapan: Tambahkan label penyerapan (misalnya, vendor=alphasoc, type=alerts).
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.