このページは Cloud Translation API によって翻訳されました。

AlphaSOC のアラートログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Amazon S3 を使用して AlphaSOC Alert ログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON 形式の ASOC アラートからセキュリティアラートデータを抽出し、Unified Data Model（UDM）に変換します。オブザーバー、プリンシパル、ターゲット、メタデータに関連するフィールドを解析し、脅威情報、重大度レベル、関連するカテゴリから導出されたセキュリティ結果でデータを拡充してから、最終的に出力を UDM 形式に構造化します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス。
AlphaSOC プラットフォームへの特権アクセス。
AWS（S3、Identity and Access Management（IAM））への特権アクセス。

Google SecOps 用に AWS S3 バケットと IAM を構成する

バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
後で参照できるように、バケットの名前とリージョンを保存します（例: alphasoc-alerts-logs）。
IAM ユーザーの作成のユーザーガイドに沿って、S3 アクセスに必要な最小限の権限を持つ IAM ユーザーを作成します。
作成したユーザーを選択します。
[セキュリティ認証情報] タブを選択します。
[アクセスキー] セクションで、[アクセスキーを作成] をクリックします。
[ユースケース] として [サードパーティサービス] を選択します。
[次へ] をクリックします。
省略可: 説明タグを追加します。
[アクセスキーを作成] をクリックします。
[.CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレットアクセスキー] を保存し、今後の参照に備えます。
[完了] をクリックします。
[権限] タブを選択します。
[権限を追加> ポリシーを作成> JSON] をクリックします。

S3 アクセスに次の最小ポリシーを指定します（<BUCKET_NAME> と <OBJECT_PREFIX> は実際の値に置き換えます）。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListBucketPrefix",
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>",
      "Condition": { 
        "StringLike": { 
          "s3:prefix": ["<OBJECT_PREFIX>/*"] 
        } 
      }
    },
    {
      "Sid": "GetObjects",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
  ]
}

省略可: フィードで [転送されたファイルを削除] オプションを使用する場合は、ポリシーに次のステートメントを追加します。

{
  "Sid": "DeleteObjectsIfEnabled",
  "Effect": "Allow",
  "Action": ["s3:DeleteObject"],
  "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
}

[次へ] > [ポリシーを作成] をクリックします。
IAM ユーザーに戻り、[権限を追加> ポリシーを直接アタッチ] をクリックします。
作成したポリシーを検索して選択します。
[次へ> 権限を追加] をクリックします。

検出結果を S3 バケットにエクスポートするように AlphaSOC の IAM ロールを構成する

AWS コンソールで、[IAM] > [ロール] > [ロールの作成] に移動します。

[カスタム信頼ポリシー] を選択し、次のポリシーを貼り付けます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::610660487454:role/data-export"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

[次へ] をクリックします。

[ポリシーを作成] をクリックして、選択したプレフィックスへの書き込みを許可するインラインポリシーを追加します（<BUCKET_ARN> や <OBJECT_PREFIX> などの alphasoc/alerts を置き換えます）。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "InlinePolicy",
      "Effect": "Allow",
      "Action": ["s3:PutObject", "s3:PutObjectAcl"],
      "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
    }
  ]
}

バケットで KMS 暗号化を使用している場合は、同じポリシーに次のステートメントを追加します（<AWS_REGION>、<AWS_ACCOUNT_ID>、<AWS_KEY_ID> はご自身の値に置き換えます）。
```
{
  "Sid": "KMSkey",
  "Effect": "Allow",
  "Action": "kms:GenerateDataKey",
  "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
}
```
ロールに名前（AlphaSOC-S3-Export など）を付け、[ロールを作成] をクリックして、次のステップで使用するロール ARN をコピーします。

AlphaSOC に S3 エクスポート構成の詳細を提供する

AlphaSOC サポート（support@alphasoc.com）または AlphaSOC の担当者に連絡し、次の構成の詳細を提供して、検出結果の S3 エクスポートを有効にします。
- S3 バケット名（alphasoc-alerts-logs など）
- S3 バケットの AWS リージョン（例: us-east-1）
- S3 オブジェクトの接頭辞（検出結果の保存先のパス。例: alphasoc/alerts）
- 前のセクションで作成した IAM ロール ARN
- ワークスペースの検出結果またはアラートの S3 エクスポートを有効にするリクエスト
AlphaSOC は、S3 エクスポート統合を自社で構成し、設定が完了したら確認を提供します。

AlphaSOC アラートを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[+ 新しいフィードを追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: AlphaSOC Alerts）。
[ソースタイプ] として [Amazon S3 V2] を選択します。
[ログタイプ] として [AlphaSOC] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- S3 URI: s3://alphasoc-alerts-logs/alphasoc/alerts/
- Source deletion options: 必要に応じて削除オプションを選択します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザーアクセスキー。
- シークレットアクセスキー: S3 バケットにアクセスできるユーザーのシークレットキー。
- アセットの名前空間: アセットの名前空間（例: alphasoc.alerts）
- 省略可: 取り込みラベル: 取り込みラベル（vendor=alphasoc、type=alerts など）を追加します。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。