Recolha registos de alertas do AlphaSOC
Este documento explica como carregar registos de alerta do AlphaSOC para o Google Security Operations através do Amazon S3. O analisador extrai dados de alertas de segurança de alertas do ASOC no formato JSON, transformando-os no modelo de dados unificado (UDM). Analisa campos relacionados com o observador, o principal, o destino e os metadados, enriquecendo os dados com resultados de segurança derivados de informações sobre ameaças, níveis de gravidade e categorias associadas, antes de estruturar finalmente o resultado no formato UDM.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
- Uma instância do Google SecOps.
- Acesso privilegiado à plataforma AlphaSOC.
- Acesso privilegiado à AWS (S3, Identity and Access Management [IAM]).
Configure o contentor do AWS S3 e o IAM para o Google SecOps
- Crie um contentor do Amazon S3 seguindo este guia do utilizador: Criar um contentor
- Guarde o nome e a região do contentor para referência futura (por exemplo,
alphasoc-alerts-logs). - Crie um utilizador do IAM com as autorizações mínimas necessárias para o acesso ao S3 seguindo este guia do utilizador: Criar um utilizador do IAM.
- Selecione o utilizador criado.
- Selecione o separador Credenciais de segurança.
- Na secção Chaves de acesso, clique em Criar chave de acesso .
- Selecione Serviço de terceiros como Exemplo de utilização.
- Clicar em Seguinte.
- Opcional: adicione uma etiqueta de descrição.
- Clique em Criar chave de acesso.
- Clique em Transferir ficheiro .CSV para guardar a chave de acesso e a chave de acesso secreta para referência futura.
- Clique em Concluído.
- Selecione o separador Autorizações.
- Clique em Adicionar autorizações > Criar política > JSON.
Forneça a seguinte política mínima para o acesso ao S3 (substitua
<BUCKET_NAME>e<OBJECT_PREFIX>pelos seus valores):{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucketPrefix", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<BUCKET_NAME>", "Condition": { "StringLike": { "s3:prefix": ["<OBJECT_PREFIX>/*"] } } }, { "Sid": "GetObjects", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" } ] }Opcional: se planeia usar a opção Eliminar ficheiros transferidos no feed, adicione esta declaração adicional à política:
{ "Sid": "DeleteObjectsIfEnabled", "Effect": "Allow", "Action": ["s3:DeleteObject"], "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*" }Clique em Seguinte > Criar política.
Regresse ao utilizador do IAM e clique em Adicionar autorizações > Anexar políticas diretamente.
Pesquise e selecione a política que acabou de criar.
Clique em Seguinte > Adicionar autorizações.
Configure a função da IAM para que o AlphaSOC exporte as descobertas para o seu contentor do S3
- Na consola da AWS, aceda a IAM > Funções > Criar função.
Selecione Política de confiança personalizada e cole a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::610660487454:role/data-export" }, "Action": "sts:AssumeRole" } ] }Clicar em Seguinte.
Clique em Criar política para adicionar uma política inline que permita gravações no prefixo escolhido (substitua
<BUCKET_ARN>e<OBJECT_PREFIX>, comoalphasoc/alerts):{ "Version": "2012-10-17", "Statement": [ { "Sid": "InlinePolicy", "Effect": "Allow", "Action": ["s3:PutObject", "s3:PutObjectAcl"], "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*" } ] }Se o seu contentor usar a encriptação KMS, adicione esta declaração à mesma política (substitua
<AWS_REGION>,<AWS_ACCOUNT_ID>e<AWS_KEY_ID>pelos seus valores):{ "Sid": "KMSkey", "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>" }Atribua um nome à função (por exemplo,
AlphaSOC-S3-Export), clique em Criar função e copie o respetivo ARN da função para o passo seguinte.
Forneça detalhes da configuração de exportação do S3 à AlphaSOC
- Contacte o apoio técnico do AlphaSOC (
support@alphasoc.com) ou o seu representante do AlphaSOC e faculte os seguintes detalhes de configuração para ativar a exportação de resultados do S3:- Nome do contentor do S3 (por exemplo,
alphasoc-alerts-logs) - Região da AWS do contentor do S3 (por exemplo,
us-east-1) - Prefixo do objeto S3 (caminho de destino para armazenar as conclusões, por exemplo,
alphasoc/alerts) - ARN da função de IAM criado na secção anterior
- Peça para ativar a exportação S3 para conclusões ou alertas do seu espaço de trabalho
- Nome do contentor do S3 (por exemplo,
- A AlphaSOC vai configurar a integração de exportação do S3 do seu lado e enviar-lhe uma confirmação assim que a configuração estiver concluída.
Configure um feed no Google SecOps para carregar alertas do AlphaSOC
- Aceda a Definições do SIEM > Feeds.
- Clique em + Adicionar novo feed.
- No campo Nome do feed, introduza um nome para o feed (por exemplo,
AlphaSOC Alerts). - Selecione Amazon S3 V2 como o Tipo de origem.
- Selecione AlphaSOC como o Tipo de registo.
- Clicar em Seguinte.
- Especifique valores para os seguintes parâmetros de entrada:
- URI do S3:
s3://alphasoc-alerts-logs/alphasoc/alerts/ - Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
- Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
- ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
- Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
- Espaço de nomes do recurso: o espaço de nomes do recurso (por exemplo,
alphasoc.alerts) - Opcional: Etiquetas de carregamento: adicione uma etiqueta de carregamento (por exemplo,
vendor=alphasoc,type=alerts).
- URI do S3:
- Clicar em Seguinte.
- Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.