收集 AlphaSOC 提醒日志

本文档介绍了如何使用 Amazon S3 将 AlphaSOC Alert 日志注入到 Google Security Operations。解析器会从 JSON 格式的 ASOC 提醒中提取安全提醒数据，并将其转换为统一数据模型 (UDM)。它会解析与观测者、正文、目标和元数据相关的字段，利用从威胁信息、严重程度和关联类别中派生的安全结果来丰富数据，最后将输出内容结构化为 UDM 格式。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例。
• 对 AlphaSOC 平台的特权访问权限。
• 对 AWS（S3、Identity and Access Management [IAM]）的特权访问权限。

为 Google SecOps 配置 AWS S3 存储桶和 IAM

1. 按照以下用户指南创建 Amazon S3 存储桶：创建存储桶
2. 保存存储桶名称和区域以供日后参考（例如 alphasoc-alerts-logs）。
3. 按照以下用户指南创建具有最低必需 S3 访问权限的 IAM 用户：创建 IAM 用户。
4. 选择创建的用户。
5. 选择安全凭据标签页。
6. 在访问密钥部分中，点击创建访问密钥。
7. 选择第三方服务作为使用情形。
8. 点击下一步。
9. 可选：添加说明标记。
10. 点击创建访问密钥。
11. 点击下载 .CSV 文件，保存访问密钥和秘密访问密钥以供日后参考。
12. 点击完成。
13. 选择权限标签页。
14. 依次点击添加权限 > 创建政策 > JSON。

15. 提供以下最低限度的 S3 访问权限政策（将 <BUCKET_NAME> 和 <OBJECT_PREFIX> 替换为您的值）：

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "ListBucketPrefix",
          "Effect": "Allow",
          "Action": ["s3:ListBucket"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>",
          "Condition": { 
            "StringLike": { 
              "s3:prefix": ["<OBJECT_PREFIX>/*"] 
            } 
          }
        },
        {
          "Sid": "GetObjects",
          "Effect": "Allow",
          "Action": ["s3:GetObject"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
        }
      ]
    }
    

16. 可选：如果您打算在 Feed 中使用删除已转移的文件选项，请向政策添加以下额外声明：

    {
      "Sid": "DeleteObjectsIfEnabled",
      "Effect": "Allow",
      "Action": ["s3:DeleteObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
    

17. 依次点击下一步 > 创建政策。

18. 返回到 IAM 用户，然后依次点击添加权限 > 直接附加政策。

19. 搜索并选择您刚刚创建的政策。

20. 依次点击下一步 > 添加权限。

为 AlphaSOC 配置 IAM 角色，以将发现结果导出到您的 S3 存储桶

1. 在 AWS 控制台中，依次前往 IAM > 角色 > 创建角色。

2. 选择自定义信任政策，然后粘贴以下政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::610660487454:role/data-export"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. 点击下一步。

4. 点击创建政策，以添加允许写入所选前缀（替换 <BUCKET_ARN> 和 <OBJECT_PREFIX>，例如 alphasoc/alerts）的内嵌政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "InlinePolicy",
         "Effect": "Allow",
         "Action": ["s3:PutObject", "s3:PutObjectAcl"],
         "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
       }
     ]
   }
   

5. 如果您的存储桶使用 KMS 加密，请将此语句添加到同一政策中（将 <AWS_REGION>、<AWS_ACCOUNT_ID> 和 <AWS_KEY_ID> 替换为您的值）：

   {
     "Sid": "KMSkey",
     "Effect": "Allow",
     "Action": "kms:GenerateDataKey",
     "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
   }
   

6. 为角色命名（例如 AlphaSOC-S3-Export），点击 Create role，然后复制其 Role ARN 以供下一步使用。

向 AlphaSOC 提供 S3 导出配置详细信息

1. 请与 AlphaSOC 支持团队 (support@alphasoc.com) 或您的 AlphaSOC 代表联系，并提供以下配置详细信息以启用调查结果的 S3 导出功能：
   • S3 存储桶名称（例如 alphasoc-alerts-logs）
   • S3 存储桶 AWS 区域（例如 us-east-1）
   • S3 对象前缀（用于存储检测结果的目标路径，例如 alphasoc/alerts）
   • 在上一部分中创建的 IAM 角色 ARN
   • 请求为工作区中的发现或提醒启用 S3 导出
2. AlphaSOC 将在其端配置 S3 导出集成，并在设置完成后提供确认信息。

在 Google SecOps 中配置 Feed 以注入 AlphaSOC 提醒

1. 依次前往 SIEM 设置> Feed。
2. 点击 + 添加新 Feed。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 AlphaSOC Alerts）。
4. 选择 Amazon S3 V2 作为来源类型。
5. 选择 AlphaSOC 作为日志类型。
6. 点击下一步。
7. 为以下输入参数指定值：
   • S3 URI：s3://alphasoc-alerts-logs/alphasoc/alerts/
   • 来源删除选项：根据您的偏好选择删除选项。
   • 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
   • 私有访问密钥：具有 S3 存储桶访问权限的用户私有密钥。
   • 资产命名空间：资产命名空间（例如 alphasoc.alerts）
   • （可选）注入标签：添加注入标签（例如 vendor=alphasoc、type=alerts）。
8. 点击下一步。
9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。