收集 AlphaSOC 快訊記錄

本文說明如何使用 Amazon S3，將 AlphaSOC 快訊記錄檔擷取至 Google Security Operations。剖析器會從 JSON 格式的 ASOC 快訊中擷取安全警示資料，並轉換為 Unified Data Model (UDM)。剖析器會剖析與觀察者、主體、目標和中繼資料相關的欄位，並根據威脅資訊、嚴重程度和相關聯的類別，從中衍生出安全性結果，然後將資料以 UDM 格式輸出。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體。
• AlphaSOC 平台的特殊存取權。
• AWS 的特殊權限存取權 (S3、身分與存取權管理 (IAM))。

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用者指南建立 Amazon S3 bucket：建立 bucket
2. 儲存 bucket 的「名稱」和「區域」，以供日後參考 (例如 alphasoc-alerts-logs)。
3. 建立 IAM 使用者，並授予存取 S3 的最低必要權限，請參閱這份使用者指南：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「存取金鑰」部分，按一下「建立存取金鑰」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 .CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
12. 按一下 [完成]。
13. 選取 [權限] 分頁標籤。
14. 依序點選「新增權限」>「建立政策」>「JSON」。

15. 提供下列 S3 存取權的最低政策 (將 <BUCKET_NAME> 和 <OBJECT_PREFIX> 換成您的值)：

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "ListBucketPrefix",
          "Effect": "Allow",
          "Action": ["s3:ListBucket"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>",
          "Condition": { 
            "StringLike": { 
              "s3:prefix": ["<OBJECT_PREFIX>/*"] 
            } 
          }
        },
        {
          "Sid": "GetObjects",
          "Effect": "Allow",
          "Action": ["s3:GetObject"],
          "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
        }
      ]
    }
    

16. 選用：如果打算在動態消息中使用「刪除已轉移的檔案」選項，請在政策中加入下列額外陳述式：

    {
      "Sid": "DeleteObjectsIfEnabled",
      "Effect": "Allow",
      "Action": ["s3:DeleteObject"],
      "Resource": "arn:aws:s3:::<BUCKET_NAME>/<OBJECT_PREFIX>/*"
    }
    

17. 依序點選「下一步」>「建立政策」。

18. 返回 IAM 使用者，然後依序按一下「Add permissions」(新增權限)>「Attach policies directly」(直接附加政策)。

19. 搜尋並選取剛建立的政策。

20. 依序點選「下一步」>「新增權限」。

設定 AlphaSOC 的 IAM 角色，將調查結果匯出至 S3 值區

1. 在 AWS 控制台中，依序前往「IAM」>「角色」>「建立角色」。

2. 選取「自訂信任政策」，然後貼上下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::610660487454:role/data-export"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

3. 點選「下一步」。

4. 按一下「建立政策」，新增允許寫入所選前置字元 (取代 <BUCKET_ARN> 和 <OBJECT_PREFIX>，例如 alphasoc/alerts) 的內嵌政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "InlinePolicy",
         "Effect": "Allow",
         "Action": ["s3:PutObject", "s3:PutObjectAcl"],
         "Resource": "<BUCKET_ARN>/<OBJECT_PREFIX>/*"
       }
     ]
   }
   

5. 如果值區使用 KMS 加密，請在相同政策中新增這項陳述式 (將 <AWS_REGION>、<AWS_ACCOUNT_ID> 和 <AWS_KEY_ID> 替換成您的值)：

   {
     "Sid": "KMSkey",
     "Effect": "Allow",
     "Action": "kms:GenerateDataKey",
     "Resource": "arn:aws:kms:<AWS_REGION>:<AWS_ACCOUNT_ID>:key/<AWS_KEY_ID>"
   }
   

6. 為角色命名 (例如 AlphaSOC-S3-Export)，按一下「建立角色」，然後複製其「角色 ARN」以進行下一個步驟。

向 AlphaSOC 提供 S3 匯出設定詳細資料

1. 請聯絡 AlphaSOC 支援團隊 (support@alphasoc.com) 或 AlphaSOC 代表，並提供下列設定詳細資料，以啟用 S3 發現項目匯出功能：
   • S3 儲存空間名稱 (例如 alphasoc-alerts-logs)
   • S3 儲存貯體 AWS 區域 (例如 us-east-1)
   • S3 物件前置字串 (用於儲存調查結果的目的地路徑，例如 alphasoc/alerts)
   • 在上節中建立的 IAM 角色 ARN
   • 要求為工作區的發現項目或快訊啟用 S3 匯出功能
2. AlphaSOC 會在自家系統上設定 S3 匯出整合，並在設定完成後提供確認資訊。

在 Google SecOps 中設定動態饋給，擷取 AlphaSOC 快訊

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「+ 新增動態消息」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 AlphaSOC Alerts)。
4. 選取「Amazon S3 V2」做為「來源類型」。
5. 選取「AlphaSOC」做為「記錄類型」。
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • S3 URI：s3://alphasoc-alerts-logs/alphasoc/alerts/
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間 (例如 alphasoc.alerts)
   • 選用：擷取標籤：新增擷取標籤 (例如 vendor=alphasoc、type=alerts)。
8. 點選「下一步」。
9. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。