Tailscale-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Tailscale-Logs mit der nativen Amazon S3-Log-Streamingfunktion von Tailscale in Google Security Operations aufnehmen. Tailscale erzeugt Betriebsdaten in Form von Konfigurations-Audit-Logs und Netzwerkfluss-Logs. Bei dieser Integration wird die integrierte S3-Streamingfunktion von Tailscale verwendet, um diese Logs automatisch zur Analyse und Überwachung an Google SecOps zu senden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf die Tailscale-Admin-Konsole (Rolle „Inhaber“, „Administrator“, „Netzwerkadministrator“ oder „IT-Administrator“)
  • Privilegierter Zugriff auf AWS (S3, IAM)

Tailscale-Voraussetzungen (Tailnet-Informationen) erfassen

  1. Melden Sie sich in der Tailscale Admin Console an.
  2. Notieren Sie sich den Tailnet-Namen, z. B. example.com oder den Namen Ihrer Organisation.
  3. Prüfen Sie, ob Sie das erforderliche Abo haben:
    • Streaming von Konfigurations-Audit-Logs: Verfügbar in den Versionen Personal, Personal Plus und Enterprise.
    • Streaming von Netzwerkflusslogs: Nur im Enterprise-Tarif verfügbar.

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. tailscale-logs).
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

IAM-Richtlinie und ‑Rolle für S3-Uploads konfigurieren

  1. Rufen Sie in der AWS-Konsole IAM > Richtlinien > Richtlinie erstellen > JSON-Tab auf.

  2. Geben Sie die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • Ersetzen Sie tailscale-logs, wenn Sie einen anderen Bucket-Namen eingegeben haben.

  3. Klicken Sie auf Weiter > Richtlinie erstellen.

  4. Rufen Sie IAM > Rollen > Rolle erstellen > Benutzerdefinierte Vertrauensrichtlinie auf.

  5. Geben Sie die folgende Vertrauensrichtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • Ersetzen Sie YOUR_TAILNET_NAME durch den Namen Ihres Tailnets.

  6. Klicken Sie auf Weiter.

  7. Hängen Sie die in Schritt 1 erstellte Richtlinie an.

  8. Geben Sie der Rolle den Namen TailscaleS3StreamingRole und klicken Sie auf Rolle erstellen.

  9. Kopieren Sie den Rollen-ARN zur Verwendung in der Tailscale-Konfiguration.

Tailscale-natives S3-Log-Streaming konfigurieren

Streaming von Konfigurations-Audit-Logs einrichten

  1. Rufen Sie in der Tailscale Admin Console (Tailscale-Admin-Konsole) Logs > Configuration logs (Konfigurationsprotokolle) auf.
  2. Klicken Sie auf Streaming starten.
  3. Wählen Sie Amazon S3 als Ziel aus.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • AWS-Konto-ID: Ihre AWS-Konto-ID.
    • S3-Bucket-Name: tailscale-logs.
    • Rollen-ARN: Der ARN der von Ihnen erstellten IAM-Rolle.
    • S3-Schlüsselpräfix: tailscale/configuration/ (optional).
  5. Klicken Sie auf Streaming starten.
  6. Prüfen Sie, ob der Status Aktiv lautet.

Streaming von Netzwerkflusslogs einrichten (nur Enterprise-Abo)

  1. Falls noch nicht geschehen, gehen Sie zu Einstellungen > Netzwerkfluss-Logs und aktivieren Sie Netzwerkfluss-Logs für Ihr Tailnet.
  2. Klicken Sie auf Logs > Netzwerkfluss-Logs.
  3. Klicken Sie auf Streaming starten.
  4. Wählen Sie Amazon S3 als Ziel aus.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • AWS-Konto-ID: Ihre AWS-Konto-ID
    • S3-Bucket-Name: tailscale-logs
    • Rollen-ARN: Der ARN der von Ihnen erstellten IAM-Rolle
    • S3-Schlüsselpräfix: tailscale/network/ (optional)
  6. Klicken Sie auf Streaming starten.
  7. Prüfen Sie, ob der Status Aktiv lautet.

Optional: IAM-Nutzer mit Lesezugriff und Schlüssel für Google SecOps erstellen

  1. Rufen Sie in der AWS-Konsole IAM > Nutzer > Nutzer hinzufügen auf.
  2. Klicken Sie auf Add users (Nutzer hinzufügen).
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzer: secops-reader
    • Zugriffstyp: Zugriffsschlüssel – Programmatischer Zugriff
  4. Klicken Sie auf Nutzer erstellen.
  5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

  6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. Legen Sie secops-reader-policy als Name fest.

  8. Gehen Sie zu Richtlinie erstellen> suchen/auswählen > Weiter > Berechtigungen hinzufügen.

  9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

  10. Laden Sie die CSV herunter (diese Werte werden in den Feed eingegeben).

Feed in Google SecOps konfigurieren, um Tailscale-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tailscale logs.
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie Tailscale als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: s3://tailscale-logs/tailscale/
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten