Recolha registos do Tailscale

Compatível com:

Este documento explica como carregar registos do Tailscale para o Google Security Operations através da funcionalidade de streaming de registos nativa do Amazon S3 do Tailscale. O Tailscale produz dados operacionais sob a forma de registos de auditoria de configuração e registos de fluxo de rede. Esta integração usa a capacidade de streaming S3 incorporada do Tailscale para enviar automaticamente estes registos para o Google SecOps para análise e monitorização.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à consola do administrador do Tailscale (função de proprietário, administrador, administrador de rede ou administrador de TI)
  • Acesso privilegiado à AWS (S3, IAM)

Recolha os pré-requisitos do Tailscale (informações da rede Tailscale)

  1. Inicie sessão na consola de administração do Tailscale.
  2. Tome nota do nome da tailnet (por exemplo, example.com ou o nome da sua organização).
  3. Certifique-se de que tem o plano necessário:
    • Streaming do registo de auditoria de configuração: disponível nos planos Personal, Personal Plus e Enterprise.
    • Streaming de registos de fluxo de rede: disponível apenas no plano Enterprise.

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, tailscale-logs).
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure a política e a função de IAM para carregamentos do S3

  1. Na consola da AWS, aceda a IAM > Políticas > Criar política > separador JSON.

  2. Introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • Substitua tailscale-logs se tiver introduzido um nome de contentor diferente.

  3. Clique em Seguinte > Criar política.

  4. Aceda a IAM > Funções > Criar função > Política de confiança personalizada.

  5. Introduza a seguinte política de confiança:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • Substitua YOUR_TAILNET_NAME pelo nome real da tailnet.

  6. Clicar em Seguinte.

  7. Anexe a política criada no passo 1.

  8. Dê o nome TailscaleS3StreamingRole à função e clique em Criar função.

  9. Copie o ARN da função para usar na configuração do Tailscale.

Configure o streaming de registos S3 nativo do Tailscale

Configure a transmissão em fluxo contínuo do registo de auditoria da configuração

  1. Na consola do administrador do Tailscale, aceda a Registos > Registos de configuração.
  2. Clique em Iniciar streaming.
  3. Selecione Amazon S3 como destino.
  4. Indique os seguintes detalhes de configuração:
    • ID da conta da AWS: o ID da sua conta da AWS.
    • Nome do contentor do S3: tailscale-logs.
    • ARN da função: o ARN da função IAM que criou.
    • Prefixo da chave do S3: tailscale/configuration/ (opcional).
  5. Clique em Iniciar streaming.
  6. Verifique se o estado é apresentado como Ativo.

Configure o streaming de registos de fluxo de rede (apenas no plano Enterprise)

  1. Se ainda não estiver ativado, aceda a Definições > Registos de fluxo de rede e ative os registos de fluxo de rede para a sua tailnet.
  2. Aceda a Registos > Registos de fluxo de rede.
  3. Clique em Iniciar streaming.
  4. Selecione Amazon S3 como destino.
  5. Indique os seguintes detalhes de configuração:
    • ID da conta da AWS: o ID da sua conta da AWS
    • Nome do contentor do S3: tailscale-logs
    • ARN da função: o ARN da função de IAM que criou
    • Prefixo da chave S3: tailscale/network/ (opcional)
  6. Clique em Iniciar streaming.
  7. Verifique se o estado é apresentado como Ativo.

Opcional: crie um utilizador e chaves da IAM só de leitura para o Google SecOps

  1. Na consola da AWS, aceda a IAM > Utilizadores > Adicionar utilizadores.
  2. Clique em Adicionar utilizadores.
  3. Indique os seguintes detalhes de configuração:
    • Utilizador: secops-reader
    • Tipo de acesso: chave de acesso – acesso programático
  4. Clique em Criar utilizador.
  5. Anexe a política de leitura mínima (personalizada): Users > secops-reader > Permissions > Add permissions > Attach policies directly > Create policy.

  6. No editor JSON, introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Aceda a Criar política > pesquise/selecione > Seguinte > Adicionar autorizações.

  9. Aceda a Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Transfira o CSV (estes valores são introduzidos no feed).

Configure um feed no Google SecOps para carregar registos do Tailscale

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tailscale logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tailscale como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tailscale-logs/tailscale/
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.