Coletar registros do Tailscale

Compatível com:

Este documento explica como ingerir registros do Tailscale no Google Security Operations usando o recurso nativo de transmissão de registros do Amazon S3 do Tailscale. O Tailscale produz dados operacionais na forma de registros de auditoria de configuração e de fluxo de rede. Essa integração usa o recurso de streaming do S3 integrado do Tailscale para enviar automaticamente esses registros ao Google SecOps para análise e monitoramento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Admin Console do Tailscale (função de proprietário, administrador, administrador de rede ou administrador de TI)
  • Acesso privilegiado à AWS (S3, IAM)

Coletar os pré-requisitos do Tailscale (informações da tailnet)

  1. Faça login no Admin Console do Tailscale.
  2. Anote o nome da tailnet (por exemplo, example.com ou o nome da sua organização).
  3. Verifique se você tem o plano necessário:
    • Streaming registro de auditoria de configuração: disponível nos planos Personal, Personal Plus e Enterprise.
    • Streaming de registros de fluxo de rede: disponível apenas no plano Enterprise.

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tailscale-logs).
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar a política e o papel do IAM para uploads do S3

  1. No console da AWS, acesse IAM > Políticas > Criar política > guia JSON.

  2. Insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • Substitua tailscale-logs se você tiver inserido um nome de bucket diferente.

  3. Clique em Próxima > Criar política.

  4. Acesse IAM > Funções > Criar função > Política de confiança personalizada.

  5. Insira a seguinte política de confiança:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • Substitua YOUR_TAILNET_NAME pelo nome real da sua tailnet.

  6. Clique em Próxima.

  7. Anexe a política criada na etapa 1.

  8. Nomeie a função como TailscaleS3StreamingRole e clique em Criar função.

  9. Copie o ARN da função para usar na configuração do Tailscale.

Configurar o streaming nativo de registros do S3 do Tailscale

Configurar o streaming de registros de auditoria de configuração

  1. No Admin Console do Tailscale, acesse Registros > Registros de configuração.
  2. Clique em Iniciar streaming.
  3. Selecione Amazon S3 como o destino.
  4. Informe os seguintes detalhes de configuração:
    • ID da conta da AWS: seu ID da conta da AWS.
    • Nome do bucket do S3: tailscale-logs.
    • ARN da função: o ARN da função do IAM que você criou.
    • Prefixo da chave do S3: tailscale/configuration/ (opcional).
  5. Clique em Iniciar streaming.
  6. Verifique se o status é Ativo.

Configurar o streaming de registros de fluxo de rede (somente no plano Enterprise)

  1. Se ainda não estiver ativado, acesse Configurações > Registros de fluxo de rede e ative os registros de fluxo de rede para sua tailnet.
  2. Acesse Registros > Registros de fluxo de rede.
  3. Clique em Iniciar streaming.
  4. Selecione Amazon S3 como o destino.
  5. Informe os seguintes detalhes de configuração:
    • ID da conta da AWS: seu ID da conta da AWS
    • Nome do bucket do S3: tailscale-logs
    • ARN da função: o ARN da função do IAM que você criou
    • Prefixo da chave do S3: tailscale/network/ (opcional)
  6. Clique em Iniciar streaming.
  7. Verifique se o status é Ativo.

Opcional: criar um usuário e chaves do IAM somente leitura para o Google SecOps

  1. No console da AWS, acesse IAM > Usuários > Adicionar usuários.
  2. Clique em Add users.
  3. Informe os seguintes detalhes de configuração:
    • Usuário: secops-reader
    • Tipo de acesso: Chave de acesso — Acesso programático
  4. Clique em Criar usuário.
  5. Anexe a política de leitura mínima (personalizada): Usuários > secops-reader > Permissões > Adicionar permissões > Anexar políticas diretamente > Criar política.

  6. No editor JSON, insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Acesse Criar política > pesquise/selecione > Próxima > Adicionar permissões.

  9. Acesse Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Faça o download do CSV (esses valores são inseridos no feed).

Configurar um feed no Google SecOps para ingerir registros do Tailscale

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tailscale logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tailscale como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tailscale-logs/tailscale/
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.