收集 Tailscale 記錄

本文說明如何使用 Tailscale 的原生 Amazon S3 記錄串流功能，將 Tailscale 記錄擷取至 Google Security Operations。Tailscale 會以設定稽核記錄和網路流量記錄的形式產生作業資料。這項整合功能會使用 Tailscale 的內建 S3 串流功能，自動將這些記錄傳送至 Google SecOps 進行分析和監控。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Tailscale 管理控制台的特殊存取權 (擁有者、管理員、網路管理員或 IT 管理員角色)
• AWS (S3、IAM) 的特殊存取權

收集 Tailscale 必要條件 (尾網資訊)

1. 登入 Tailscale 管理控制台。
2. 記下 tailnet 名稱 (例如 example.com 或貴機構的名稱)。
3. 確認你已訂閱所需方案：
   • 設定稽核記錄串流：適用於 Personal、Personal Plus 和 Enterprise 方案。
   • 網路流量記錄串流：僅適用於 Enterprise 方案。

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用者指南建立 Amazon S3 值區：建立值區
2. 儲存 bucket 的「名稱」和「區域」，以供日後參考 (例如 tailscale-logs)。
3. 按照這份使用者指南建立使用者：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「Access Keys」部分中，按一下「Create Access Key」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
12. 按一下 [完成]。
13. 選取 [權限] 分頁標籤。
14. 在「Permissions policies」(權限政策) 區段中，按一下「Add permissions」(新增權限)。
15. 選取「新增權限」。
16. 選取「直接附加政策」
17. 搜尋並選取 AmazonS3FullAccess 政策。
18. 點選「下一步」。
19. 按一下「Add permissions」。

設定 S3 上傳的身分與存取權管理政策和角色

1. 在 AWS 控制台中，依序前往「IAM」>「Policies」>「Create policy」>「JSON」分頁標籤。

2. 輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowTailscalePutObjects",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject",
           "s3:PutObjectAcl"
         ],
         "Resource": "arn:aws:s3:::tailscale-logs/*"
       }
     ]
   }
   

   • 如果您輸入的值區名稱不同，請替換 tailscale-logs。

3. 依序點選「Next」>「Create policy」。

4. 依序前往「IAM」>「角色」>「建立角色」>「自訂信任政策」。

5. 輸入下列信任政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "sts:ExternalId": "YOUR_TAILNET_NAME"
           }
         }
       }
     ]
   }
   

   • 請將 YOUR_TAILNET_NAME 替換成實際的尾部網路名稱。

6. 點選「下一步」。

7. 附加在步驟 1 中建立的政策。

8. 為角色命名 TailscaleS3StreamingRole，然後按一下「建立角色」。

9. 複製 Role ARN，以便在 Tailscale 設定中使用。

設定 Tailscale 原生 S3 記錄串流

設定串流傳輸設定稽核記錄

1. 在 Tailscale 管理控制台中，依序前往「記錄」> 設定記錄。
2. 按一下「開始串流播放」。
3. 選取「Amazon S3」做為目的地。
4. 提供下列設定詳細資料：
   • AWS 帳戶 ID：您的 AWS 帳戶 ID。
   • S3 值區名稱：tailscale-logs。
   • 角色 ARN：您建立的 IAM 角色 ARN。
   • S3 金鑰前置字元：tailscale/configuration/ (選用)。
5. 按一下「開始串流播放」。
6. 確認狀態顯示為「有效」。

設定網路流量記錄串流 (僅限 Enterprise 方案)

1. 如果尚未啟用，請前往「Settings」> Network flow logs」，為尾部網路啟用網路流量記錄。
2. 依序前往「記錄」> 網路流量記錄」。
3. 按一下「開始串流播放」。
4. 選取「Amazon S3」做為目的地。
5. 提供下列設定詳細資料：
   • AWS 帳戶 ID：您的 AWS 帳戶 ID
   • S3 值區名稱：tailscale-logs
   • 角色 ARN：您建立的 IAM 角色 ARN
   • S3 金鑰前置字元：tailscale/network/ (選用)
6. 按一下「開始串流播放」。
7. 確認狀態顯示為「有效」。

選用：為 Google SecOps 建立唯讀 IAM 使用者和金鑰

1. 在 AWS 控制台中，依序前往「IAM」>「Users」>「Add users」。
2. 點選 [Add users] (新增使用者)。
3. 提供下列設定詳細資料：
   • 使用者：secops-reader
   • 存取類型：存取金鑰 - 程式輔助存取
4. 按一下「建立使用者」。
5. 附加最低讀取權限政策 (自訂)：依序選取「使用者」>「secops-reader」>「權限」>「新增權限」>「直接附加政策」>「建立政策」。

6. 在 JSON 編輯器中輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tailscale-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tailscale-logs"
       }
     ]
   }
   

7. 將名稱設為 secops-reader-policy。

8. 依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。

9. 依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。

10. 下載 CSV (這些值會輸入至動態饋給)。

在 Google SecOps 中設定動態饋給，擷取 Tailscale 記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「+ 新增動態消息」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tailscale logs)。
4. 選取「Amazon S3 V2」做為「來源類型」。
5. 選取「Tailscale」做為「記錄類型」。
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • S3 URI：s3://tailscale-logs/tailscale/
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。