Tanium Asset-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Tanium Asset-Logs mit zwei verschiedenen Methoden in Google Security Operations aufnehmen. Sie können zwischen dem nativen Amazon S3-Export von Tanium Connect oder der Echtzeit-Syslog-Weiterleitung über Bindplane wählen. Bei beiden Methoden wird das Tanium Connect-Modul verwendet, um Asset-Daten aus Tanium zu extrahieren und zur Analyse und Überwachung an Chronicle weiterzuleiten. Der Parser wandelt Rohlogs in ein strukturiertes Format um, das dem Chronicle-UDM entspricht. Dazu werden zuerst Schlüssel/Wert-Paare aus verschiedenen Eingabeformaten (JSON, Syslog) normalisiert und dann die extrahierten Felder den entsprechenden UDM-Attributen in verschachtelten JSON-Objekten zugeordnet, die Asset-, Nutzer- und Beziehungsentitäten darstellen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Privilegierter Zugriff auf die Tanium Console (Connect-Modul) zum Konfigurieren von Exportzielen
• Wählen Sie die gewünschte Integrationsmethode aus:
  • Option 1 (empfohlen): Privilegierter Zugriff auf AWS (S3, IAM) für den nativen S3-Export
  • Option 2: Windows 2016 oder höher oder ein Linux-Host mit systemd für die Installation des Bindplane-Agents

Option 1: Export von Tanium Asset-Protokollen mit AWS S3 konfigurieren

Amazon S3-Bucket erstellen

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. tanium-asset-logs).
3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
15. Wählen Sie Berechtigungen hinzufügen aus.
16. Wählen Sie Richtlinien direkt anhängen aus.
17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
18. Klicken Sie auf Weiter.
19. Klicken Sie auf Berechtigungen hinzufügen.

Tanium Connect für den S3-Export konfigurieren

1. Melden Sie sich mit Administratorberechtigungen in der Tanium Console an.
2. Klicken Sie auf Module > „Verbinden“ > „Übersicht“ und dann auf Verbindung erstellen.
3. Klicken Sie auf Erstellen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Asset S3 Export.
   • Beschreibung: Optionale Beschreibung für diese Verbindung.
   • Aktivieren: Wählen Sie Aktivieren aus, um die Ausführung nach Zeitplan zu aktivieren.
5. Klicken Sie auf Weiter.
6. In der Quellkonfiguration:
   • Quelle: Wählen Sie Gespeicherte Frage aus.
   • Frage: Wählen Sie eine vorhandene gespeicherte Frage aus, die Asset-Daten zurückgibt, oder erstellen Sie eine neue Frage mit Asset-bezogenen Sensoren (z. B. Computername, IP-Adresse, Betriebssystemplattform, Domain).
   • Computer Group (Computergruppe): Wählen Sie die Computergruppe aus, auf die die Erfassung von Asset-Daten ausgerichtet werden soll.
7. Klicken Sie auf Weiter.
8. In der Zielkonfiguration:
   • Ziel: Wählen Sie AWS S3 aus.
   • Name: Geben Sie einen Zielnamen ein, z. B. Chronicle Asset S3.
   • AWS-Zugriffsschlüssel-ID: Geben Sie die Zugriffsschlüssel-ID des IAM-Nutzers ein.
   • Geheimer AWS-Zugriffsschlüssel: Geben Sie den geheimen Zugriffsschlüssel des IAM-Nutzers ein.
   • S3-Bucket-Name: tanium-asset-logs.
   • S3-Schlüsselpräfix: tanium/assets/ (optionales Präfix für die Organisation).
   • Region: Wählen Sie die AWS-Region aus, in der sich Ihr S3-Bucket befindet.
9. Klicken Sie auf Weiter.
10. In der Konfiguration Formatierung:
    • Format: Wählen Sie JSON für den Export strukturierter Daten aus.
    • Spalten: Wählen Sie die Asset-Felder aus, die Sie exportieren möchten, und formatieren Sie sie entsprechend.
11. Klicken Sie auf Weiter.
12. So konfigurieren Sie den Zeitplan:
    • Zeitplan: Konfigurieren Sie den Auslieferungszeitplan (z. B. stündlich oder täglich).
    • Startdatum/Startzeit: Legen Sie fest, wann die Verbindung ausgeführt werden soll.
13. Klicken Sie auf Speichern, um die Verbindung herzustellen und den automatischen S3-Export zu starten.

Optional: IAM-Nutzer mit Lesezugriff und Schlüssel für Google SecOps erstellen

1. Rufen Sie die AWS-Konsole > IAM > Nutzer > Nutzer hinzufügen auf.
2. Klicken Sie auf Add users (Nutzer hinzufügen).
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Nutzer: Geben Sie secops-reader ein.
   • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
4. Klicken Sie auf Nutzer erstellen.
5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tanium-asset-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tanium-asset-logs"
       }
     ]
   }
   

7. Legen Sie secops-reader-policy als Name fest.

8. Gehen Sie zu Richtlinie erstellen> suchen/auswählen > Weiter > Berechtigungen hinzufügen.

9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

10. Laden Sie die CSV herunter (diese Werte werden in den Feed eingegeben).

Feed in Google SecOps konfigurieren, um Tanium Asset-Protokolle aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf + Neuen Feed hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tanium Asset logs.
4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
5. Wählen Sie Tanium Asset als Log type (Protokolltyp) aus.
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • S3-URI: s3://tanium-asset-logs/tanium/assets/
   • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Option 2: Tanium Asset-Protokollexport mit Syslog und Bindplane konfigurieren

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Konfigurationsdatei aufrufen:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'TANIUM_ASSET'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
   • Ersetzen Sie <PLACEHOLDER_CUSTOMER_ID> durch die tatsächliche Kunden-ID.
   • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Syslog-Weiterleitung auf Tanium Asset konfigurieren

1. Melden Sie sich mit Administratorberechtigungen in der Tanium Console an.
2. Klicken Sie auf Module > „Verbinden“ > „Übersicht“ und dann auf Verbindung erstellen.
3. Klicken Sie auf Erstellen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Asset Integration.
   • Beschreibung: Optionale Beschreibung für diese Verbindung.
   • Aktivieren: Wählen Sie Aktivieren aus, um die Ausführung nach Zeitplan zu aktivieren.
5. Klicken Sie auf Weiter.
6. In der Quellkonfiguration:
   • Quelle: Wählen Sie Gespeicherte Frage aus.
   • Frage: Wählen Sie eine vorhandene gespeicherte Frage aus, die Asset-Daten zurückgibt, oder erstellen Sie eine neue Frage mit Asset-bezogenen Sensoren.
   • Computer Group (Computergruppe): Wählen Sie die Computergruppe aus, auf die die Erfassung von Asset-Daten ausgerichtet werden soll.
7. Klicken Sie auf Weiter.
8. In der Zielkonfiguration:
   • Ziel: Wählen Sie SIEM/Syslog aus.
   • Name: Geben Sie einen Zielnamen ein, z. B. Chronicle Asset Syslog.
   • Host: Geben Sie die IP-Adresse des BindPlane-Agents ein.
   • Port: Geben Sie die Portnummer des BindPlane-Agents ein (z. B. 514).
   • Protokoll: Wählen Sie UDP aus.
   • Format: Wählen Sie SYSLOG RFC 5424 aus.
   • Zeitzone: Wählen Sie die Zeitzone UTC aus, um eine universelle Konsistenz zwischen den Systemen zu gewährleisten.
9. Klicken Sie auf Weiter.
10. In der Konfiguration Formatierung:
    • Format: Wählen Sie JSON aus.
    • Spalten: Wählen Sie die Asset-Felder aus, die Sie weiterleiten möchten, z. B. „Computer Name“ (Computername), „IP Address“ (IP-Adresse), „OS Platform“ (Betriebssystemplattform) und „Domain“ (Domain).
11. Klicken Sie auf Weiter.
12. So konfigurieren Sie den Zeitplan:
    • Zeitplan: Konfigurieren Sie den Auslieferungszeitplan (z. B. stündlich).
    • Startdatum/Startzeit: Legen Sie fest, wann die Verbindung ausgeführt werden soll.
13. Klicken Sie auf Speichern, um die Verbindung zu erstellen und die Weiterleitung zu starten.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
application_name	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „application_name“ übernommen, sofern es im Rohlog vorhanden ist.
application_vendor	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „application_vendor“ übernommen, sofern es im Rohlog vorhanden ist.
application_version	entity.metadata.product_version	Der Wert wird aus dem Feld „application_version“ übernommen, sofern es im Rohlog vorhanden ist.
BIOS_Current_Language	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „BIOS_Current_Language“ übernommen, sofern es im Rohlog vorhanden ist.
BIOS_Release_Date	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „BIOS_Release_Date“ übernommen, sofern es im Rohlog vorhanden ist.
BIOS_Vendor	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „BIOS_Vendor“ übernommen, sofern es im Rohlog vorhanden ist.
BIOS_Version	entity.metadata.product_version	Der Wert wird aus dem Feld „BIOS_Version“ übernommen, sofern es im Rohlog vorhanden ist.
Gehäusetyp	entity.entity.asset.category	Der Wert wird aus dem Feld „Chassis Type“ (Chassistyp) übernommen, sofern es im Rohlog vorhanden ist.
Computer-ID	entity.entity.asset.product_object_id	Der Wert wird aus dem Feld „Computer-ID“ übernommen, sofern es im Rohlog vorhanden ist. Wird auch verwendet, um entity.relations.entity.asset.asset_id mit dem Präfix „id: “ zu füllen.
Computername	entity.entity.asset.hostname	Der Wert wird aus dem Feld „Computer Name“ (Computername) übernommen, sofern es im Rohlog vorhanden ist.
Anzahl	entity.metadata.source_labels.value	Der Wert wird aus dem Feld „Count“ (Anzahl) übernommen, sofern es im Rohlog vorhanden ist.
Endpunkt-Fingerprint	entity.entity.asset.hardware.serial_number	Der Wert wird aus dem Feld „Endpoint Fingerprint“ (Endpunkt-Fingerabdruck) übernommen, sofern es im Rohlog vorhanden ist.
IP-Adresse	entity.entity.asset.ip	Die Werte werden aus dem Feld „IP-Adresse“ übernommen und als separate IP-Adressen dem Array hinzugefügt.
Nutzer, der sich zuletzt angemeldet hat	entity.relations.entity.user.userid	Der Wert wird aus dem Feld „Last Logged In User“ (Zuletzt angemeldeter Nutzer) übernommen. Ein Domainpräfix wird entfernt, sofern es im Rohlog vorhanden ist.
Letzter Neustart	entity.entity.asset.last_boot_time	Der Wert wird aus dem Feld „Letzter Neustart“ geparst und als Zeitstempel formatiert, sofern er im Rohlog vorhanden ist.
MAC-Adresse	entity.entity.asset.mac	Die Werte werden aus dem Feld „MAC-Adresse“ übernommen und als separate MAC-Adressen in das Array eingefügt.
Hersteller	entity.entity.asset.hardware.manufacturer	Der Wert wird aus dem Feld „Hersteller“ übernommen, sofern es im Rohlog vorhanden ist.
Betriebssystem	entity.entity.asset.platform_software.platform_version	Der Wert wird aus dem Feld „Betriebssystem“ übernommen, sofern es im Rohlog vorhanden ist. Wird verwendet, um den Wert von „entity.entity.asset.platform_software.platform“ (WINDOWS, LINUX oder MAC) zu ermitteln.
Plattform	entity.entity.asset.platform_software.platform_version	Der Wert wird aus dem Feld „platform“ übernommen, sofern es im Rohlog vorhanden ist. Wird verwendet, um den Wert von „entity.entity.asset.platform_software.platform“ (WINDOWS, LINUX oder MAC) zu ermitteln.
serial_number	entity.entity.asset.hardware.serial_number	Der Wert wird aus dem Feld „serial_number“ übernommen, sofern es im Rohlog vorhanden ist.
Version	entity.entity.asset.platform_software.platform_version	Der Wert wird aus dem Feld „version“ übernommen, sofern es im Rohlog vorhanden ist. Wird verwendet, um den Wert von „entity.entity.asset.platform_software.platform“ (WINDOWS, LINUX oder MAC) zu ermitteln.
–	entity.metadata.collected_timestamp	Auf die create_time des Batches festgelegt.
–	entity.metadata.vendor_name	Immer auf „TANIUM_ASSET“ festgelegt.
–	entity.metadata.product_name	Immer auf „TANIUM_ASSET“ festgelegt.
–	entity.metadata.entity_type	Immer auf „ASSET“ festgelegt.
–	entity.relations.entity_type	Immer auf „USER“ festgelegt.
–	entity.relations.relationship	Immer auf „OWNS“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten