Recopila registros de activos de Tanium

En este documento, se explica cómo transferir registros de activos de Tanium a Google Security Operations con dos métodos diferentes. Puedes elegir entre la exportación nativa de Amazon S3 de Tanium Connect o el reenvío de syslog en tiempo real a través de Bindplane. Ambos métodos usan el módulo Tanium Connect para extraer datos de activos de Tanium y reenviarlos a Chronicle para su análisis y supervisión. El analizador transforma los registros sin procesar en un formato estructurado que se ajusta al UDM de Chronicle. Para ello, primero normaliza los pares clave-valor de varios formatos de entrada (JSON, Syslog) y, luego, asigna los campos extraídos a los atributos correspondientes del UDM dentro de objetos JSON anidados que representan entidades de activos, usuarios y relaciones.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Acceso con privilegios a la consola de Tanium (módulo Connect) para configurar destinos de exportación
• Elige tu método de integración preferido:
  • Opción 1 (recomendada): Acceso con privilegios a AWS (S3, IAM) para la exportación nativa de S3
  • Opción 2: Windows 2016 o posterior, o un host de Linux con systemd para la instalación del agente de Bindplane

Opción 1: Configura la exportación de registros de Tanium Asset con AWS S3

Crea un bucket de Amazon S3

1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, tanium-asset-logs).
3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
4. Selecciona el usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
7. Selecciona Servicio de terceros como el Caso de uso.
8. Haz clic en Siguiente.
9. Opcional: Agrega una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Agregar permisos en la sección Políticas de permisos.
15. Selecciona Agregar permisos.
16. Selecciona Adjuntar políticas directamente.
17. Busca y selecciona la política AmazonS3FullAccess.
18. Haz clic en Siguiente.
19. Haz clic en Agregar permisos.

Configura Tanium Connect para la exportación a S3

1. Accede a la Consola de Tanium con privilegios de administrador.
2. Ve a Modules > Connect > Overview y haz clic en Create Connection.
3. Haz clic en Crear.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Asset S3 Export).
   • Descripción: Es una descripción opcional para esta conexión.
   • Habilitar: Selecciona Habilitar para ejecutar la rutina según un programa.
5. Haz clic en Siguiente.
6. En la configuración de Fuente, haz lo siguiente:
   • Fuente: Selecciona Pregunta guardada.
   • Pregunta: Elige una pregunta guardada existente que devuelva datos de activos o crea una nueva con sensores relacionados con activos (por ejemplo, nombre de la computadora, dirección IP, plataforma del SO, dominio).
   • Grupo de computadoras: Selecciona el grupo de computadoras al que se segmentará la recopilación de datos de activos.
7. Haz clic en Siguiente.
8. En la configuración de Destino, haz lo siguiente:
   • Destino: Elige AWS S3.
   • Nombre: Ingresa un nombre de destino (por ejemplo, Chronicle Asset S3).
   • ID de clave de acceso de AWS: Ingresa el ID de clave de acceso del usuario de IAM.
   • Clave de acceso secreta de AWS: Ingresa la clave de acceso secreta del usuario de IAM.
   • Nombre del bucket de S3: tanium-asset-logs.
   • Prefijo de clave de S3: tanium/assets/ (prefijo opcional para la organización)
   • Región: Selecciona la región de AWS en la que se encuentra tu bucket de S3.
9. Haz clic en Siguiente.
10. En la configuración de Formato, haz lo siguiente:
    • Formato: Selecciona JSON para exportar datos estructurados.
    • Columnas: Selecciona los campos de recursos que deseas exportar y aplícales el formato adecuado.
11. Haz clic en Siguiente.
12. En la configuración de Programación, haz lo siguiente:
    • Programa: Configura el programa de entrega (por ejemplo, cada hora o diariamente).
    • Fecha y hora de inicio: Establece cuándo debe comenzar a ejecutarse la conexión.
13. Haz clic en Guardar para crear la conexión y comenzar la exportación automatizada a S3.

Opcional: Crea un usuario y claves de IAM de solo lectura para Google SecOps

1. Ve a Consola de AWS > IAM > Usuarios > Agregar usuarios.
2. Haz clic en Agregar usuarios.
3. Proporciona los siguientes detalles de configuración:
   • Usuario: Ingresa secops-reader.
   • Tipo de acceso: Selecciona Clave de acceso: Acceso programático.
4. Haz clic en Crear usuario.
5. Adjunta una política de lectura mínima (personalizada): Usuarios > secops-reader > Permisos > Agregar permisos > Adjuntar políticas directamente > Crear política.

6. En el editor de JSON, ingresa la siguiente política:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tanium-asset-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tanium-asset-logs"
       }
     ]
   }
   

7. Configura el nombre como secops-reader-policy.

8. Ve a Crear política > busca o selecciona > Siguiente > Agregar permisos.

9. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

10. Descarga el archivo CSV (estos valores se ingresan en el feed).

Configura un feed en Google SecOps para transferir registros de Tanium Asset

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en + Agregar feed nuevo.
3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Tanium Asset logs).
4. Selecciona Amazon S3 V2 como el Tipo de fuente.
5. Selecciona Tanium Asset como el Tipo de registro.
6. Haz clic en Siguiente.
7. Especifica valores para los siguientes parámetros de entrada:
   • URI de S3: s3://tanium-asset-logs/tanium/assets/
   • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
   • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
   • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
   • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
   • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Opción 2: Configura la exportación de registros de Tanium Asset con syslog y Bindplane

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'TANIUM_ASSET'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <PLACEHOLDER_CUSTOMER_ID> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura el reenvío de Syslog en Tanium Asset

1. Accede a la Consola de Tanium con privilegios de administrador.
2. Ve a Modules > Connect > Overview y haz clic en Create Connection.
3. Haz clic en Crear.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Asset Integration).
   • Descripción: Es una descripción opcional para esta conexión.
   • Habilitar: Selecciona Habilitar para ejecutar la rutina según un programa.
5. Haz clic en Siguiente.
6. En la configuración de Fuente, haz lo siguiente:
   • Fuente: Selecciona Pregunta guardada.
   • Pregunta: Elige una pregunta guardada existente que devuelva datos de activos o crea una nueva con sensores relacionados con activos.
   • Grupo de computadoras: Selecciona el grupo de computadoras al que se segmentará la recopilación de datos de activos.
7. Haz clic en Siguiente.
8. En la configuración de Destino, haz lo siguiente:
   • Destino: Elige SIEM/Syslog.
   • Nombre: Ingresa un nombre de destino (por ejemplo, Chronicle Asset Syslog).
   • Host: Ingresa la dirección IP del agente de BindPlane.
   • Puerto: Ingresa el número de puerto del agente de BindPlane (por ejemplo, 514).
   • Protocolo: Selecciona UDP.
   • Formato: Selecciona SYSLOG RFC 5424.
   • Zona horaria: Selecciona la zona horaria UTC para garantizar la coherencia universal en todos los sistemas.
9. Haz clic en Siguiente.
10. En la configuración de Formato, haz lo siguiente:
    • Formato: Selecciona JSON.
    • Columnas: Selecciona los campos de activos que deseas reenviar (por ejemplo, Nombre del equipo, Dirección IP, Plataforma del SO, Dominio).
11. Haz clic en Siguiente.
12. En la configuración de Programación, haz lo siguiente:
    • Programa: Configura el programa de entrega (por ejemplo, cada hora).
    • Fecha y hora de inicio: Establece cuándo debe comenzar a ejecutarse la conexión.
13. Haz clic en Guardar para crear la conexión y comenzar el reenvío.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
application_name	entity.metadata.source_labels.value	El valor se toma del campo "application_name" si existe en el registro sin procesar.
application_vendor	entity.metadata.source_labels.value	El valor se toma del campo "application_vendor" si existe en el registro sin procesar.
application_version	entity.metadata.product_version	El valor se toma del campo "application_version" si existe en el registro sin procesar.
BIOS_Current_Language	entity.metadata.source_labels.value	El valor se toma del campo "BIOS_Current_Language" si existe en el registro sin procesar.
BIOS_Release_Date	entity.metadata.source_labels.value	El valor se toma del campo "BIOS_Release_Date" si existe en el registro sin procesar.
BIOS_Vendor	entity.metadata.source_labels.value	El valor se toma del campo "BIOS_Vendor" si existe en el registro sin procesar.
BIOS_Version	entity.metadata.product_version	El valor se toma del campo "BIOS_Version" si existe en el registro sin procesar.
Tipo de chasis	entity.entity.asset.category	El valor se toma del campo "Chassis Type" si existe en el registro sin procesar.
ID de la computadora	entity.entity.asset.product_object_id	El valor se toma del campo "ID de la computadora" si existe en el registro sin procesar. También se usa para propagar entity.relations.entity.asset.asset_id con el prefijo "id: ".
Nombre de la computadora	entity.entity.asset.hostname	El valor se toma del campo "Nombre del equipo" si existe en el registro sin procesar.
Recuento	entity.metadata.source_labels.value	El valor se toma del campo "Recuento" si existe en el registro sin procesar.
Huella digital del extremo	entity.entity.asset.hardware.serial_number	El valor se toma del campo "Huella digital del extremo" si existe en el registro sin procesar.
Dirección IP	entity.entity.asset.ip	Los valores se toman del campo "Dirección IP" y se agregan como direcciones IP independientes al array.
Último usuario que accedió	entity.relations.entity.user.userid	El valor se toma del campo "Last Logged In User", con cualquier prefijo de dominio quitado, si existe en el registro sin procesar.
Último reinicio	entity.entity.asset.last_boot_time	El valor se analiza a partir del campo "Último reinicio" y se formatea como una marca de tiempo si existe en el registro sin procesar.
Dirección MAC	entity.entity.asset.mac	Los valores se toman del campo "Dirección MAC" y se agregan como direcciones MAC independientes al array.
Fabricante	entity.entity.asset.hardware.manufacturer	El valor se toma del campo "Fabricante" si existe en el registro sin procesar.
Sistema operativo	entity.entity.asset.platform_software.platform_version	El valor se toma del campo "Operating System" si existe en el registro sin procesar. Se usa para determinar el valor de entity.entity.asset.platform_software.platform (WINDOWS, LINUX o MAC).
plataforma	entity.entity.asset.platform_software.platform_version	El valor se toma del campo "plataforma" si existe en el registro sin procesar. Se usa para determinar el valor de entity.entity.asset.platform_software.platform (WINDOWS, LINUX o MAC).
serial_number	entity.entity.asset.hardware.serial_number	El valor se toma del campo "serial_number" si existe en el registro sin procesar.
version	entity.entity.asset.platform_software.platform_version	El valor se toma del campo "version" si existe en el registro sin procesar. Se usa para determinar el valor de entity.entity.asset.platform_software.platform (WINDOWS, LINUX o MAC).
N/A	entity.metadata.collected_timestamp	Se establece en la fecha y hora de creación del lote.
N/A	entity.metadata.vendor_name	Siempre se establece en "TANIUM_ASSET".
N/A	entity.metadata.product_name	Siempre se establece en "TANIUM_ASSET".
N/A	entity.metadata.entity_type	Siempre se establece en "ASSET".
N/A	entity.relations.entity_type	Siempre se establece en "USER".
N/A	entity.relations.relationship	Siempre se establece en "OWNS".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.