Mengumpulkan log Aset Tanium

Dokumen ini menjelaskan cara menyerap log Aset Tanium ke Google Security Operations menggunakan dua metode yang berbeda. Anda dapat memilih antara ekspor Amazon S3 native Tanium Connect atau penerusan syslog real-time melalui Bindplane. Kedua metode menggunakan modul Tanium Connect untuk mengekstrak data aset dari Tanium dan meneruskannya ke Chronicle untuk dianalisis dan dipantau. Parser mengubah log mentah menjadi format terstruktur yang sesuai dengan UDM Chronicle. Hal ini dilakukan dengan menormalisasi terlebih dahulu pasangan nilai kunci dari berbagai format input (JSON, Syslog), lalu memetakan kolom yang diekstrak ke atribut UDM yang sesuai dalam objek JSON bertingkat yang merepresentasikan entitas aset, pengguna, dan hubungan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke Konsol Tanium (modul Connect) untuk mengonfigurasi tujuan ekspor
• Pilih metode integrasi yang Anda inginkan:
  • Opsi 1 (Direkomendasikan): Akses istimewa ke AWS (S3, IAM) untuk ekspor S3 native
  • Opsi 2: Windows 2016 atau yang lebih baru, atau host Linux dengan systemd untuk penginstalan agen BindPlane

Opsi 1: Mengonfigurasi ekspor log Aset Tanium menggunakan AWS S3

Buat bucket Amazon S3

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-asset-logs).
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
12. Klik Selesai.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Add permissions.

Mengonfigurasi Tanium Connect untuk ekspor S3

1. Login ke Konsol Tanium dengan hak istimewa administrator.
2. Buka Modules > Connect > Overview, lalu klik Create Connection.
3. Klik Buat.
4. Berikan detail konfigurasi berikut:
   • Nama: Masukkan nama deskriptif (misalnya, Google SecOps Asset S3 Export).
   • Deskripsi: Deskripsi opsional untuk koneksi ini.
   • Aktifkan: Pilih Aktifkan untuk menjalankan jadwal.
5. Klik Berikutnya.
6. Di konfigurasi Sumber:
   • Sumber: Pilih Pertanyaan Tersimpan.
   • Pertanyaan: Pilih pertanyaan tersimpan yang sudah ada yang menampilkan data Aset atau buat pertanyaan baru dengan sensor terkait Aset (misalnya, Nama Komputer, Alamat IP, Platform OS, Domain).
   • Grup Komputer: Pilih grup komputer yang akan ditargetkan untuk pengumpulan data aset.
7. Klik Berikutnya.
8. Dalam konfigurasi Tujuan:
   • Tujuan: Pilih AWS S3.
   • Nama: Masukkan nama tujuan (misalnya, Chronicle Asset S3).
   • ID Kunci Akses AWS: Masukkan ID Kunci Akses dari pengguna IAM.
   • AWS Secret Access Key: Masukkan Secret Access Key dari pengguna IAM.
   • S3 Bucket Name: tanium-asset-logs.
   • Awalan Kunci S3: tanium/assets/ (awalan opsional untuk organisasi).
   • Region: Pilih region AWS tempat bucket S3 Anda berada.
9. Klik Berikutnya.
10. Di konfigurasi Pemformatan:
    • Format: Pilih JSON untuk ekspor data terstruktur.
    • Kolom: Pilih kolom Aset yang ingin Anda ekspor dan format dengan tepat.
11. Klik Berikutnya.
12. Di konfigurasi Jadwal:
    • Jadwal: Konfigurasi jadwal penayangan (misalnya, setiap jam atau harian).
    • Tanggal/Waktu Mulai: Tetapkan kapan koneksi harus mulai berjalan.
13. Klik Simpan untuk membuat koneksi dan memulai ekspor S3 otomatis.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

1. Buka Konsol AWS > IAM > Pengguna > Tambahkan pengguna.
2. Klik Add users.
3. Berikan detail konfigurasi berikut:
   • Pengguna: Masukkan secops-reader.
   • Jenis akses: Pilih Kunci akses – Akses terprogram.
4. Klik Buat pengguna.
5. Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

6. Di editor JSON, masukkan kebijakan berikut:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tanium-asset-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tanium-asset-logs"
       }
     ]
   }
   

7. Tetapkan nama ke secops-reader-policy.

8. Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.

9. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

10. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk memproses log Aset Tanium

1. Buka Setelan SIEM > Feed.
2. Klik + Tambahkan Feed Baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Asset logs).
4. Pilih Amazon S3 V2 sebagai Jenis sumber.
5. Pilih Aset Tanium sebagai Jenis log.
6. Klik Berikutnya.
7. Tentukan nilai untuk parameter input berikut:
   • URI S3: s3://tanium-asset-logs/tanium/assets/
   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
   • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
   • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
   • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
   • Namespace aset: namespace aset.
   • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
8. Klik Berikutnya.
9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Opsi 2: Mengonfigurasi ekspor log Aset Tanium menggunakan syslog dan Bindplane

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:

   1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <PLACEHOLDER_CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'TANIUM_ASSET'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
   • Ganti <PLACEHOLDER_CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
   • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi penerusan Syslog di Tanium Asset

1. Login ke Konsol Tanium dengan hak istimewa administrator.
2. Buka Modules > Connect > Overview, lalu klik Create Connection.
3. Klik Buat.
4. Berikan detail konfigurasi berikut:
   • Nama: Masukkan nama deskriptif (misalnya, Google SecOps Asset Integration).
   • Deskripsi: Deskripsi opsional untuk koneksi ini.
   • Aktifkan: Pilih Aktifkan untuk menjalankan jadwal.
5. Klik Berikutnya.
6. Di konfigurasi Sumber:
   • Sumber: Pilih Pertanyaan Tersimpan.
   • Pertanyaan: Pilih pertanyaan tersimpan yang ada yang menampilkan data Aset atau buat pertanyaan baru dengan sensor terkait Aset.
   • Grup Komputer: Pilih grup komputer yang akan ditargetkan untuk pengumpulan data aset.
7. Klik Berikutnya.
8. Dalam konfigurasi Tujuan:
   • Tujuan: Pilih SIEM/Syslog.
   • Nama: Masukkan nama tujuan (misalnya, Chronicle Asset Syslog).
   • Host: Masukkan alamat IP Agen BindPlane.
   • Port: Masukkan nomor port Agen BindPlane (misalnya, 514).
   • Protocol: Pilih UDP.
   • Format: Pilih SYSLOG RFC 5424.
   • Zona waktu: Pilih zona waktu UTC untuk konsistensi universal di seluruh sistem.
9. Klik Berikutnya.
10. Di konfigurasi Pemformatan:
    • Format: Pilih JSON.
    • Kolom: Pilih kolom Aset yang ingin Anda teruskan (misalnya, Nama Komputer, Alamat IP, Platform OS, Domain).
11. Klik Berikutnya.
12. Di konfigurasi Jadwal:
    • Jadwal: Konfigurasi jadwal penayangan (misalnya, setiap jam).
    • Tanggal/Waktu Mulai: Tetapkan kapan koneksi harus mulai berjalan.
13. Klik Simpan untuk membuat koneksi dan mulai meneruskan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
application_name	entity.metadata.source_labels.value	Nilai diambil dari kolom "application_name" jika ada di log mentah.
application_vendor	entity.metadata.source_labels.value	Nilai diambil dari kolom "application_vendor" jika ada di log mentah.
application_version	entity.metadata.product_version	Nilai diambil dari kolom "application_version" jika ada di log mentah.
BIOS_Current_Language	entity.metadata.source_labels.value	Nilai diambil dari kolom "BIOS_Current_Language" jika ada di log mentah.
BIOS_Release_Date	entity.metadata.source_labels.value	Nilai diambil dari kolom "BIOS_Release_Date" jika ada di log mentah.
BIOS_Vendor	entity.metadata.source_labels.value	Nilai diambil dari kolom "BIOS_Vendor" jika ada di log mentah.
BIOS_Version	entity.metadata.product_version	Nilai diambil dari kolom "BIOS_Version" jika ada di log mentah.
Jenis Sasis	entity.entity.asset.category	Nilai diambil dari kolom "Jenis Sasis" jika ada di log mentah.
ID Komputer	entity.entity.asset.product_object_id	Nilai diambil dari kolom "ID Komputer" jika ada di log mentah. Juga digunakan untuk mengisi entity.relations.entity.asset.asset_id dengan awalan "id: ".
Nama Komputer	entity.entity.asset.hostname	Nilai diambil dari kolom "Nama Komputer" jika ada di log mentah.
Jumlah	entity.metadata.source_labels.value	Nilai diambil dari kolom "Count" jika ada di log mentah.
Sidik Jari Endpoint	entity.entity.asset.hardware.serial_number	Nilai diambil dari kolom "Endpoint Fingerprint" jika ada di log mentah.
Alamat IP	entity.entity.asset.ip	Nilai diambil dari kolom "Alamat IP" dan ditambahkan sebagai alamat IP terpisah ke array.
Pengguna Terakhir yang Login	entity.relations.entity.user.userid	Nilai diambil dari kolom "Pengguna Terakhir Login", dengan awalan domain dihapus, jika ada di log mentah.
Reboot Terakhir	entity.entity.asset.last_boot_time	Nilai diuraikan dari kolom "Reboot Terakhir" dan diformat sebagai stempel waktu jika ada di log mentah.
Alamat MAC	entity.entity.asset.mac	Nilai diambil dari kolom "Alamat MAC" dan ditambahkan sebagai alamat MAC terpisah ke array.
Produsen	entity.entity.asset.hardware.manufacturer	Nilai diambil dari kolom "Produsen" jika ada di log mentah.
Sistem Operasi	entity.entity.asset.platform_software.platform_version	Nilai diambil dari kolom "Sistem Operasi" jika ada di log mentah. Digunakan untuk menentukan nilai entity.entity.asset.platform_software.platform (WINDOWS, LINUX, atau MAC).
platform	entity.entity.asset.platform_software.platform_version	Nilai diambil dari kolom "platform" jika ada di log mentah. Digunakan untuk menentukan nilai entity.entity.asset.platform_software.platform (WINDOWS, LINUX, atau MAC).
serial_number	entity.entity.asset.hardware.serial_number	Nilai diambil dari kolom "serial_number" jika ada di log mentah.
versi	entity.entity.asset.platform_software.platform_version	Nilai diambil dari kolom "versi" jika ada di log mentah. Digunakan untuk menentukan nilai entity.entity.asset.platform_software.platform (WINDOWS, LINUX, atau MAC).
T/A	entity.metadata.collected_timestamp	Disetel ke create_time batch.
T/A	entity.metadata.vendor_name	Selalu ditetapkan ke "TANIUM_ASSET".
T/A	entity.metadata.product_name	Selalu ditetapkan ke "TANIUM_ASSET".
T/A	entity.metadata.entity_type	Selalu ditetapkan ke "ASSET".
T/A	entity.relations.entity_type	Selalu ditetapkan ke "USER".
T/A	entity.relations.relationship	Selalu ditetapkan ke "MEMILIKI".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.