本頁面由 Cloud Translation API 翻譯而成。

收集 Tanium 資產記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用兩種不同方法，將 Tanium 資產記錄擷取至 Google Security Operations。您可以選擇透過 Bindplane 轉送 Tanium Connect 的原生 Amazon S3 匯出或即時系統記錄。這兩種方法都會使用 Tanium Connect 模組，從 Tanium 擷取資產資料，並轉送至 Chronicle 進行分析和監控。剖析器會將原始記錄轉換為符合 Chronicle UDM 的結構化格式。為此，它會先將各種輸入格式 (JSON、Syslog) 的鍵/值組合正規化，然後將擷取的欄位對應至代表資產、使用者和關係實體的巢狀 JSON 物件中，對應的 UDM 屬性。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Tanium 控制台 (Connect 模組) 的特殊權限，可設定匯出目的地
選擇偏好的整合方式：
- 選項 1 (建議)：具備 AWS (S3、IAM) 的存取權，可進行原生 S3 匯出作業
- 方法 2：Windows 2016 以上版本，或具有 systemd 的 Linux 主機，可安裝 Bindplane 代理程式

方法 1：使用 AWS S3 設定 Tanium Asset 記錄匯出功能

建立 Amazon S3 bucket

按照這份使用者指南建立 Amazon S3 bucket：建立 bucket
儲存 bucket 的「名稱」和「區域」，以供日後參考 (例如 tanium-asset-logs)。
按照這份使用者指南建立使用者：建立 IAM 使用者。
選取建立的「使用者」。
選取「安全憑證」分頁標籤。
在「Access Keys」部分中，按一下「Create Access Key」。
選取「第三方服務」做為「用途」。
點選「下一步」。
選用：新增說明標記。
按一下「建立存取金鑰」。
按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
按一下 [完成]。
選取 [權限] 分頁標籤。
在「Permissions policies」(權限政策) 區段中，按一下「Add permissions」(新增權限)。
選取「新增權限」。
選取「直接附加政策」
搜尋並選取 AmazonS3FullAccess 政策。
點選「下一步」。
按一下「Add permissions」。

設定 Tanium Connect，以便匯出至 S3

以管理員權限登入 Tanium Console。
依序前往「模組」>「連結」>「總覽」，然後按一下「建立連結」。
點選「建立」。
提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google SecOps Asset S3 Export)。
- 說明：這項連線的選填說明。
- 啟用：選取「啟用」，即可按照時間表執行。
點選「下一步」。
在「來源」設定中：
- 來源：選取「已儲存的問題」。
- 問題：選擇現有的已儲存問題 (會傳回資產資料)，或使用資產相關感應器建立新問題 (例如電腦名稱、IP 位址、作業系統平台、網域)。
- 電腦群組：選取要收集資產資料的電腦群組。
點選「下一步」。
在「目的地」設定中：
- 目的地：選擇「AWS S3」。
- 「名稱」：輸入目的地名稱 (例如 Chronicle Asset S3)。
- AWS 存取金鑰 ID：輸入 IAM 使用者的存取金鑰 ID。
- AWS 存取密鑰：輸入 IAM 使用者的存取密鑰。
- S3 值區名稱：tanium-asset-logs。
- S3 金鑰前置字串：tanium/assets/ (機構的選用前置字串)。
- 地區：選取 S3 儲存空間所在的 AWS 地區。
點選「下一步」。
在「格式設定」設定中：
- 格式：選取「JSON」，匯出結構化資料。
- 資料欄：選取要匯出的資產欄位，並適當設定格式。
點選「下一步」。
在「時間表」設定中：
- 排程：設定放送排程 (例如每小時或每天)。
- 開始日期/時間：設定連線的開始執行時間。
按一下「儲存」即可建立連線，並開始自動匯出 S3 資料。

選用：為 Google SecOps 建立唯讀 IAM 使用者和金鑰

依序前往 AWS 管理中心 > IAM > 使用者 > 新增使用者。
點選 [Add users] (新增使用者)。
提供下列設定詳細資料：
- 使用者：輸入 secops-reader。
- 存取類型：選取「存取金鑰 - 程式輔助存取」。
按一下「建立使用者」。
附加最低讀取權限政策 (自訂)：依序選取「Users」(使用者) >「secops-reader」>「Permissions」(權限) >「Add permissions」(新增權限) >「Attach policies directly」(直接附加政策) >「Create policy」(建立政策)。

在 JSON 編輯器中輸入下列政策：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-asset-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-asset-logs"
    }
  ]
}

將名稱設為 secops-reader-policy。
依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。
依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。
下載 CSV (這些值會輸入至動態饋給)。

在 Google SecOps 中設定動態饋給，擷取 Tanium 資產記錄

依序前往「SIEM 設定」>「動態饋給」。
按一下「+ 新增動態消息」。
在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Asset logs)。
選取「Amazon S3 V2」做為「來源類型」。
選取「Tanium 資產」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- S3 URI：s3://tanium-asset-logs/tanium/assets/
- 來源刪除選項：根據偏好設定選取刪除選項。
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
- 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
- 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間：資產命名空間。
- 擷取標籤：套用至這個動態饋給事件的標籤。
點選「下一步」。
在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

選項 2：使用 Syslog 和 Bindplane 設定 Tanium 資產記錄匯出功能

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <PLACEHOLDER_CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'TANIUM_ASSET'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <PLACEHOLDER_CUSTOMER_ID> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Tanium Asset 上設定 Syslog 轉送

以管理員權限登入 Tanium Console。
依序前往「模組」>「連結」>「總覽」，然後按一下「建立連結」。
點選「建立」。
提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google SecOps Asset Integration)。
- 說明：這項連線的選填說明。
- 啟用：選取「啟用」，即可按照時間表執行。
點選「下一步」。
在「來源」設定中：
- 來源：選取「已儲存的問題」。
- 問題：選擇現有可傳回資產資料的已儲存問題，或使用與資產相關的感應器建立新問題。
- 電腦群組：選取要收集資產資料的電腦群組。
點選「下一步」。
在「目的地」設定中：
- 目的地：選擇「SIEM/Syslog」。
- 「名稱」：輸入目的地名稱 (例如 Chronicle Asset Syslog)。
- 主機：輸入 BindPlane 代理程式 IP 位址。
- 通訊埠：輸入 BindPlane 代理程式通訊埠編號 (例如 514)。
- 「通訊協定」：選取「UDP」。
- 格式：選取「SYSLOG RFC 5424」。
- 時區：選取 UTC 時區，確保各系統的時間一致。
點選「下一步」。
在「格式設定」設定中：
- 格式：選取「JSON」。
- 欄：選取要轉送的資產欄位 (例如電腦名稱、IP 位址、作業系統平台、網域)。
點選「下一步」。
在「時間表」設定中：
- 排程：設定傳送排程 (例如每小時)。
- 開始日期/時間：設定連線的開始執行時間。
按一下「儲存」即可建立連線並開始轉寄。

UDM 對應表

記錄欄位	UDM 對應	邏輯
application_name	entity.metadata.source_labels.value	如果原始記錄中存在「application_name」欄位，系統會從該欄位取得值。
application_vendor	entity.metadata.source_labels.value	如果原始記錄中存在「application_vendor」欄位，系統會從該欄位取得值。
application_version	entity.metadata.product_version	如果原始記錄中存在「application_version」欄位，系統會從該欄位取得值。
BIOS_Current_Language	entity.metadata.source_labels.value	如果原始記錄中存在「BIOS_Current_Language」欄位，則會從該欄位取得值。
BIOS_Release_Date	entity.metadata.source_labels.value	如果原始記錄中存在「BIOS_Release_Date」欄位，則會從該欄位取得值。
BIOS_Vendor	entity.metadata.source_labels.value	如果原始記錄中存在「BIOS_Vendor」欄位，系統會從該欄位取得值。
BIOS_Version	entity.metadata.product_version	如果原始記錄中存在「BIOS_Version」欄位，則會從該欄位取得值。
機殼類型	entity.entity.asset.category	如果原始記錄中存在「機箱類型」欄位，系統會從該欄位取得值。
電腦 ID	entity.entity.asset.product_object_id	如果原始記錄中存在「電腦 ID」欄位，系統會從該欄位取得值。也會用來填入實體關係實體資產資產 ID，並加上「id: 」前置字串。
電腦名稱	entity.entity.asset.hostname	如果原始記錄中存在「電腦名稱」欄位，則會從該欄位取得值。
數量	entity.metadata.source_labels.value	如果原始記錄中存在「Count」欄位，系統會從該欄位取得值。
端點指紋	entity.entity.asset.hardware.serial_number	如果原始記錄中存在「端點指紋」欄位，系統會從該欄位取得值。
IP 位址	entity.entity.asset.ip	系統會從「IP 位址」欄位擷取值，並以個別 IP 位址的形式新增至陣列。
上次登入的使用者	entity.relations.entity.user.userid	如果原始記錄中存在網域前置字元，系統會移除該字元，並從「上次登入的使用者」欄位取得值。
上次重新啟動	entity.entity.asset.last_boot_time	如果原始記錄中存在「上次重新啟動」欄位，系統會從該欄位剖析值，並將其格式設為時間戳記。
MAC 位址	entity.entity.asset.mac	系統會從「MAC 位址」欄位擷取值，並以個別 MAC 位址的形式新增至陣列。
製造商	entity.entity.asset.hardware.manufacturer	如果原始記錄中存在「製造商」欄位，系統會從該欄位取得值。
作業系統	entity.entity.asset.platform_software.platform_version	如果原始記錄中存在「作業系統」欄位，系統會從該欄位取得值。用於判斷實體.實體.資產.平台軟體.平台 (WINDOWS、LINUX 或 MAC) 的值。
platform	entity.entity.asset.platform_software.platform_version	如果原始記錄中存在「平台」欄位，系統會從該欄位取得值。用於判斷實體.實體.資產.平台軟體.平台 (WINDOWS、LINUX 或 MAC) 的值。
serial_number	entity.entity.asset.hardware.serial_number	如果原始記錄中存在「serial_number」欄位，系統會從該欄位取得值。
版本	entity.entity.asset.platform_software.platform_version	如果原始記錄中存在「版本」欄位，系統會從該欄位擷取值。用於判斷實體.實體.資產.平台軟體.平台 (WINDOWS、LINUX 或 MAC) 的值。
不適用	entity.metadata.collected_timestamp	設為批次的 create_time。
不適用	entity.metadata.vendor_name	一律設為「TANIUM_ASSET」。
不適用	entity.metadata.product_name	一律設為「TANIUM_ASSET」。
不適用	entity.metadata.entity_type	一律設為「ASSET」。
不適用	entity.relations.entity_type	一律設為「USER」。
不適用	entity.relations.relationship	一律設為「OWNS」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。