Collecter les journaux d'audit Tanium

Ce document explique comment ingérer des journaux d'audit Tanium dans Google Security Operations à l'aide d'Amazon S3 et de la fonctionnalité d'exportation S3 native de Tanium Connect. L'analyseur extrait les journaux, en effaçant d'abord de nombreux champs par défaut. Il analyse ensuite le message du journal à l'aide de grok et du filtre JSON, en extrayant des champs tels que l'horodatage, l'adresse IP de l'appareil et les détails de l'audit. Le parseur mappe ces champs extraits à l'UDM, en gérant différents types de données et la logique conditionnelle pour remplir les champs UDM appropriés en fonction de la présence et des valeurs d'attributs spécifiques des journaux d'audit Tanium.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Accès privilégié à Tanium Connect et à la console Tanium
• Accès privilégié à AWS (S3, IAM)

Créer un bucket Amazon S3

1. Ouvrez la console Amazon S3.
2. Si nécessaire, vous pouvez modifier la région.
   • Dans la barre de navigation, sélectionnez la région dans laquelle vous souhaitez que vos journaux d'audit Tanium soient stockés.
3. Cliquez sur Créer un bucket.
   • Nom du bucket : saisissez un nom explicite pour le bucket (par exemple, tanium-audit-logs).
   • Région : sélectionnez la région de votre choix (par exemple, us-east-1).
   • Cliquez sur Créer.

Créer un utilisateur IAM avec un accès complet à Amazon S3

1. Ouvrez la console IAM.
2. Cliquez sur Utilisateurs > Ajouter un utilisateur.
3. Saisissez un nom d'utilisateur (par exemple, tanium-connect-s3-user).
4. Sélectionnez Accès programmatique et/ou Accès à la console de gestion AWS selon vos besoins.
5. Sélectionnez Mot de passe généré automatiquement ou Mot de passe personnalisé.
6. Cliquez sur Next: Permissions (Suivant : Autorisations).
7. Sélectionnez Attach existing policies directly (Joindre directement des règles existantes).
8. Recherchez et sélectionnez la règle AmazonS3FullAccess pour l'utilisateur.
9. Cliquez sur Next: Tags (Suivant : Tags).
10. Cliquez sur Suivant : Relire.
11. Cliquez sur Créer un utilisateur.
12. Copiez et enregistrez l'ID de clé d'accès et la clé d'accès secrète pour référence ultérieure.

Configurer les autorisations sur le bucket Amazon S3

1. Dans la console Amazon S3, sélectionnez le bucket que vous avez créé précédemment.
2. Cliquez sur Autorisations > Règle du bucket.

3. Dans l'éditeur de règles du bucket, ajoutez la règle suivante :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
         },
         "Action": [
           "s3:PutObject",
           "s3:PutObjectAcl",
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::tanium-audit-logs",
           "arn:aws:s3:::tanium-audit-logs/*"
         ]
       }
     ]
   }
   

4. Remplacez les variables suivantes :

   • Remplacez YOUR_ACCOUNT_ID par votre ID de compte AWS.
   • Si le nom de votre bucket est différent, remplacez tanium-audit-logs par le nom réel.
   • Si votre nom d'utilisateur IAM est différent, remplacez tanium-connect-s3-user par le nom d'utilisateur IAM réel.

5. Cliquez sur Enregistrer.

Configurer Tanium Connect pour l'exportation S3

Créer une connexion AWS S3 dans Tanium Connect

1. Connectez-vous à la console Tanium en tant qu'administrateur.
2. Accédez à Tanium Connect > Connexions.
3. Cliquez sur Créer une connexion.
4. Dans la section Informations générales, fournissez les informations de configuration suivantes :
   • Nom : saisissez un nom descriptif (par exemple, Tanium Audit to S3).
   • Description : saisissez une description pertinente (par exemple, Export Tanium audit logs to S3 for Google SecOps ingestion).
   • Activer : sélectionnez cette option pour activer la connexion.
   • Niveau de journalisation : sélectionnez Informations (par défaut) ou ajustez le niveau si nécessaire.

Configurer la source de connexion

1. Dans la section Configuration, sélectionnez Tanium Audit pour Source.
2. Configurez les paramètres de la source d'audit :
   • Nombre de jours de données historiques récupérées : saisissez le nombre de jours de données d'audit historiques à récupérer (par exemple, 7 pour une semaine).
   • Types d'audit : sélectionnez les types d'audit que vous souhaitez exporter. Choisissez parmi les options suivantes :
     • Historique des actions : actions émises par les opérateurs de la console.
     • Authentification : événements d'authentification des utilisateurs.
     • Contenu : modifications du contenu.
     • Groupes : modifications apportées aux groupes d'ordinateurs.
     • Packages : activités liées aux packages.
     • Capteurs : modifications des capteurs.
     • Paramètres système : modifications de la configuration système.
     • Utilisateurs : activités de gestion des utilisateurs.

Configurer la destination AWS S3

1. Dans le champ Destination, sélectionnez AWS S3.
2. Fournissez les informations de configuration suivantes :
   • Nom de la destination : saisissez un nom (par exemple, Google SecOps S3 Bucket).
   • Clé d'accès AWS : saisissez l'ID de clé d'accès de l'utilisateur IAM créé précédemment.
   • Clé secrète AWS : saisissez la clé d'accès secrète de l'utilisateur IAM créé précédemment.
   • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-audit-logs).
   • Chemin d'accès au bucket : facultatif. Saisissez un préfixe de chemin d'accès (par exemple, tanium/audit/).
   • Région : sélectionnez la région AWS dans laquelle se trouve votre bucket (par exemple, us-east-1).

Configurer le format et la programmation

1. Dans la section Format, configurez le format de sortie :
   • Type de format : sélectionnez JSON.
   • Inclure les en-têtes de colonne : sélectionnez cette option si vous souhaitez inclure les en-têtes de colonne.
   • Générer un document : désélectionnez cette option pour envoyer des données JSON brutes.
2. Dans la section Programmer, configurez la fréquence d'exécution de la connexion :
   • Type de programmation : sélectionnez Cron.
   • Expression Cron : saisissez une expression Cron pour les exportations régulières (par exemple, 0 */1 * * * pour les exportations horaires).
   • Date de début : définissez la date de début de la programmation.
3. Cliquez sur Enregistrer les modifications.

Tester et exécuter la connexion

1. Sur la page Présentation de Connect, accédez à Connexions.
2. Cliquez sur la connexion que vous avez créée (Tanium Audit to S3).
3. Cliquez sur Exécuter maintenant pour tester la connexion.
4. Confirmez que vous souhaitez exécuter la connexion.
5. Surveillez l'état de la connexion et vérifiez que les journaux d'audit sont exportés vers votre bucket S3.

Facultatif : Créez un utilisateur et des clés IAM en lecture seule pour Google SecOps

1. Accédez à la console AWS> IAM> Utilisateurs> Ajouter des utilisateurs.
2. Cliquez sur Add users (Ajouter des utilisateurs).
3. Fournissez les informations de configuration suivantes :
   • Utilisateur : saisissez secops-reader.
   • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
4. Cliquez sur Créer un utilisateur.
5. Associez une stratégie de lecture minimale (personnalisée) : Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Associer des stratégies directement > Créer une stratégie.

6. Dans l'éditeur JSON, saisissez la stratégie suivante :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tanium-audit-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tanium-audit-logs"
       }
     ]
   }
   

7. Définissez le nom sur secops-reader-policy.

8. Accédez à Créer une règle > recherchez/sélectionnez > Suivant > Ajouter des autorisations.

9. Accédez à Identifiants de sécurité > Clés d'accès > Créer une clé d'accès.

10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux d'audit Tanium

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur + Ajouter un flux.
3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Audit logs).
4. Sélectionnez Amazon S3 V2 comme type de source.
5. Sélectionnez Audit Tanium comme type de journal.
6. Cliquez sur Suivant.
7. Spécifiez les valeurs des paramètres d'entrée suivants :
   • URI S3 : s3://tanium-audit-logs/tanium/audit/ (ajustez le chemin d'accès si vous avez utilisé un autre nom ou chemin d'accès pour le bucket).
   • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
   • ID de clé d'accès : clé d'accès utilisateur avec accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
   • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
   • Espace de noms de l'élément : espace de noms de l'élément.
   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
8. Cliquez sur Suivant.
9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.