Mengumpulkan log audit Tanium

Dokumen ini menjelaskan cara menyerap log audit Tanium ke Google Security Operations menggunakan Amazon S3 dengan kemampuan ekspor S3 native Tanium Connect. Parser mengekstrak log, yang awalnya menghapus banyak kolom default. Kemudian, pesan log diuraikan menggunakan grok dan filter json, dengan mengekstrak kolom seperti stempel waktu, IP perangkat, dan detail audit. Parser memetakan kolom yang diekstrak ini ke UDM, menangani berbagai jenis data dan logika bersyarat untuk mengisi kolom UDM yang sesuai berdasarkan keberadaan dan nilai atribut log audit Tanium tertentu.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke Tanium Connect dan Tanium Console
• Akses istimewa ke AWS (S3, IAM)

Buat bucket Amazon S3

1. Buka konsol Amazon S3.
2. Jika diperlukan, Anda dapat mengubah Wilayah.
   • Dari panel navigasi, pilih Region tempat Anda ingin Tanium Audit logs berada.
3. Klik Create Bucket.
   • Nama Bucket: Masukkan nama yang bermakna untuk bucket (misalnya, tanium-audit-logs).
   • Region: Pilih Region pilihan Anda (misalnya, us-east-1).
   • Klik Buat.

Buat pengguna IAM dengan akses penuh ke Amazon S3

1. Buka IAM console.
2. Klik Pengguna > Tambahkan pengguna.
3. Masukkan nama pengguna (misalnya, tanium-connect-s3-user).
4. Pilih Akses terprogram dan/atau Akses AWS Management Console sesuai kebutuhan.
5. Pilih Sandi yang dibuat otomatis atau Sandi kustom.
6. Klik Berikutnya: Izin.
7. Pilih Lampirkan kebijakan yang ada secara langsung.
8. Cari dan pilih kebijakan AmazonS3FullAccess untuk pengguna.
9. Klik Berikutnya: Tanda.
10. Klik Berikutnya: Tinjau.
11. Klik Buat pengguna.
12. Salin dan simpan ID Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.

Mengonfigurasi izin pada bucket Amazon S3

1. Di Amazon S3 console, pilih bucket yang Anda buat sebelumnya.
2. Klik Izin > Kebijakan bucket.

3. Di Bucket Policy Editor, tambahkan kebijakan berikut:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
         },
         "Action": [
           "s3:PutObject",
           "s3:PutObjectAcl",
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::tanium-audit-logs",
           "arn:aws:s3:::tanium-audit-logs/*"
         ]
       }
     ]
   }
   

4. Ganti variabel berikut:

   • Ubah YOUR_ACCOUNT_ID menjadi ID akun AWS Anda.
   • Ubah tanium-audit-logs menjadi nama bucket Anda yang sebenarnya jika berbeda.
   • Ubah tanium-connect-s3-user menjadi nama pengguna IAM Anda yang sebenarnya jika berbeda.

5. Klik Simpan.

Mengonfigurasi Tanium Connect untuk ekspor S3

Membuat koneksi AWS S3 di Tanium Connect

1. Login ke Tanium Console sebagai administrator.
2. Buka Tanium Connect > Connections.
3. Klik Buat Koneksi.
4. Di bagian General Information, berikan detail konfigurasi berikut:
   • Nama: Masukkan nama deskriptif (misalnya, Tanium Audit to S3).
   • Deskripsi: Masukkan deskripsi yang bermakna (misalnya, Export Tanium audit logs to S3 for Google SecOps ingestion).
   • Aktifkan: Pilih untuk mengaktifkan koneksi.
   • Tingkat Log: Pilih Informasi (default) atau sesuaikan sesuai kebutuhan.

Mengonfigurasi sumber koneksi

1. Di bagian Configuration, untuk Source, pilih Tanium Audit.
2. Konfigurasi setelan sumber audit:
   • Hari Data Historis yang Diambil: Masukkan jumlah hari data audit historis yang akan diambil (misalnya, 7 untuk satu minggu).
   • Jenis Audit: Pilih jenis audit yang ingin Anda ekspor. Pilih dari:
     • Histori Tindakan: Tindakan yang dikeluarkan oleh operator konsol.
     • Authentication: Peristiwa autentikasi pengguna.
     • Konten: Perubahan dan modifikasi konten.
     • Grup: Perubahan grup komputer.
     • Paket: Aktivitas terkait paket.
     • Sensor: Modifikasi sensor.
     • Setelan Sistem: Perubahan konfigurasi sistem.
     • Pengguna: Aktivitas pengelolaan pengguna.

Mengonfigurasi tujuan AWS S3

1. Untuk Destination, pilih AWS S3.
2. Berikan detail konfigurasi berikut:
   • Nama Tujuan: Masukkan nama (misalnya, Google SecOps S3 Bucket).
   • Kunci Akses AWS: Masukkan ID Kunci Akses dari pengguna IAM yang dibuat sebelumnya.
   • AWS Secret Key: Masukkan Kunci Akses Rahasia dari pengguna IAM yang dibuat sebelumnya.
   • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-audit-logs).
   • Bucket Path: Opsional. Masukkan awalan jalur (misalnya, tanium/audit/).
   • Region: Pilih region AWS tempat bucket Anda berada (misalnya, us-east-1).

Mengonfigurasi format dan jadwal

1. Di bagian Format, konfigurasikan format output:
   • Jenis Format: Pilih JSON.
   • Sertakan Header Kolom: Pilih apakah Anda ingin menyertakan header kolom.
   • Buat Dokumen: Batalkan pilihan opsi ini untuk mengirim data JSON mentah.
2. Di bagian Schedule, konfigurasikan kapan koneksi berjalan:
   • Jenis Jadwal: Pilih Cron.
   • Ekspresi Cron: Masukkan ekspresi cron untuk ekspor reguler (misalnya, 0 */1 * * * untuk ekspor per jam).
   • Tanggal Mulai: Tetapkan tanggal mulai untuk jadwal.
3. Klik Simpan Perubahan.

Menguji dan menjalankan koneksi

1. Dari halaman Connect Overview, buka Connections.
2. Klik koneksi yang Anda buat (Tanium Audit to S3).
3. Klik Jalankan Sekarang untuk menguji koneksi.
4. Konfirmasi bahwa Anda ingin menjalankan koneksi.
5. Pantau status koneksi dan verifikasi bahwa log audit diekspor ke bucket S3 Anda.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

1. Buka Konsol AWS > IAM > Pengguna > Tambahkan pengguna.
2. Klik Add users.
3. Berikan detail konfigurasi berikut:
   • Pengguna: Masukkan secops-reader.
   • Jenis akses: Pilih Kunci akses – Akses terprogram.
4. Klik Buat pengguna.
5. Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

6. Di editor JSON, masukkan kebijakan berikut:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tanium-audit-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tanium-audit-logs"
       }
     ]
   }
   

7. Tetapkan nama ke secops-reader-policy.

8. Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.

9. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

10. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk menyerap log Audit Tanium

1. Buka Setelan SIEM > Feed.
2. Klik + Tambahkan Feed Baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Audit logs).
4. Pilih Amazon S3 V2 sebagai Jenis sumber.
5. Pilih Tanium Audit sebagai Jenis log.
6. Klik Berikutnya.
7. Tentukan nilai untuk parameter input berikut:
   • URI S3: s3://tanium-audit-logs/tanium/audit/ (sesuaikan jalur jika Anda menggunakan nama atau jalur bucket yang berbeda).
   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
   • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
   • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3 (dari pengguna hanya baca yang dibuat di atas).
   • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3 (dari pengguna hanya baca yang dibuat di atas).
   • Namespace aset: Namespace aset.
   • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
8. Klik Berikutnya.
9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.