Recopilar registros de Tanium Comply

Disponible en:

En este documento se explica cómo ingerir registros de Tanium Comply en Google Security Operations mediante Amazon S3 con la función de exportación nativa a S3 de Tanium Connect. El analizador transforma los datos de registro JSON en un modelo de datos unificado (UDM). Extrae información clave sobre vulnerabilidades, como el ID de CVE, las puntuaciones de CVSS, las direcciones IP afectadas y las marcas de tiempo, y, a continuación, la reestructura en el formato UDM estandarizado para realizar análisis de seguridad coherentes.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso privilegiado a Tanium Connect y Tanium Console
  • Tanium Comply 2.1 o una versión posterior instalada y configurada
  • Acceso privilegiado a AWS (S3, IAM)

Configurar un segmento de AWS S3 y IAM para Google SecOps

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, tanium-comply-logs).
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar permisos en un segmento de Amazon S3

  1. En la consola de Amazon S3, elija el segmento que ha creado anteriormente.
  2. Haz clic en Permisos > Política de contenedor.

  3. En el editor de políticas del segmento, añade la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Sustituye las siguientes variables:

    • Cambia YOUR_ACCOUNT_ID por tu ID de cuenta de AWS.
    • Cambia tanium-comply-logs por el nombre de tu segmento si es diferente.
    • Cambia tanium-connect-s3-user por tu nombre de usuario de IAM si es diferente.

  5. Haz clic en Guardar.

Configurar Tanium Connect para la exportación a S3

  1. Inicia sesión en la consola de Tanium como administrador.
  2. Ve a Tanium Connect > Connections (Conexiones).
  3. Haga clic en Crear conexión.
  4. En la sección General Information (Información general), proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre descriptivo (por ejemplo, Tanium Comply to S3).
    • Descripción: escriba una descripción significativa (por ejemplo, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Habilitar: selecciona esta opción para habilitar la conexión.
    • Nivel de registro: selecciona Información (opción predeterminada) o ajusta el nivel según sea necesario.

  5. En la sección Configuración, en Fuente, selecciona Tanium Comply (Resultados).

  6. Configura los ajustes de la fuente de Comply:

    • Tipo de resultados: seleccione el tipo de resultados que quiere exportar (Todos, Cumplimiento o Vulnerabilidad).
    • Incluir resultados resueltos: seleccione si quiere incluir los resultados que se han resuelto.
    • Grupos de ordenadores: seleccione los grupos de ordenadores que quiera incluir en la exportación (opción predeterminada: Todos los ordenadores).

  7. En Destino, selecciona AWS S3.

  8. Proporciona los siguientes detalles de configuración:

    • Nombre del destino: introduce un nombre (por ejemplo, Google SecOps S3 Bucket).
    • Clave de acceso de AWS: introduce el ID de clave de acceso del usuario de IAM que has creado anteriormente.
    • Clave secreta de AWS: introduce la clave de acceso secreta del usuario de IAM que has creado antes.
    • Nombre del segmento: introduce el nombre del segmento de S3 (por ejemplo, tanium-comply-logs).
    • Ruta del contenedor: opcional. Introduce un prefijo de ruta (por ejemplo, tanium/comply/).
    • Región: selecciona la región de AWS en la que se encuentra tu contenedor (por ejemplo, us-east-1).

  9. En la sección Formato, configura el formato de salida:

    • Tipo de formato: selecciona JSON.
    • Incluir encabezados de columna: selecciona si quieres incluir encabezados de columna.
    • Generar documento: desmarca esta opción para enviar datos JSON sin formato.

  10. Opcional: En la sección Configurar salida, configure los filtros y las columnas personalizadas que necesite.

  11. En la sección Programación, configura cuándo se ejecutará la conexión:

    • Tipo de programación: selecciona Cron.
    • Expresión cron: introduce una expresión cron para las exportaciones periódicas (por ejemplo, 0 */4 * * * para que se realicen cada 4 horas).
    • Fecha de inicio: define la fecha de inicio de la programación.

  12. Haz clic en Guardar cambios.

  13. En la página Vista general de Connect, ve a Conexiones.

  14. Haga clic en la conexión que ha creado (Tanium Comply to S3).

  15. Haz clic en Ejecutar ahora para probar la conexión.

  16. Confirma que quieres ejecutar la conexión.

  17. Monitoriza el estado de la conexión y comprueba que los resultados de cumplimiento se exportan al segmento de S3.

Opcional: Crear un usuario y claves de gestión de identidades y accesos de solo lectura para Google SecOps

  1. Ve a Consola de AWS > IAM > Usuarios > Añadir usuarios.
  2. Haz clic en Add users (Añadir usuarios).
  3. Proporcione los siguientes detalles de configuración:
    • Usuario: introduce secops-reader.
    • Tipo de acceso: selecciona Clave de acceso – Acceso programático.
  4. Haz clic en Crear usuario.
  5. Asigna una política de lectura mínima (personalizada): Usuarios > secops-reader > Permisos > Añadir permisos > Asignar políticas directamente > Crear política.

  6. En el editor de JSON, introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Asigna el nombre secops-reader-policy.

  8. Ve a Crear política > busca o selecciona > Siguiente > Añadir permisos.

  9. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

  10. Descarga el archivo CSV (estos valores se introducen en el feed).

Configurar un feed en Google SecOps para ingerir registros de Tanium Comply

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Añadir nuevo feed.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Tanium Comply logs).
  4. Selecciona Amazon S3 V2 como Tipo de fuente.
  5. Seleccione Tanium Comply como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • URI de S3: s3://tanium-comply-logs/tanium/comply/ (ajusta la ruta si has usado otro nombre o ruta de segmento).
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • ID de clave de acceso: clave de acceso de usuario con acceso al segmento de S3 (del usuario de solo lectura creado anteriormente).
    • Clave de acceso secreta: clave secreta del usuario con acceso al segmento de S3 (del usuario de solo lectura creado anteriormente).
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Nombre del ordenador entity.entity.asset.hostname Se asigna directamente desde el campo "Nombre del equipo" después de sustituir los espacios por guiones bajos.
CVE entity.entity.asset.vulnerabilities.cve_id Se asigna directamente desde el campo "CVE".
Puntuación de CVSS v3 entity.entity.asset.vulnerabilities.cvss_base_score Se ha asignado directamente desde el campo "Puntuación de CVSS v3" después de cambiarle el nombre a cvss_base_score.
Gravedad de CVSS v3 entity.entity.asset.vulnerabilities.severity_details Se asigna directamente desde el campo "Gravedad de CVSS v3".
Vector CVSS v3 entity.entity.asset.vulnerabilities.cvss_vector Se asigna directamente desde el campo "Vector CVSS v3".
Fecha de la primera detección entity.entity.asset.vulnerabilities.first_found Se ha analizado a partir del campo "Fecha de primer hallazgo" y se ha convertido al formato UTC RFC 3339. Si la fecha contiene "-", se le añade "T00:00:00Z". De lo contrario, la fecha se extrae mediante grok y, a continuación, se convierte.
Dirección IP entity.entity.asset.ip Cada dirección IP de la matriz "IP Address" se asigna a un campo "ip" independiente en UDM.
Fecha de la última búsqueda entity.entity.asset.vulnerabilities.last_found Se analiza a partir del campo "Fecha del último hallazgo" y se convierte al formato UTC RFC 3339. Si la fecha contiene "-", se le añade "T00:00:00Z". De lo contrario, la fecha se extrae mediante grok y, a continuación, se convierte.
Título entity.entity.asset.vulnerabilities.name Se asigna directamente desde el campo "Título".
collection_time.nanos entity.metadata.collected_timestamp.nanos Se asigna directamente desde el campo "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Se asigna directamente desde el campo "collection_time.seconds".
Tiempo entity.metadata.interval.start_time Se analiza a partir del campo "time" y se convierte al formato UTC RFC 3339.
- entity.metadata.entity_type Definir como "ASSET".
- entity.metadata.product_entity_id Se define como "Tanium: " concatenado con el valor del campo "computerName".
- entity.metadata.product_name Selecciona "Cumplir".
- entity.metadata.vendor_name Selecciona "Tanium".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.