Collecter les journaux Tanium Comply

Compatible avec :

Ce document explique comment ingérer des journaux Tanium Comply dans Google Security Operations à l'aide d'Amazon S3 et de la fonctionnalité d'exportation S3 native de Tanium Connect. L'analyseur transforme les données de journaux JSON en modèle de données unifié (UDM). Il extrait les informations clés sur les failles, telles que l'ID CVE, les scores CVSS, les adresses IP concernées et les codes temporels, puis les restructure au format UDM standardisé pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Accès privilégié à Tanium Connect et à la console Tanium
  • Tanium Comply 2.1 ou version ultérieure installé et configuré
  • Accès privilégié à AWS (S3, IAM)

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-comply-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer les autorisations sur le bucket Amazon S3

  1. Dans la console Amazon S3, sélectionnez le bucket que vous avez créé précédemment.
  2. Cliquez sur Autorisations > Règle du bucket.

  3. Dans l'éditeur de règles du bucket, ajoutez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Remplacez les variables suivantes :

    • Remplacez YOUR_ACCOUNT_ID par votre ID de compte AWS.
    • Si le nom de votre bucket est différent, remplacez tanium-comply-logs par le nom réel.
    • Si votre nom d'utilisateur IAM est différent, remplacez tanium-connect-s3-user par le nom d'utilisateur IAM réel.

  5. Cliquez sur Enregistrer.

Configurer Tanium Connect pour l'exportation S3

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Tanium Connect > Connexions.
  3. Cliquez sur Créer une connexion.
  4. Dans la section Informations générales, fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Tanium Comply to S3).
    • Description : saisissez une description pertinente (par exemple, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion.
    • Niveau de journalisation : sélectionnez Informations (par défaut) ou ajustez le niveau si nécessaire.

  5. Dans la section Configuration, sélectionnez Tanium Comply (Findings) pour Source.

  6. Configurez les paramètres de la source Comply :

    • Type de résultat : sélectionnez le type de résultats à exporter (Tous, Conformité ou Failles).
    • Inclure les résultats résolus : indiquez si vous souhaitez inclure les résultats résolus.
    • Groupes d'ordinateurs : sélectionnez les groupes d'ordinateurs à inclure dans l'exportation (par défaut : "Tous les ordinateurs").

  7. Dans le champ Destination, sélectionnez AWS S3.

  8. Fournissez les informations de configuration suivantes :

    • Nom de la destination : saisissez un nom (par exemple, Google SecOps S3 Bucket).
    • Clé d'accès AWS : saisissez l'ID de clé d'accès de l'utilisateur IAM créé précédemment.
    • Clé secrète AWS : saisissez la clé d'accès secrète de l'utilisateur IAM créé précédemment.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-comply-logs).
    • Chemin d'accès au bucket : facultatif. Saisissez un préfixe de chemin d'accès (par exemple, tanium/comply/).
    • Région : sélectionnez la région AWS dans laquelle se trouve votre bucket (par exemple, us-east-1).

  9. Dans la section Format, configurez le format de sortie :

    • Type de format : sélectionnez JSON.
    • Inclure les en-têtes de colonne : sélectionnez cette option si vous souhaitez inclure les en-têtes de colonne.
    • Générer un document : désélectionnez cette option pour envoyer des données JSON brutes.

  10. (Facultatif) Dans la section Configurer la sortie, configurez les filtres et les colonnes personnalisées si nécessaire.

  11. Dans la section Programmation, configurez la fréquence d'exécution de la connexion :

    • Type de programmation : sélectionnez Cron.
    • Expression Cron : saisissez une expression Cron pour les exportations régulières (par exemple, 0 */4 * * * pour toutes les quatre heures).
    • Date de début : définissez la date de début de la programmation.

  12. Cliquez sur Enregistrer les modifications.

  13. Sur la page Présentation de Connect, accédez à Connexions.

  14. Cliquez sur la connexion que vous avez créée (Tanium Comply vers S3).

  15. Cliquez sur Exécuter maintenant pour tester la connexion.

  16. Confirmez que vous souhaitez exécuter la connexion.

  17. Surveillez l'état de la connexion et vérifiez que les résultats de conformité sont exportés vers votre bucket S3.

Facultatif : Créez un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Accédez à la console AWS> IAM> Utilisateurs> Ajouter des utilisateurs.
  2. Cliquez sur Add users (Ajouter des utilisateurs).
  3. Fournissez les informations de configuration suivantes :
    • Utilisateur : saisissez secops-reader.
    • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
  4. Cliquez sur Créer un utilisateur.
  5. Associez une stratégie de lecture minimale (personnalisée) : Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Associer des stratégies directement > Créer une stratégie.

  6. Dans l'éditeur JSON, saisissez la stratégie suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Définissez le nom sur secops-reader-policy.

  8. Accédez à Créer une règle > recherchez/sélectionnez > Suivant > Ajouter des autorisations.

  9. Accédez à Identifiants de sécurité > Clés d'accès > Créer une clé d'accès.

  10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Comply

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Comply logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Comply comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-comply-logs/tanium/comply/ (ajustez le chemin d'accès si vous avez utilisé un autre nom ou chemin d'accès pour le bucket).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur avec accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ du journal Mappage UDM Logique
Nom de l'ordinateur entity.entity.asset.hostname Mappé directement à partir du champ "Nom de l'ordinateur" après avoir remplacé les espaces par des traits de soulignement.
CVE entity.entity.asset.vulnerabilities.cve_id Mappé directement à partir du champ "CVE".
Score CVSS V3 entity.entity.asset.vulnerabilities.cvss_base_score Mappé directement à partir du champ "Score CVSS v3" après avoir été renommé cvss_base_score.
Gravité CVSS V3 entity.entity.asset.vulnerabilities.severity_details Mappé directement à partir du champ "Gravité CVSS v3".
Vecteur CVSS V3 entity.entity.asset.vulnerabilities.cvss_vector Mappé directement à partir du champ "Vecteur CVSS v3".
Date de la première détection entity.entity.asset.vulnerabilities.first_found Analysée à partir du champ "Date de première découverte" et convertie au format RFC 3339 UTC. Si la date contient un tiret ("-"), "T00:00:00Z" y est ajouté. Sinon, la date est extraite à l'aide de grok, puis convertie.
Adresse IP entity.entity.asset.ip Chaque adresse IP du tableau "Adresse IP" est mappée sur un champ "ip" distinct dans l'UDM.
Date de la dernière détection entity.entity.asset.vulnerabilities.last_found Analysée à partir du champ "Date de dernière découverte" et convertie au format RFC 3339 UTC. Si la date contient un tiret ("-"), "T00:00:00Z" y est ajouté. Sinon, la date est extraite à l'aide de grok, puis convertie.
Titre entity.entity.asset.vulnerabilities.name Mappé directement à partir du champ "Titre".
collection_time.nanos entity.metadata.collected_timestamp.nanos Mappé directement à partir du champ "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Mappé directement à partir du champ "collection_time.seconds".
temps entity.metadata.interval.start_time Analysé à partir du champ "time" et converti au format RFC 3339 UTC.
- entity.metadata.entity_type Défini sur "ASSET".
- entity.metadata.product_entity_id Définissez la valeur sur "Tanium: " concaténée avec la valeur du champ "computerName".
- entity.metadata.product_name Définissez la valeur sur "Comply" (Conforme).
- entity.metadata.vendor_name Défini sur "Tanium".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.