Mengumpulkan log Tanium Comply

Didukung di:

Dokumen ini menjelaskan cara menyerap log Tanium Comply ke Google Security Operations menggunakan Amazon S3 dengan kemampuan ekspor S3 native Tanium Connect. Parser mengubah data log JSON menjadi model data terpadu (UDM). Tindakan ini mengekstrak informasi kerentanan utama seperti ID CVE, skor CVSS, alamat IP yang terpengaruh, dan stempel waktu, lalu menyusun ulang informasi tersebut ke dalam format UDM standar untuk analisis keamanan yang konsisten.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Tanium Connect dan Tanium Console
  • Tanium Comply 2.1 atau yang lebih baru diinstal dan dikonfigurasi
  • Akses istimewa ke AWS (S3, IAM)

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-comply-logs).
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Mengonfigurasi izin pada bucket Amazon S3

  1. Di Amazon S3 console, pilih bucket yang Anda buat sebelumnya.
  2. Klik Izin > Kebijakan bucket.

  3. Di Bucket Policy Editor, tambahkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Ganti variabel berikut:

    • Ubah YOUR_ACCOUNT_ID menjadi ID akun AWS Anda.
    • Ubah tanium-comply-logs menjadi nama bucket Anda yang sebenarnya jika berbeda.
    • Ubah tanium-connect-s3-user menjadi nama pengguna IAM Anda yang sebenarnya jika berbeda.

  5. Klik Simpan.

Mengonfigurasi Tanium Connect untuk ekspor S3

  1. Login ke Tanium Console sebagai administrator.
  2. Buka Tanium Connect > Connections.
  3. Klik Buat Koneksi.
  4. Di bagian General Information, berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Tanium Comply to S3).
    • Deskripsi: Masukkan deskripsi yang bermakna (misalnya, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Aktifkan: Pilih untuk mengaktifkan koneksi.
    • Tingkat Log: Pilih Informasi (default) atau sesuaikan sesuai kebutuhan.

  5. Di bagian Configuration, untuk Source, pilih Tanium Comply (Findings).

  6. Konfigurasi setelan sumber Comply:

    • Jenis Temuan: Pilih jenis temuan yang akan diekspor (Semua, Kepatuhan, atau Kerentanan).
    • Sertakan Temuan yang Sudah Diselesaikan: Pilih apakah akan menyertakan temuan yang sudah diselesaikan.
    • Grup Komputer: Pilih grup komputer yang akan disertakan dalam ekspor (default: Semua Komputer).

  7. Untuk Destination, pilih AWS S3.

  8. Berikan detail konfigurasi berikut:

    • Nama Tujuan: Masukkan nama (misalnya, Google SecOps S3 Bucket).
    • Kunci Akses AWS: Masukkan ID Kunci Akses dari pengguna IAM yang dibuat sebelumnya.
    • AWS Secret Key: Masukkan Kunci Akses Rahasia dari pengguna IAM yang dibuat sebelumnya.
    • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-comply-logs).
    • Bucket Path: Opsional. Masukkan awalan jalur (misalnya, tanium/comply/).
    • Region: Pilih region AWS tempat bucket Anda berada (misalnya, us-east-1).

  9. Di bagian Format, konfigurasikan format output:

    • Jenis Format: Pilih JSON.
    • Sertakan Header Kolom: Pilih apakah Anda ingin menyertakan header kolom.
    • Buat Dokumen: Batalkan pilihan opsi ini untuk mengirim data JSON mentah.

  10. Opsional: Di bagian Konfigurasi Output, konfigurasi filter dan kolom kustom sesuai kebutuhan.

  11. Di bagian Schedule, konfigurasikan kapan koneksi berjalan:

    • Jenis Jadwal: Pilih Cron.
    • Ekspresi Cron: Masukkan ekspresi cron untuk ekspor reguler (misalnya, 0 */4 * * * untuk setiap 4 jam).
    • Tanggal Mulai: Tetapkan tanggal mulai untuk jadwal.

  12. Klik Simpan Perubahan.

  13. Dari halaman Connect Overview, buka Connections.

  14. Klik koneksi yang Anda buat (Tanium Comply to S3).

  15. Klik Jalankan Sekarang untuk menguji koneksi.

  16. Konfirmasi bahwa Anda ingin menjalankan koneksi.

  17. Pantau status koneksi dan verifikasi bahwa temuan kepatuhan diekspor ke bucket S3 Anda.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

  1. Buka Konsol AWS > IAM > Pengguna > Tambahkan pengguna.
  2. Klik Add users.
  3. Berikan detail konfigurasi berikut:
    • Pengguna: Masukkan secops-reader.
    • Jenis akses: Pilih Kunci akses – Akses terprogram.
  4. Klik Buat pengguna.
  5. Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

  6. Di editor JSON, masukkan kebijakan berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Tetapkan nama ke secops-reader-policy.

  8. Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.

  9. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

  10. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk menyerap log Tanium Comply

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Comply logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Tanium Comply sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://tanium-comply-logs/tanium/comply/ (sesuaikan jalur jika Anda menggunakan nama atau jalur bucket yang berbeda).
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3 (dari pengguna hanya baca yang dibuat di atas).
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3 (dari pengguna hanya baca yang dibuat di atas).
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
Nama Komputer entity.entity.asset.hostname Dipetakan langsung dari kolom "Nama Komputer" setelah mengganti spasi dengan garis bawah.
CVE entity.entity.asset.vulnerabilities.cve_id Dipetakan langsung dari kolom "CVE".
Skor CVSS v3 entity.entity.asset.vulnerabilities.cvss_base_score Dipetakan langsung dari kolom "CVSS v3 Score" setelah diganti namanya menjadi cvss_base_score.
Tingkat Keparahan CVSS v3 entity.entity.asset.vulnerabilities.severity_details Dipetakan langsung dari kolom "CVSS v3 Severity".
Vektor CVSS v3 entity.entity.asset.vulnerabilities.cvss_vector Dipetakan langsung dari kolom "CVSS v3 Vector".
Tanggal Pertama Ditemukan entity.entity.asset.vulnerabilities.first_found Diuraikan dari kolom "Tanggal Pertama Ditemukan" dan dikonversi ke format RFC 3339 UTC. Jika tanggal berisi "-", tanggal tersebut akan ditambahkan dengan "T00:00:00Z". Jika tidak, tanggal akan diekstrak menggunakan grok, lalu dikonversi.
Alamat IP entity.entity.asset.ip Setiap alamat IP dari array "IP Address" dipetakan ke kolom "ip" terpisah di UDM.
Tanggal Terakhir Ditemukan entity.entity.asset.vulnerabilities.last_found Diuraikan dari kolom "Tanggal Terakhir Ditemukan" dan dikonversi ke format RFC 3339 UTC. Jika tanggal berisi "-", tanggal tersebut akan ditambahkan dengan "T00:00:00Z". Jika tidak, tanggal akan diekstrak menggunakan grok, lalu dikonversi.
Judul entity.entity.asset.vulnerabilities.name Dipetakan langsung dari kolom "Judul".
collection_time.nanos entity.metadata.collected_timestamp.nanos Dipetakan langsung dari kolom "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Dipetakan langsung dari kolom "collection_time.seconds".
waktu entity.metadata.interval.start_time Diuraikan dari kolom "time" dan dikonversi ke format RFC 3339 UTC.
- entity.metadata.entity_type Tetapkan ke "ASSET".
- entity.metadata.product_entity_id Disetel ke "Tanium: " yang digabungkan dengan nilai kolom "computerName".
- entity.metadata.product_name Tetapkan ke "Patuhi".
- entity.metadata.vendor_name Ditetapkan ke "Tanium".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.