Raccogliere i log di Tanium Comply

Supportato in:

Questo documento spiega come importare i log di Tanium Comply in Google Security Operations utilizzando Amazon S3 tramite la funzionalità di esportazione S3 nativa di Tanium Connect. Il parser trasforma i dati dei log JSON in un modello UDM (Unified Data Model). Estrae le informazioni chiave sulle vulnerabilità, come ID CVE, punteggi CVSS, indirizzi IP interessati e timestamp, quindi le ristruttura nel formato UDM standardizzato per un'analisi della sicurezza coerente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso privilegiato a Tanium Connect e Tanium Console
  • Tanium Comply 2.1 o versioni successive installato e configurato
  • Accesso con privilegi ad AWS (S3, IAM)

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, tanium-comply-logs).
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente le norme.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura le autorizzazioni sul bucket Amazon S3

  1. Nella console Amazon S3, scegli il bucket che hai creato in precedenza.
  2. Fai clic su Autorizzazioni > Criterio del bucket.

  3. Nell'editor delle policy del bucket, aggiungi la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Sostituisci le seguenti variabili:

    • Modifica YOUR_ACCOUNT_ID con il tuo ID account AWS.
    • Se è diverso, modifica tanium-comply-logs con il nome del bucket effettivo.
    • Modifica tanium-connect-s3-user con il tuo nome utente IAM effettivo, se diverso.

  5. Fai clic su Salva.

Configurare Tanium Connect per l'esportazione S3

  1. Accedi alla console Tanium come amministratore.
  2. Vai a Tanium Connect > Connessioni.
  3. Fai clic su Crea connessione.
  4. Nella sezione Informazioni generali, fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Tanium Comply to S3).
    • Descrizione: inserisci una descrizione significativa (ad esempio, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Attiva: seleziona questa opzione per attivare la connessione.
    • Livello log: seleziona Informazioni (impostazione predefinita) o modificalo in base alle esigenze.

  5. Nella sezione Configurazione, per Origine, seleziona Tanium Comply (risultati).

  6. Configura le impostazioni dell'origine Comply:

    • Tipo di risultato: seleziona il tipo di risultati da esportare (Tutti, Conformità o Vulnerabilità).
    • Includi risultati risolti: seleziona se includere i risultati risolti.
    • Gruppi di computer: seleziona i gruppi di computer da includere nell'esportazione (impostazione predefinita: tutti i computer).

  7. Per Destinazione, seleziona AWS S3.

  8. Fornisci i seguenti dettagli di configurazione:

    • Nome destinazione: inserisci un nome (ad esempio Google SecOps S3 Bucket).
    • Chiave di accesso AWS: inserisci l'ID chiave di accesso dell'utente IAM creato in precedenza.
    • Chiave segreta AWS: inserisci la chiave di accesso segreta dell'utente IAM creato in precedenza.
    • Nome bucket: inserisci il nome del bucket S3 (ad esempio tanium-comply-logs).
    • Percorso del bucket: facoltativo. Inserisci un prefisso del percorso (ad esempio, tanium/comply/).
    • Regione: seleziona la regione AWS in cui si trova il bucket (ad esempio us-east-1).

  9. Nella sezione Formato, configura il formato di output:

    • Tipo di formato: seleziona JSON.
    • Includi intestazioni di colonna: seleziona questa opzione se vuoi includere le intestazioni di colonna.
    • Genera documento: deseleziona questa opzione per inviare dati JSON non elaborati.

  10. (Facoltativo) Nella sezione Configura output, configura i filtri e le colonne personalizzate in base alle esigenze.

  11. Nella sezione Pianificazione, configura quando viene eseguita la connessione:

    • Tipo di pianificazione: seleziona Cron.
    • Espressione cron: inserisci un'espressione cron per le esportazioni regolari (ad esempio, 0 */4 * * * ogni 4 ore).
    • Data di inizio: imposta la data di inizio della pianificazione.

  12. Fai clic su Salva modifiche.

  13. Nella pagina Panoramica di Connect, vai a Connessioni.

  14. Fai clic sulla connessione che hai creato (Tanium Comply to S3).

  15. Fai clic su Esegui ora per testare la connessione.

  16. Conferma di voler eseguire la connessione.

  17. Monitora lo stato della connessione e verifica che i risultati di conformità vengano esportati nel bucket S3.

(Facoltativo) Crea chiavi e utenti IAM di sola lettura per Google SecOps

  1. Vai alla console AWS > IAM > Utenti > Aggiungi utenti.
  2. Fai clic su Add users (Aggiungi utenti).
  3. Fornisci i seguenti dettagli di configurazione:
    • Utente: inserisci secops-reader.
    • Tipo di accesso: seleziona Chiave di accesso - Accesso programmatico.
  4. Fai clic su Crea utente.
  5. Collega la criterio per la lettura minima (personalizzata): Utenti > secops-reader > Autorizzazioni > Aggiungi autorizzazioni > Collega le norme direttamente > Crea norma.

  6. Nell'editor JSON, inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Imposta il nome su secops-reader-policy.

  8. Vai a Crea criterio > cerca/seleziona > Avanti > Aggiungi autorizzazioni.

  9. Vai a Credenziali di sicurezza > Chiavi di accesso > Crea chiave di accesso.

  10. Scarica il file CSV (questi valori vengono inseriti nel feed).

Configura un feed in Google SecOps per importare i log di Tanium Comply

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tanium Comply logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Tanium Comply come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://tanium-comply-logs/tanium/comply/ (modifica il percorso se hai utilizzato un nome o un percorso del bucket diverso).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3 (dall'utente di sola lettura creato sopra).
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3 (dell'utente di sola lettura creato sopra).
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
Nome computer entity.entity.asset.hostname Mappato direttamente dal campo "Nome computer" dopo aver sostituito gli spazi con trattini bassi.
CVE entity.entity.asset.vulnerabilities.cve_id Mappato direttamente dal campo "CVE".
Punteggio CVSS v3 entity.entity.asset.vulnerabilities.cvss_base_score Mappato direttamente dal campo "Punteggio CVSS v3" dopo essere stato rinominato in cvss_base_score.
Gravità CVSS v3 entity.entity.asset.vulnerabilities.severity_details Mappato direttamente dal campo "Gravità CVSS v3".
Vettore CVSS v3 entity.entity.asset.vulnerabilities.cvss_vector Mappato direttamente dal campo "Vettore CVSS v3".
Data primo rilevamento entity.entity.asset.vulnerabilities.first_found Analizzato dal campo "Data del primo ritrovamento" e convertito nel formato UTC RFC 3339. Se la data contiene "-", viene aggiunto "T00:00:00Z". In caso contrario, la data viene estratta utilizzando grok e poi convertita.
Indirizzo IP entity.entity.asset.ip Ogni indirizzo IP dell'array "IP Address" viene mappato a un campo "ip" separato nell'UDM.
Data ultimo rilevamento entity.entity.asset.vulnerabilities.last_found Analizzato dal campo "Data ultimo rilevamento" e convertito nel formato UTC RFC 3339. Se la data contiene "-", viene aggiunto "T00:00:00Z". In caso contrario, la data viene estratta utilizzando grok e poi convertita.
Titolo entity.entity.asset.vulnerabilities.name Mappato direttamente dal campo "Titolo".
collection_time.nanos entity.metadata.collected_timestamp.nanos Mappato direttamente dal campo "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Mappato direttamente dal campo "collection_time.seconds".
tempo entity.metadata.interval.start_time Analizzato dal campo "time" e convertito nel formato UTC RFC 3339.
- entity.metadata.entity_type Imposta su "ASSET".
- entity.metadata.product_entity_id Impostato su "Tanium: " concatenato con il valore del campo "computerName".
- entity.metadata.product_name Imposta su "Conforme".
- entity.metadata.vendor_name Imposta il valore su "Tanium".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.