Recolha registos do Tanium Comply

Compatível com:

Este documento explica como carregar registos do Tanium Comply para o Google Security Operations através do Amazon S3 com a capacidade de exportação nativa do S3 do Tanium Connect. O analisador transforma os dados de registo JSON num modelo de dados unificado (UDM). Extrai informações importantes sobre vulnerabilidades, como o ID CVE, as classificações CVSS, os endereços IP afetados e as datas/horas, e, em seguida, reestrutura-as no formato UDM padronizado para uma análise de segurança consistente.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao Tanium Connect e à Tanium Console
  • O Tanium Comply 2.1 ou posterior está instalado e configurado
  • Acesso privilegiado à AWS (S3, IAM)

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-comply-logs).
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure autorizações no contentor do Amazon S3

  1. Na consola do Amazon S3, escolha o contentor que criou anteriormente.
  2. Clique em Autorizações > Política do contentor.

  3. No Editor de políticas de contentores, adicione a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Substitua as seguintes variáveis:

    • Altere YOUR_ACCOUNT_ID para o ID da sua conta da AWS.
    • Altere tanium-comply-logs para o nome do seu contentor real, se for diferente.
    • Altere tanium-connect-s3-user para o seu nome de utilizador do IAM real, se for diferente.

  5. Clique em Guardar.

Configure o Tanium Connect para a exportação para o S3

  1. Inicie sessão na consola do Tanium como administrador.
  2. Aceda a Tanium Connect > Ligações.
  3. Clique em Criar associação.
  4. Na secção Informações gerais, faculte os seguintes detalhes de configuração:
    • Nome: introduza um nome descritivo (por exemplo, Tanium Comply to S3).
    • Descrição: introduza uma descrição significativa (por exemplo, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Ativar: selecione para ativar a ligação.
    • Nível de registo: selecione Informações (predefinição) ou ajuste conforme necessário.

  5. Na secção Configuração, em Origem, selecione Tanium Comply (Resultados).

  6. Configure as definições da origem do Comply:

    • Tipo de resultados: selecione o tipo de resultados a exportar (Todos, Conformidade ou Vulnerabilidade).
    • Incluir resultados resolvidos: selecione se quer incluir resultados que foram resolvidos.
    • Grupos de computadores: selecione os grupos de computadores a incluir na exportação (predefinição: todos os computadores).

  7. Em Destino, selecione AWS S3.

  8. Faculte os seguintes detalhes de configuração:

    • Nome do destino: introduza um nome (por exemplo, Google SecOps S3 Bucket).
    • Chave de acesso da AWS: introduza o ID da chave de acesso do utilizador do IAM criado anteriormente.
    • Chave secreta da AWS: introduza a chave de acesso secreta do utilizador do IAM criado anteriormente.
    • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-comply-logs).
    • Caminho do contentor: opcional. Introduza um prefixo de caminho (por exemplo, tanium/comply/).
    • Região: selecione a região da AWS onde o seu contentor reside (por exemplo, us-east-1).

  9. Na secção Formato, configure o formato de saída:

    • Tipo de formato: selecione JSON.
    • Incluir cabeçalhos de colunas: selecione se quer incluir cabeçalhos de colunas.
    • Gerar documento: desmarque esta opção para enviar dados JSON não processados.

  10. Opcional: na secção Configurar saída, configure filtros e colunas personalizadas, conforme necessário.

  11. Na secção Agendamento, configure quando a associação é executada:

    • Tipo de agendamento: selecione Cron.
    • Expressão cron: introduza uma expressão cron para exportações regulares (por exemplo, 0 */4 * * * para cada 4 horas).
    • Data de início: defina a data de início da programação.

  12. Clique em Guardar alterações.

  13. Na página Vista geral do Connect, aceda a Ligações.

  14. Clique na associação que criou (Tanium Comply to S3).

  15. Clique em Executar agora para testar a ligação.

  16. Confirme que quer executar a ligação.

  17. Monitorize o estado da associação e verifique se as conclusões de conformidade estão a ser exportadas para o seu contentor do S3.

Opcional: crie um utilizador e chaves da IAM só de leitura para o Google SecOps

  1. Aceda a AWS Console > IAM > Users > Add users.
  2. Clique em Adicionar utilizadores.
  3. Indique os seguintes detalhes de configuração:
    • Utilizador: introduza secops-reader.
    • Tipo de acesso: selecione Chave de acesso – Acesso programático.
  4. Clique em Criar utilizador.
  5. Anexe a política de leitura mínima (personalizada): Users > secops-reader > Permissions > Add permissions > Attach policies directly > Create policy.

  6. No editor JSON, introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Aceda a Criar política > pesquise/selecione > Seguinte > Adicionar autorizações.

  9. Aceda a Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Transfira o CSV (estes valores são introduzidos no feed).

Configure um feed no Google SecOps para carregar registos do Tanium Comply

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Comply logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Comply como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-comply-logs/tanium/comply/ (ajuste o caminho se tiver usado um nome ou um caminho do contentor diferente).
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3 (do utilizador só de leitura criado acima).
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3 (do utilizador só de leitura criado acima).
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento do UDM Lógica
Nome do computador entity.entity.asset.hostname Mapeado diretamente a partir do campo "Nome do computador" após substituir os espaços por carateres de sublinhado.
CVE entity.entity.asset.vulnerabilities.cve_id Mapeado diretamente a partir do campo "CVE".
Pontuação CVSS v3 entity.entity.asset.vulnerabilities.cvss_base_score Mapeado diretamente a partir do campo "CVSS v3 Score" após a mudança do nome para cvss_base_score.
Gravidade da CVSS v3 entity.entity.asset.vulnerabilities.severity_details Mapeado diretamente a partir do campo "Gravidade da CVSS v3".
Vetor CVSS v3 entity.entity.asset.vulnerabilities.cvss_vector Mapeado diretamente a partir do campo "CVSS v3 Vector".
Data da primeira deteção entity.entity.asset.vulnerabilities.first_found Analisado a partir do campo "Data da primeira deteção" e convertido para o formato UTC RFC 3339. Se a data contiver "-", é acrescentado "T00:00:00Z". Caso contrário, a data é extraída através do grok e, em seguida, convertida.
Endereço IP entity.entity.asset.ip Cada endereço IP da matriz "IP Address" é mapeado para um campo "ip" separado no UDM.
Data da última deteção entity.entity.asset.vulnerabilities.last_found Analisado a partir do campo "Data da última localização" e convertido para o formato UTC RFC 3339. Se a data contiver "-", é acrescentado "T00:00:00Z". Caso contrário, a data é extraída através do grok e, em seguida, convertida.
Título entity.entity.asset.vulnerabilities.name Mapeado diretamente a partir do campo "Título".
collection_time.nanos entity.metadata.collected_timestamp.nanos Mapeado diretamente a partir do campo "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Mapeado diretamente a partir do campo "collection_time.seconds".
tempo entity.metadata.interval.start_time Analisado a partir do campo "time" e convertido para o formato UTC RFC 3339.
- entity.metadata.entity_type Definido como "ASSET".
- entity.metadata.product_entity_id Definido como "Tanium: " concatenado com o valor do campo "computerName".
- entity.metadata.product_name Defina como "Em conformidade".
- entity.metadata.vendor_name Definido como "Tanium".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.