Coletar registros do Tanium Comply

Compatível com:

Este documento explica como ingerir registros do Tanium Comply no Google Security Operations usando o Amazon S3 com a capacidade nativa de exportação do S3 do Tanium Connect. O analisador transforma dados de registro JSON em um modelo de dados unificado (UDM). Ele extrai informações importantes sobre vulnerabilidades, como ID do CVE, pontuações do CVSS, endereços IP afetados e carimbos de data/hora, e as reestrutura no formato UDM padronizado para uma análise de segurança consistente.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao Tanium Connect e ao Tanium Console
  • Tanium Comply 2.1 ou mais recente instalado e configurado
  • Acesso privilegiado à AWS (S3, IAM)

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-comply-logs).
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar permissões no bucket do Amazon S3

  1. No console do Amazon S3, escolha o bucket que você criou anteriormente.
  2. Clique em Permissões > Política do bucket.

  3. No Editor de políticas do bucket, adicione a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-comply-logs",
        "arn:aws:s3:::tanium-comply-logs/*"
      ]
    }
  ]
}

  4. Substitua as seguintes variáveis:

    • Mude YOUR_ACCOUNT_ID para o ID da sua conta da AWS.
    • Mude tanium-comply-logs para o nome real do bucket, se for diferente.
    • Mude tanium-connect-s3-user para seu nome de usuário real do IAM, se for diferente.

  5. Clique em Salvar.

Configurar o Tanium Connect para exportação do S3

  1. Faça login no Tanium Console como administrador.
  2. Acesse Tanium Connect > Conexões.
  3. Clique em Criar conexão.
  4. Na seção Informações gerais, forneça os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo. Por exemplo, Tanium Comply to S3.
    • Descrição: insira uma descrição significativa (por exemplo, Export Tanium Comply findings to S3 for Google SecOps ingestion).
    • Ativar: selecione para ativar a conexão.
    • Nível de registro: selecione Informações (padrão) ou ajuste conforme necessário.

  5. Na seção Configuração, em Origem, selecione Tanium Comply (descobertas).

  6. Configure as configurações de origem do Comply:

    • Tipo de descoberta: selecione o tipo de descobertas a serem exportadas (Todas, Conformidade ou Vulnerabilidade).
    • Incluir descobertas resolvidas: selecione se você quer incluir descobertas que já foram resolvidas.
    • Grupos de computadores: selecione os grupos de computadores que serão incluídos na exportação. O padrão é "Todos os computadores".

  7. Em Destino, selecione AWS S3.

  8. Informe os seguintes detalhes de configuração:

    • Nome do destino: insira um nome, por exemplo, Google SecOps S3 Bucket.
    • Chave de acesso da AWS: insira o ID da chave de acesso do usuário do IAM criado anteriormente.
    • Chave secreta da AWS: insira a chave de acesso secreta do usuário do IAM criado anteriormente.
    • Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-comply-logs).
    • Caminho do bucket: opcional. Insira um prefixo de caminho (por exemplo, tanium/comply/).
    • Região: selecione a região da AWS em que o bucket está localizado (por exemplo, us-east-1).

  9. Na seção Formato, configure o formato de saída:

    • Tipo de formato: selecione JSON.
    • Incluir cabeçalhos de coluna: selecione se você quer incluir cabeçalhos de coluna.
    • Gerar documento: desmarque essa opção para enviar dados JSON brutos.

  10. Opcional: na seção Configurar saída, configure filtros e colunas personalizadas conforme necessário.

  11. Na seção Programação, configure quando a conexão será executada:

    • Tipo de programação: selecione Cron.
    • Expressão cron: insira uma expressão cron para exportações regulares (por exemplo, 0 */4 * * * para cada 4 horas).
    • Data de início: defina a data de início da programação.

  12. Clique em Salvar alterações.

  13. Na página Visão geral do Connect, acesse Conexões.

  14. Clique na conexão que você criou (Tanium Comply to S3).

  15. Clique em Executar agora para testar a conexão.

  16. Confirme que você quer executar a conexão.

  17. Monitore o status da conexão e verifique se as descobertas de compliance estão sendo exportadas para o bucket do S3.

Opcional: criar um usuário e chaves do IAM somente leitura para o Google SecOps

  1. Acesse Console da AWS > IAM > Usuários > Adicionar usuários.
  2. Clique em Add users.
  3. Informe os seguintes detalhes de configuração:
    • Usuário: insira secops-reader.
    • Tipo de acesso: selecione Chave de acesso – Acesso programático.
  4. Clique em Criar usuário.
  5. Anexe a política de leitura mínima (personalizada): Usuários > secops-reader > Permissões > Adicionar permissões > Anexar políticas diretamente > Criar política.

  6. No editor JSON, insira a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-comply-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-comply-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Acesse Criar política > pesquise/selecione > Próxima > Adicionar permissões.

  9. Acesse Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Faça o download do CSV (esses valores são inseridos no feed).

Configurar um feed no Google SecOps para ingerir registros do Tanium Comply

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Comply logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Comply como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-comply-logs/tanium/comply/ (ajuste o caminho se você usou um nome ou caminho de bucket diferente).
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3 (do usuário somente leitura criado acima).
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3 (do usuário somente leitura criado acima).
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Nome do computador entity.entity.asset.hostname Mapeado diretamente do campo "Nome do computador" depois de substituir os espaços por sublinhados.
CVE entity.entity.asset.vulnerabilities.cve_id Mapeado diretamente do campo "CVE".
Pontuação do CVSS v3 entity.entity.asset.vulnerabilities.cvss_base_score Mapeado diretamente do campo "Pontuação do CVSS v3" após a mudança de nome para cvss_base_score.
Gravidade do CVSS v3 entity.entity.asset.vulnerabilities.severity_details Mapeado diretamente do campo "Gravidade do CVSS v3".
Vetor do CVSS v3 entity.entity.asset.vulnerabilities.cvss_vector Mapeado diretamente do campo "CVSS v3 Vector".
Data da primeira descoberta entity.entity.asset.vulnerabilities.first_found Analisado do campo "Data da primeira descoberta" e convertido para o formato UTC RFC 3339. Se a data contiver "-", ela será anexada com "T00:00:00Z". Caso contrário, a data será extraída usando grok e convertida.
Endereço IP entity.entity.asset.ip Cada endereço IP da matriz "IP Address" é mapeado para um campo "ip" separado na UDM.
Data da última descoberta entity.entity.asset.vulnerabilities.last_found Analisado do campo "Data da última descoberta" e convertido para o formato RFC 3339 UTC. Se a data contiver "-", ela será anexada com "T00:00:00Z". Caso contrário, a data será extraída usando grok e convertida.
Título entity.entity.asset.vulnerabilities.name Mapeado diretamente do campo "Título".
collection_time.nanos entity.metadata.collected_timestamp.nanos Mapeado diretamente do campo "collection_time.nanos".
collection_time.seconds entity.metadata.collected_timestamp.seconds Mapeado diretamente do campo "collection_time.seconds".
tempo entity.metadata.interval.start_time Analisado do campo "time" e convertido para o formato UTC RFC 3339.
- entity.metadata.entity_type Definido como "ASSET".
- entity.metadata.product_entity_id Definido como "Tanium: " concatenado com o valor do campo "computerName".
- entity.metadata.product_name Defina como "Conformidade".
- entity.metadata.vendor_name Defina como "Tanium".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.