Tanium Discover-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Tanium Discover-Logs mit Amazon S3 in Google Security Operations aufnehmen. Dazu wird die native S3-Exportfunktion von Tanium Connect verwendet. Tanium Discover erkennt automatisch Netzwerkschnittstellen und Assets in Ihrer Umgebung und bietet so Einblick in verwaltete und nicht verwaltete Endpunkte, Netzwerkgeräte und andere verbundene Systeme. Der Parser extrahiert Felder aus den JSON-Logs, transformiert bestimmte Felder wie MAC-Adressen und Betriebssysteminformationen und ordnet sie dem UDM zu. Sie verarbeitet verschiedene Datentypen, fügt Metadaten wie Anbieter- und Produktdetails hinzu und führt die extrahierten Felder in der endgültigen UDM-Ereignisstruktur zusammen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf Tanium Connect und Tanium Console
  • Tanium Discover 2.11 oder höher ist installiert und konfiguriert.
  • Privilegierter Zugriff auf AWS (S3, IAM)

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. tanium-discover-logs).
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

Berechtigungen für Amazon S3-Bucket konfigurieren

  1. Wählen Sie in der Amazon S3-Konsole den Bucket aus, den Sie zuvor erstellt haben.
  2. Klicken Sie auf Berechtigungen > Bucket-Richtlinie.

  3. Fügen Sie im Bucket-Richtlinieneditor die folgende Richtlinie hinzu:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Ersetzen Sie die folgenden Variablen:

    • Ersetzen Sie YOUR_ACCOUNT_ID durch Ihre AWS-Konto-ID.
    • Ändern Sie tanium-discover-logs in Ihren tatsächlichen Bucket-Namen, falls er sich unterscheidet.
    • Ändern Sie tanium-connect-s3-user in Ihren tatsächlichen IAM-Nutzernamen, falls er sich unterscheidet.

  5. Klicken Sie auf Speichern.

Tanium Connect für den S3-Export konfigurieren

  1. Melden Sie sich als Administrator in der Tanium Console an.
  2. Klicken Sie auf Tanium Connect > Connections (Tanium Connect > Verbindungen).
  3. Klicken Sie auf Create Connection.
  4. Geben Sie im Abschnitt Allgemeine Informationen die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Tanium Discover to S3.
    • Beschreibung: Geben Sie eine aussagekräftige Beschreibung ein, z. B. Export Tanium Discover interface data to S3 for Google SecOps ingestion.
    • Aktivieren: Wählen Sie diese Option aus, um die Verbindung zu aktivieren.
    • Log-Ebene: Wählen Sie Informationen (Standard) aus oder passen Sie die Einstellung nach Bedarf an.
  5. Wählen Sie im Abschnitt Konfiguration für Quelle die Option Tanium Discover aus.
  6. Konfigurieren Sie die Einstellungen für die Discover-Quelle:
    • Berichtstyp: Wählen Sie den Typ der zu exportierenden Schnittstellen aus:
      • Alle: Alle Schnittstellen in Discover exportieren.
      • Verwaltet: Exportieren Sie Schnittstellen, auf denen der Tanium Client installiert ist.
      • Nicht verwaltet: Exportieren Sie Schnittstellen, auf denen der Tanium Client nicht installiert ist.
      • Mit Label: Alle Schnittstellen exportieren, denen ein Label zugewiesen ist.
      • Ohne Label: Exportschnittstellen, auf die keine Labels angewendet wurden.
      • Ignoriert: Export-Schnittstellen, die als ignoriert markiert sind.
      • Nicht verwaltbar: Exportschnittstellen, die als nicht verwaltbar markiert wurden.
  7. Wählen Sie unter Ziel die Option AWS S3 aus.
  8. Geben Sie die folgenden Konfigurationsdetails an:
    • Zielname: Geben Sie einen Namen ein, z. B. Google SecOps S3 Bucket.
    • AWS Access Key (AWS-Zugriffsschlüssel): Geben Sie die Zugriffsschlüssel-ID des zuvor erstellten IAM-Nutzers ein.
    • AWS Secret Key: Geben Sie den geheimen Zugriffsschlüssel des zuvor erstellten IAM-Nutzers ein.
    • Bucket-Name: Geben Sie den Namen Ihres S3-Buckets ein (z. B. tanium-discover-logs).
    • Bucket-Pfad: Optional. Geben Sie ein Pfadpräfix ein, z. B. tanium/discover/.
    • Region: Wählen Sie die AWS-Region aus, in der sich Ihr Bucket befindet, z. B. us-east-1.
  9. Konfigurieren Sie im Bereich Format das Ausgabeformat:
    • Formattyp: Wählen Sie JSON aus.
    • Spaltenüberschriften einfügen: Wählen Sie aus, ob Spaltenüberschriften eingefügt werden sollen.
    • Dokument generieren: Deaktivieren Sie diese Option, um Roh-JSON-Daten zu senden.
  10. Optional: Konfigurieren Sie im Bereich Ausgabe konfigurieren Filter:
    • Filter: Mit Filtern können Sie bestimmte Labels exportieren. Wenn Sie beispielsweise alle Schnittstellen exportieren möchten, die mit „Lost Interface“ getaggt sind, wenden Sie einen Filter für reguläre Ausdrücke an und geben Sie „Lost Interface“ als Text ein, der mit der Zielspalte „Labels“ übereinstimmen soll.
    • Benutzerdefinierte Spalten: Fügen Sie alle benutzerdefinierten Spalten hinzu, die für Ihren Anwendungsfall relevant sind.
  11. Konfigurieren Sie im Abschnitt Zeitplan, wann die Verbindung ausgeführt werden soll:
    • Schedule Type (Zeitplantyp): Wählen Sie Cron aus.
    • Cron-Ausdruck: Geben Sie einen Cron-Ausdruck für regelmäßige Exporte ein, z. B. 0 */6 * * * für alle 6 Stunden.
    • Startdatum: Legen Sie das Startdatum für den Zeitplan fest.
  12. Klicken Sie auf Änderungen speichern.
  13. Rufen Sie auf der Seite Connect-Übersicht die Seite Verbindungen auf.
  14. Klicken Sie auf die von Ihnen erstellte Verbindung (Tanium Discover to S3).
  15. Klicken Sie auf Jetzt ausführen, um die Verbindung zu testen.
  16. Bestätigen Sie, dass Sie die Verbindung ausführen möchten.
  17. Behalten Sie den Verbindungsstatus im Blick und prüfen Sie, ob Daten der Discover-Benutzeroberfläche in Ihren S3-Bucket exportiert werden.

Optional: IAM-Nutzer mit Lesezugriff und Schlüssel für Google SecOps erstellen

  1. Rufen Sie die AWS-Konsole > IAM > Nutzer > Nutzer hinzufügen auf.
  2. Klicken Sie auf Add users (Nutzer hinzufügen).
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzer: Geben Sie secops-reader ein.
    • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
  4. Klicken Sie auf Nutzer erstellen.
  5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

  6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Legen Sie secops-reader-policy als Name fest.

  8. Gehen Sie zu Richtlinie erstellen> suchen/auswählen > Weiter > Berechtigungen hinzufügen.

  9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

  10. Laden Sie die CSV herunter (diese Werte werden in den Feed eingegeben).

Feed in Google SecOps konfigurieren, um Tanium Discover-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tanium Discover logs.
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie Tanium Discover als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: s3://tanium-discover-logs/tanium/discover/ (passen Sie den Pfad an, wenn Sie einen anderen Bucket-Namen oder Pfad verwendet haben).
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket (vom oben erstellten schreibgeschützten Nutzer).
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket (vom oben erstellten schreibgeschützten Nutzer).
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
CentralizedNmap principal.asset.attribute.labels.key Der Wert „CentralizedNmap“ wird vom Parser zugewiesen.
CentralizedNmap principal.asset.attribute.labels.value Direkt aus dem Feld CentralizedNmap im Rohlog übernommen und in einen String konvertiert.
IpAddress principal.asset.ip Direkt aus dem Feld IpAddress im Rohlog.
IpAddress principal.ip Direkt aus dem Feld IpAddress im Rohlog.
Labels principal.asset.attribute.labels.key Der Wert „Labels“ wird vom Parser zugewiesen.
Labels principal.asset.attribute.labels.value Direkt aus dem Feld Labels im Rohlog.
MacAddress principal.asset.mac Direkt aus dem Feld MacAddress im Rohlog übernommen. Bindestriche werden durch Doppelpunkte ersetzt und der Wert wird in Kleinbuchstaben umgewandelt.
MacAddress principal.asset.product_object_id Verkettet „TANIUM:“ mit dem Feld MacAddress (nachdem es in Kleinbuchstaben umgewandelt und Bindestriche durch Doppelpunkte ersetzt wurden).
MacAddress principal.mac Direkt aus dem Feld MacAddress im Rohlog übernommen. Bindestriche werden durch Doppelpunkte ersetzt und der Wert wird in Kleinbuchstaben umgewandelt.
MacOrganization principal.asset.attribute.labels.key Der Wert „MacOrganization“ wird vom Parser zugewiesen.
MacOrganization principal.asset.attribute.labels.value Direkt aus dem Feld MacOrganization im Rohlog übernommen und in einen String konvertiert.
Managed principal.asset.attribute.labels.key Der Wert „Verwaltet“ wird vom Parser zugewiesen.
Managed principal.asset.attribute.labels.value Direkt aus dem Feld Managed im Rohlog übernommen und in einen String konvertiert.
Os principal.asset.platform_software.platform Wenn Os „Windows“ ist, wird der Wert auf „WINDOWS“ gesetzt. Wenn Os „Linux“ ist, wird der Wert auf „LINUX“ gesetzt. Andernfalls wird der Wert auf „UNKNOWN_PLATFORM“ gesetzt.
Os principal.platform Wenn Os „Windows“ ist, wird der Wert auf „WINDOWS“ gesetzt. Wenn Os „Linux“ ist, wird der Wert auf „LINUX“ gesetzt. Andernfalls wird der Wert auf „UNKNOWN_PLATFORM“ gesetzt.
OsGeneration principal.asset.platform_software.platform_version Direkt aus dem Feld OsGeneration im Rohlog übernommen und in einen String konvertiert.
OsGeneration principal.platform_version Direkt aus dem Feld OsGeneration im Rohlog übernommen und in einen String konvertiert.
Ports principal.asset.attribute.labels.key Der Wert „Ports“ wird vom Parser zugewiesen.
Ports principal.asset.attribute.labels.value Direkt aus dem Feld Ports im Rohlog.
Profile principal.asset.attribute.labels.key Der Wert „Profile“ wird vom Parser zugewiesen.
Profile principal.asset.attribute.labels.value Direkt aus dem Feld Profile im Rohlog.
TaniumComputerId principal.asset.attribute.labels.key Der Wert „TaniumComputerId“ wird vom Parser zugewiesen.
TaniumComputerId principal.asset.attribute.labels.value Direkt aus dem Feld TaniumComputerId im Rohlog übernommen und in einen String konvertiert.
Unmanageable principal.asset.attribute.labels.key Der Wert „Nicht verwaltbar“ wird vom Parser zugewiesen.
Unmanageable principal.asset.attribute.labels.value Direkt aus dem Feld Unmanageable im Rohlog übernommen und in einen String konvertiert. Wird aus dem Feld time im Rohlog übernommen, geparst und in Epochensekunden umgewandelt. Der Wert „SCAN_NETWORK“ wird vom Parser zugewiesen. Der Wert „TANIUM_DISCOVER“ wird vom Parser zugewiesen. Der Wert „Discover“ wird vom Parser zugewiesen. Der Wert „Tanium“ wird vom Parser zugewiesen. Direkt aus dem Feld HostName im Rohlog. Wird aus dem Feld time im Rohlog übernommen, geparst und in Epochensekunden umgewandelt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten