Recopilar registros de Tanium Discover

Disponible en:

En este documento se explica cómo ingerir registros de Tanium Discover en Google Security Operations mediante Amazon S3 con la función de exportación nativa a S3 de Tanium Connect. Tanium Discover descubre automáticamente interfaces de red y recursos en todo tu entorno, lo que te permite ver los endpoints gestionados y no gestionados, los dispositivos de red y otros sistemas conectados. El analizador extrae campos de los registros JSON, transforma campos específicos, como las direcciones MAC y la información del SO, y los asigna a UDM. Gestiona varios tipos de datos, añade metadatos como los detalles del proveedor y del producto, y combina los campos extraídos en la estructura de evento UDM final.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso privilegiado a Tanium Connect y Tanium Console
  • Tanium Discover 2.11 o una versión posterior instalada y configurada
  • Acceso privilegiado a AWS (S3, IAM)

Configurar un segmento de AWS S3 y IAM para Google SecOps

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, tanium-discover-logs).
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar permisos en un segmento de Amazon S3

  1. En la consola de Amazon S3, elija el segmento que ha creado anteriormente.
  2. Haz clic en Permisos > Política de contenedor.

  3. En el editor de políticas del segmento, añade la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Sustituye las siguientes variables:

    • Cambia YOUR_ACCOUNT_ID por tu ID de cuenta de AWS.
    • Cambia tanium-discover-logs por el nombre de tu segmento si es diferente.
    • Cambia tanium-connect-s3-user por tu nombre de usuario de IAM si es diferente.

  5. Haz clic en Guardar.

Configurar Tanium Connect para la exportación a S3

  1. Inicia sesión en la consola de Tanium como administrador.
  2. Ve a Tanium Connect > Connections (Conexiones).
  3. Haga clic en Crear conexión.
  4. En la sección General Information (Información general), proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre descriptivo (por ejemplo, Tanium Discover to S3).
    • Descripción: escriba una descripción significativa (por ejemplo, Export Tanium Discover interface data to S3 for Google SecOps ingestion).
    • Habilitar: selecciona esta opción para habilitar la conexión.
    • Nivel de registro: selecciona Información (opción predeterminada) o ajusta el nivel según sea necesario.
  5. En la sección Configuración, en Fuente, selecciona Tanium Discover.
  6. Configura los ajustes de la fuente de Discover:
    • Tipo de informe: selecciona el tipo de interfaces que quieres exportar:
      • Todo: exporta todas las interfaces de Discover.
      • Gestionado: exporta las interfaces que tienen instalado el cliente de Tanium.
      • No gestionado: exporta interfaces que no tengan instalado el cliente de Tanium.
      • Etiquetados: exporta todas las interfaces a las que se les ha aplicado una etiqueta.
      • Sin etiquetar: interfaces de exportación a las que no se les ha aplicado ninguna etiqueta.
      • Ignorados: interfaces de exportación marcadas como ignoradas.
      • No gestionables: interfaces de exportación que se han marcado como no gestionables.
  7. En Destino, selecciona AWS S3.
  8. Proporcione los siguientes detalles de configuración:
    • Nombre del destino: introduce un nombre (por ejemplo, Google SecOps S3 Bucket).
    • Clave de acceso de AWS: introduce el ID de clave de acceso del usuario de IAM que has creado anteriormente.
    • Clave secreta de AWS: introduce la clave de acceso secreta del usuario de IAM que has creado antes.
    • Nombre del segmento: introduce el nombre del segmento de S3 (por ejemplo, tanium-discover-logs).
    • Ruta del contenedor: opcional. Introduce un prefijo de ruta (por ejemplo, tanium/discover/).
    • Región: selecciona la región de AWS en la que se encuentra tu contenedor (por ejemplo, us-east-1).
  9. En la sección Formato, configura el formato de salida:
    • Tipo de formato: selecciona JSON.
    • Incluir encabezados de columna: selecciona si quieres incluir encabezados de columna.
    • Generar documento: desmarca esta opción para enviar datos JSON sin formato.
  10. Opcional: En la sección Configurar salida, configura los filtros:
    • Filtrar: puede usar filtros para exportar etiquetas específicas. Por ejemplo, si quiere exportar todas las interfaces etiquetadas con "Lost Interface", aplique un filtro de expresión regular y escriba "Lost Interface" como texto que debe coincidir en la columna de destino Etiquetas.
    • Columnas personalizadas: añada las columnas personalizadas que sean relevantes para su caso práctico.
  11. En la sección Programación, configure cuándo se ejecutará la conexión:
    • Tipo de programación: selecciona Cron.
    • Expresión cron: introduce una expresión cron para las exportaciones periódicas (por ejemplo, 0 */6 * * * para que se realicen cada 6 horas).
    • Fecha de inicio: define la fecha de inicio de la programación.
  12. Haz clic en Guardar cambios.
  13. En la página Vista general de Connect, ve a Conexiones.
  14. Haga clic en la conexión que ha creado (Tanium Discover a S3).
  15. Haz clic en Ejecutar ahora para probar la conexión.
  16. Confirma que quieres ejecutar la conexión.
  17. Monitoriza el estado de la conexión y comprueba que los datos de la interfaz de descubrimiento se están exportando a tu contenedor de S3.

Opcional: Crear un usuario y claves de gestión de identidades y accesos de solo lectura para Google SecOps

  1. Ve a Consola de AWS > IAM > Usuarios > Añadir usuarios.
  2. Haz clic en Add users (Añadir usuarios).
  3. Proporcione los siguientes detalles de configuración:
    • Usuario: introduce secops-reader.
    • Tipo de acceso: selecciona Clave de acceso – Acceso programático.
  4. Haz clic en Crear usuario.
  5. Asigna una política de lectura mínima (personalizada): Usuarios > secops-reader > Permisos > Añadir permisos > Asignar políticas directamente > Crear política.

  6. En el editor de JSON, introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Asigna el nombre secops-reader-policy.

  8. Ve a Crear política > busca o selecciona > Siguiente > Añadir permisos.

  9. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

  10. Descarga el archivo CSV (estos valores se introducen en el feed).

Configurar un feed en Google SecOps para ingerir registros de Tanium Discover

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Añadir nuevo feed.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Tanium Discover logs).
  4. Selecciona Amazon S3 V2 como Tipo de fuente.
  5. Seleccione Tanium Discover como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • URI de S3: s3://tanium-discover-logs/tanium/discover/ (ajusta la ruta si has usado otro nombre o ruta de segmento).
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • ID de clave de acceso: clave de acceso de usuario con acceso al segmento de S3 (del usuario de solo lectura creado anteriormente).
    • Clave de acceso secreta: clave secreta del usuario con acceso al segmento de S3 (del usuario de solo lectura creado anteriormente).
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
CentralizedNmap principal.asset.attribute.labels.key El analizador asigna el valor "CentralizedNmap".
CentralizedNmap principal.asset.attribute.labels.value Se toma directamente del campo CentralizedNmap del registro sin procesar y se convierte en una cadena.
IpAddress principal.asset.ip Se toma directamente del campo IpAddress del registro sin procesar.
IpAddress principal.ip Se toma directamente del campo IpAddress del registro sin procesar.
Labels principal.asset.attribute.labels.key El analizador asigna el valor "Labels".
Labels principal.asset.attribute.labels.value Se toma directamente del campo Labels del registro sin procesar.
MacAddress principal.asset.mac Se toma directamente del campo MacAddress del registro sin procesar, se sustituyen los guiones por dos puntos y el valor se convierte a minúsculas.
MacAddress principal.asset.product_object_id Concatena "TANIUM:" con el campo MacAddress (después de convertirlo a minúsculas y sustituir los guiones por dos puntos).
MacAddress principal.mac Se toma directamente del campo MacAddress del registro sin procesar, se sustituyen los guiones por dos puntos y el valor se convierte a minúsculas.
MacOrganization principal.asset.attribute.labels.key El analizador asigna el valor "MacOrganization".
MacOrganization principal.asset.attribute.labels.value Se toma directamente del campo MacOrganization del registro sin procesar y se convierte en una cadena.
Managed principal.asset.attribute.labels.key El analizador asigna el valor "Managed".
Managed principal.asset.attribute.labels.value Se toma directamente del campo Managed del registro sin procesar y se convierte en una cadena.
Os principal.asset.platform_software.platform Si Os es "Windows", el valor se define como "WINDOWS". Si Os es "Linux", el valor se define como "LINUX". De lo contrario, se le asigna el valor "UNKNOWN_PLATFORM".
Os principal.platform Si Os es "Windows", el valor se define como "WINDOWS". Si Os es "Linux", el valor se define como "LINUX". De lo contrario, se le asigna el valor "UNKNOWN_PLATFORM".
OsGeneration principal.asset.platform_software.platform_version Se toma directamente del campo OsGeneration del registro sin procesar y se convierte en una cadena.
OsGeneration principal.platform_version Se toma directamente del campo OsGeneration del registro sin procesar y se convierte en una cadena.
Ports principal.asset.attribute.labels.key El analizador asigna el valor "Ports".
Ports principal.asset.attribute.labels.value Se toma directamente del campo Ports del registro sin procesar.
Profile principal.asset.attribute.labels.key El analizador asigna el valor "Profile".
Profile principal.asset.attribute.labels.value Se toma directamente del campo Profile del registro sin procesar.
TaniumComputerId principal.asset.attribute.labels.key El analizador asigna el valor "TaniumComputerId".
TaniumComputerId principal.asset.attribute.labels.value Se toma directamente del campo TaniumComputerId del registro sin procesar y se convierte en una cadena.
Unmanageable principal.asset.attribute.labels.key El analizador asigna el valor "Unmanageable".
Unmanageable principal.asset.attribute.labels.value Se toma directamente del campo Unmanageable del registro sin procesar y se convierte en una cadena. Se toma del campo time del registro sin procesar, se analiza y se convierte a segundos de época. El analizador asigna el valor "SCAN_NETWORK". El analizador asigna el valor "TANIUM_DISCOVER". El valor "Discover" lo asigna el analizador. El analizador asigna el valor "Tanium". Se toma directamente del campo HostName del registro sin procesar. Se toma del campo time del registro sin procesar, se analiza y se convierte a segundos de época.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.