Recopila registros de Tanium Discover

Compatible con:

En este documento, se explica cómo transferir registros de Tanium Discover a Google Security Operations con Amazon S3 a través de la capacidad nativa de exportación a S3 de Tanium Connect. Tanium Discover descubre automáticamente las interfaces de red y los recursos en todo tu entorno, lo que proporciona visibilidad de los endpoints administrados y no administrados, los dispositivos de red y otros sistemas conectados. El analizador extrae campos de los registros JSON, transforma campos específicos, como las direcciones MAC y la información del SO, y los asigna al UDM. Maneja varios tipos de datos, agrega metadatos, como detalles del proveedor y del producto, y combina los campos extraídos en la estructura final del evento del UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso privilegiado a Tanium Connect y Tanium Console
  • Tanium Discover 2.11 o posterior instalado y configurado
  • Acceso privilegiado a AWS (S3, IAM)

Configura el bucket de AWS S3 y el IAM para Google SecOps

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
  2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, tanium-discover-logs).
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura los permisos en el bucket de Amazon S3

  1. En la consola de Amazon S3, elige el bucket que creaste anteriormente.
  2. Haz clic en Permisos > Política de bucket.

  3. En el Editor de políticas de bucket, agrega la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Reemplaza las siguientes variables:

    • Cambia YOUR_ACCOUNT_ID por tu ID de cuenta de AWS.
    • Si es diferente, cambia tanium-discover-logs por el nombre real de tu bucket.
    • Cambia tanium-connect-s3-user por tu nombre de usuario de IAM real si es diferente.

  5. Haz clic en Guardar.

Configura Tanium Connect para la exportación a S3

  1. Accede a la consola de Tanium como administrador.
  2. Ve a Tanium Connect > Connections.
  3. Haz clic en Create Connection.
  4. En la sección Información general, proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre descriptivo (por ejemplo, Tanium Discover to S3).
    • Descripción: Ingresa una descripción significativa (por ejemplo, Export Tanium Discover interface data to S3 for Google SecOps ingestion).
    • Habilitar: Selecciona esta opción para habilitar la conexión.
    • Nivel de registro: Selecciona Información (predeterminado) o ajústalo según sea necesario.
  5. En la sección Configuración, en Fuente, selecciona Tanium Discover.
  6. Configura los parámetros de la fuente de Descubre:
    • Tipo de informe: Selecciona el tipo de interfaces que deseas exportar:
      • Todo: Exporta todas las interfaces de Descubre.
      • Administrado: Exporta interfaces que tienen instalado el cliente de Tanium.
      • No administrado: Exporta interfaces que no tienen instalado el cliente de Tanium.
      • Etiquetadas: Exporta todas las interfaces a las que se les aplicó una etiqueta.
      • Sin etiquetar: Interfaces de exportación a las que no se les aplicó ninguna etiqueta.
      • Ignored: Se ignoran las interfaces de exportación marcadas como ignoradas.
      • No administrables: Interfaces de exportación que se marcaron como no administrables.
  7. En Destino, selecciona AWS S3.
  8. Proporciona los siguientes detalles de configuración:
    • Nombre del destino: Ingresa un nombre (por ejemplo, Google SecOps S3 Bucket).
    • Clave de acceso de AWS: Ingresa el ID de la clave de acceso del usuario de IAM que creaste antes.
    • Clave secreta de AWS: Ingresa la clave de acceso secreta del usuario de IAM que creaste antes.
    • Nombre del bucket: Ingresa el nombre de tu bucket de S3 (por ejemplo, tanium-discover-logs).
    • Ruta de acceso al bucket: Opcional. Ingresa un prefijo de ruta de acceso (por ejemplo, tanium/discover/).
    • Región: Selecciona la región de AWS en la que reside tu bucket (por ejemplo, us-east-1).
  9. En la sección Formato, configura el formato de salida:
    • Tipo de formato: Selecciona JSON.
    • Include Column Headers: Selecciona esta opción si deseas incluir encabezados de columna.
    • Generar documento: Anula la selección de esta opción para enviar datos JSON sin procesar.
  10. Opcional: En la sección Configurar salida, configura los filtros:
    • Filtro: Puedes usar filtros para exportar etiquetas específicas. Por ejemplo, si deseas exportar todas las interfaces etiquetadas como "Lost Interface", aplica un filtro de expresión regular y escribe "Lost Interface" como el texto que debe coincidir en la columna de destino Labels.
    • Columnas personalizadas: Agrega las columnas personalizadas que sean relevantes para tu caso de uso.
  11. En la sección Programación, configura cuándo se ejecutará la conexión:
    • Tipo de programa: Selecciona Cron.
    • Cron Expression: Ingresa una expresión cron para las exportaciones periódicas (por ejemplo, 0 */6 * * * para cada 6 horas).
    • Fecha de inicio: Establece la fecha de inicio de la programación.
  12. Haz clic en Guardar cambios.
  13. En la página Resumen de Connect, ve a Conexiones.
  14. Haz clic en la conexión que creaste (Tanium Discover to S3).
  15. Haz clic en Ejecutar ahora para probar la conexión.
  16. Confirma que deseas ejecutar la conexión.
  17. Supervisa el estado de la conexión y verifica que los datos de la interfaz de Discover se exporten a tu bucket de S3.

Opcional: Crea un usuario y claves de IAM de solo lectura para Google SecOps

  1. Ve a Consola de AWS > IAM > Usuarios > Agregar usuarios.
  2. Haz clic en Agregar usuarios.
  3. Proporciona los siguientes detalles de configuración:
    • Usuario: Ingresa secops-reader.
    • Tipo de acceso: Selecciona Clave de acceso: Acceso programático.
  4. Haz clic en Crear usuario.
  5. Adjunta la política de lectura mínima (personalizada): Usuarios > secops-reader > Permisos > Agregar permisos > Adjuntar políticas directamente > Crear política.

  6. En el editor de JSON, ingresa la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Configura el nombre como secops-reader-policy.

  8. Ve a Crear política > busca o selecciona > Siguiente > Agregar permisos.

  9. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

  10. Descarga el archivo CSV (estos valores se ingresan en el feed).

Configura un feed en Google SecOps para transferir registros de Tanium Discover

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Agregar feed nuevo.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Tanium Discover logs).
  4. Selecciona Amazon S3 V2 como el Tipo de fuente.
  5. Selecciona Tanium Discover como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • URI de S3: s3://tanium-discover-logs/tanium/discover/ (ajusta la ruta de acceso si usaste un nombre o una ruta de acceso de bucket diferentes).
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
    • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3 (del usuario de solo lectura creado anteriormente).
    • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3 (del usuario de solo lectura creado anteriormente).
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
CentralizedNmap principal.asset.attribute.labels.key El analizador asigna el valor "CentralizedNmap".
CentralizedNmap principal.asset.attribute.labels.value Se toma directamente del campo CentralizedNmap en el registro sin procesar y se convierte en una cadena.
IpAddress principal.asset.ip Se toma directamente del campo IpAddress en el registro sin procesar.
IpAddress principal.ip Se toma directamente del campo IpAddress en el registro sin procesar.
Labels principal.asset.attribute.labels.key El valor "Labels" lo asigna el analizador.
Labels principal.asset.attribute.labels.value Se toma directamente del campo Labels en el registro sin procesar.
MacAddress principal.asset.mac Se toma directamente del campo MacAddress en el registro sin procesar, los guiones se reemplazan por dos puntos y el valor se convierte a minúsculas.
MacAddress principal.asset.product_object_id Concatena "TANIUM:" con el campo MacAddress (después de convertirlo a minúsculas y reemplazar los guiones por dos puntos).
MacAddress principal.mac Se toma directamente del campo MacAddress en el registro sin procesar, los guiones se reemplazan por dos puntos y el valor se convierte a minúsculas.
MacOrganization principal.asset.attribute.labels.key El analizador asigna el valor "MacOrganization".
MacOrganization principal.asset.attribute.labels.value Se toma directamente del campo MacOrganization en el registro sin procesar y se convierte en una cadena.
Managed principal.asset.attribute.labels.key El analizador asigna el valor "Administrado".
Managed principal.asset.attribute.labels.value Se toma directamente del campo Managed en el registro sin procesar y se convierte en una cadena.
Os principal.asset.platform_software.platform Si Os es "Windows", el valor se establece en "WINDOWS". Si Os es "Linux", el valor se establece en "LINUX". De lo contrario, el valor se establece en "UNKNOWN_PLATFORM".
Os principal.platform Si Os es "Windows", el valor se establece en "WINDOWS". Si Os es "Linux", el valor se establece en "LINUX". De lo contrario, el valor se establece en "UNKNOWN_PLATFORM".
OsGeneration principal.asset.platform_software.platform_version Se toma directamente del campo OsGeneration en el registro sin procesar y se convierte en una cadena.
OsGeneration principal.platform_version Se toma directamente del campo OsGeneration en el registro sin procesar y se convierte en una cadena.
Ports principal.asset.attribute.labels.key El analizador asigna el valor "Ports".
Ports principal.asset.attribute.labels.value Se toma directamente del campo Ports en el registro sin procesar.
Profile principal.asset.attribute.labels.key El analizador asigna el valor "Profile".
Profile principal.asset.attribute.labels.value Se toma directamente del campo Profile en el registro sin procesar.
TaniumComputerId principal.asset.attribute.labels.key El analizador asigna el valor "TaniumComputerId".
TaniumComputerId principal.asset.attribute.labels.value Se toma directamente del campo TaniumComputerId en el registro sin procesar y se convierte en una cadena.
Unmanageable principal.asset.attribute.labels.key El analizador asigna el valor "No administrable".
Unmanageable principal.asset.attribute.labels.value Se toma directamente del campo Unmanageable en el registro sin procesar y se convierte en una cadena. Se toma del campo time en el registro sin procesar, se analiza y se convierte en segundos desde la época. El analizador asigna el valor "SCAN_NETWORK". El analizador asigna el valor "TANIUM_DISCOVER". El valor "Descubre" lo asigna el analizador. El analizador asigna el valor "Tanium". Se toma directamente del campo HostName en el registro sin procesar. Se toma del campo time en el registro sin procesar, se analiza y se convierte en segundos desde la época.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.