Collecter les journaux Tanium Discover

Compatible avec :

Ce document explique comment ingérer des journaux Tanium Discover dans Google Security Operations à l'aide d'Amazon S3 et de la fonctionnalité d'exportation S3 native de Tanium Connect. Tanium Discover détecte automatiquement les interfaces réseau et les ressources dans votre environnement, ce qui vous permet de voir les points de terminaison gérés et non gérés, les périphériques réseau et les autres systèmes connectés. L'analyseur extrait les champs des journaux JSON, transforme des champs spécifiques tels que les adresses MAC et les informations sur l'OS, et les mappe à l'UDM. Il gère différents types de données, ajoute des métadonnées telles que les informations sur le fournisseur et le produit, et fusionne les champs extraits dans la structure finale des événements UDM.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Accès privilégié à Tanium Connect et à la console Tanium
  • Tanium Discover 2.11 ou version ultérieure installé et configuré
  • Accès privilégié à AWS (S3, IAM)

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-discover-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer les autorisations sur le bucket Amazon S3

  1. Dans la console Amazon S3, sélectionnez le bucket que vous avez créé précédemment.
  2. Cliquez sur Autorisations > Règle du bucket.

  3. Dans l'éditeur de règles du bucket, ajoutez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Remplacez les variables suivantes :

    • Remplacez YOUR_ACCOUNT_ID par votre ID de compte AWS.
    • Si le nom de votre bucket est différent, remplacez tanium-discover-logs par le nom réel.
    • Si votre nom d'utilisateur IAM est différent, remplacez tanium-connect-s3-user par le nom d'utilisateur IAM réel.

  5. Cliquez sur Enregistrer.

Configurer Tanium Connect pour l'exportation S3

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Tanium Connect > Connexions.
  3. Cliquez sur Créer une connexion.
  4. Dans la section Informations générales, fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Tanium Discover to S3).
    • Description : saisissez une description pertinente (par exemple, Export Tanium Discover interface data to S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion.
    • Niveau de journalisation : sélectionnez Informations (par défaut) ou ajustez le niveau si nécessaire.
  5. Dans la section Configuration, sélectionnez Tanium Discover pour Source.
  6. Configurez les paramètres de la source Discover :
    • Type de rapport : sélectionnez le type d'interfaces à exporter :
      • Tous : exportez toutes les interfaces dans Discover.
      • Géré : exporte les interfaces sur lesquelles le client Tanium est installé.
      • Non géré : exportez les interfaces sur lesquelles le client Tanium n'est pas installé.
      • Avec libellé : exportez toutes les interfaces auxquelles un libellé a été appliqué.
      • Sans libellé : interfaces d'exportation auxquelles aucun libellé n'a été appliqué.
      • Ignorées : exporte les interfaces marquées comme ignorées.
      • Ingérables : interfaces d'exportation marquées comme ingérables.
  7. Dans le champ Destination, sélectionnez AWS S3.
  8. Fournissez les informations de configuration suivantes :
    • Nom de la destination : saisissez un nom (par exemple, Google SecOps S3 Bucket).
    • Clé d'accès AWS : saisissez l'ID de clé d'accès de l'utilisateur IAM créé précédemment.
    • Clé secrète AWS : saisissez la clé d'accès secrète de l'utilisateur IAM créé précédemment.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-discover-logs).
    • Chemin d'accès au bucket : facultatif. Saisissez un préfixe de chemin d'accès (par exemple, tanium/discover/).
    • Région : sélectionnez la région AWS dans laquelle se trouve votre bucket (par exemple, us-east-1).
  9. Dans la section Format, configurez le format de sortie :
    • Type de format : sélectionnez JSON.
    • Inclure les en-têtes de colonne : sélectionnez cette option si vous souhaitez inclure les en-têtes de colonne.
    • Générer un document : désélectionnez cette option pour envoyer des données JSON brutes.
  10. (Facultatif) Dans la section Configurer la sortie, configurez les filtres :
    • Filtre : vous pouvez utiliser des filtres pour exporter des libellés spécifiques. Par exemple, si vous souhaitez exporter toutes les interfaces taguées avec "Interface perdue", appliquez un filtre d'expression régulière et saisissez "Interface perdue" comme texte à faire correspondre dans la colonne cible "Libellés".
    • Colonnes personnalisées : ajoutez les colonnes personnalisées qui sont pertinentes pour votre cas d'utilisation.
  11. Dans la section Programmer, configurez la fréquence d'exécution de la connexion :
    • Type de programmation : sélectionnez Cron.
    • Expression Cron : saisissez une expression Cron pour les exportations régulières (par exemple, 0 */6 * * * pour toutes les six heures).
    • Date de début : définissez la date de début de la programmation.
  12. Cliquez sur Enregistrer les modifications.
  13. Sur la page Présentation de Connect, accédez à Connexions.
  14. Cliquez sur la connexion que vous avez créée (Tanium Discover vers S3).
  15. Cliquez sur Exécuter maintenant pour tester la connexion.
  16. Confirmez que vous souhaitez exécuter la connexion.
  17. Surveillez l'état de la connexion et vérifiez que les données de l'interface Discover sont exportées vers votre bucket S3.

Facultatif : Créez un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Accédez à la console AWS> IAM> Utilisateurs> Ajouter des utilisateurs.
  2. Cliquez sur Add users (Ajouter des utilisateurs).
  3. Fournissez les informations de configuration suivantes :
    • Utilisateur : saisissez secops-reader.
    • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
  4. Cliquez sur Créer un utilisateur.
  5. Associez une stratégie de lecture minimale (personnalisée) : Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Associer des stratégies directement > Créer une stratégie.

  6. Dans l'éditeur JSON, saisissez la stratégie suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Définissez le nom sur secops-reader-policy.

  8. Accédez à Créer une règle > recherchez/sélectionnez > Suivant > Ajouter des autorisations.

  9. Accédez à Identifiants de sécurité > Clés d'accès > Créer une clé d'accès.

  10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Discover

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Discover logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Discover comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-discover-logs/tanium/discover/ (ajustez le chemin d'accès si vous avez utilisé un autre nom ou chemin d'accès pour le bucket).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur avec accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3 (à partir de l'utilisateur en lecture seule créé ci-dessus).
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
CentralizedNmap principal.asset.attribute.labels.key La valeur "CentralizedNmap" est attribuée par l'analyseur.
CentralizedNmap principal.asset.attribute.labels.value Directement extraite du champ CentralizedNmap du journal brut et convertie en chaîne.
IpAddress principal.asset.ip Directement extrait du champ IpAddress du journal brut.
IpAddress principal.ip Directement extrait du champ IpAddress du journal brut.
Labels principal.asset.attribute.labels.key La valeur "Libellés" est attribuée par l'analyseur.
Labels principal.asset.attribute.labels.value Directement extrait du champ Labels du journal brut.
MacAddress principal.asset.mac Directement extraite du champ MacAddress du journal brut, les tirets sont remplacés par des deux-points et la valeur est convertie en minuscules.
MacAddress principal.asset.product_object_id Concatène "TANIUM:" avec le champ MacAddress (après l'avoir converti en minuscules et remplacé les tirets par des deux-points).
MacAddress principal.mac Directement extraite du champ MacAddress du journal brut, les tirets sont remplacés par des deux-points et la valeur est convertie en minuscules.
MacOrganization principal.asset.attribute.labels.key La valeur "MacOrganization" est attribuée par l'analyseur.
MacOrganization principal.asset.attribute.labels.value Directement extraite du champ MacOrganization du journal brut et convertie en chaîne.
Managed principal.asset.attribute.labels.key La valeur "Géré" est attribuée par l'analyseur.
Managed principal.asset.attribute.labels.value Directement extraite du champ Managed du journal brut et convertie en chaîne.
Os principal.asset.platform_software.platform Si Os est défini sur "Windows", la valeur est définie sur "WINDOWS". Si Os est défini sur "Linux", la valeur est définie sur "LINUX". Sinon, la valeur est définie sur "UNKNOWN_PLATFORM".
Os principal.platform Si Os est défini sur "Windows", la valeur est définie sur "WINDOWS". Si Os est défini sur "Linux", la valeur est définie sur "LINUX". Sinon, la valeur est définie sur "UNKNOWN_PLATFORM".
OsGeneration principal.asset.platform_software.platform_version Directement extraite du champ OsGeneration du journal brut et convertie en chaîne.
OsGeneration principal.platform_version Directement extraite du champ OsGeneration du journal brut et convertie en chaîne.
Ports principal.asset.attribute.labels.key La valeur "Ports" est attribuée par l'analyseur.
Ports principal.asset.attribute.labels.value Directement extrait du champ Ports du journal brut.
Profile principal.asset.attribute.labels.key La valeur "Profile" est attribuée par l'analyseur.
Profile principal.asset.attribute.labels.value Directement extrait du champ Profile du journal brut.
TaniumComputerId principal.asset.attribute.labels.key La valeur "TaniumComputerId" est attribuée par l'analyseur.
TaniumComputerId principal.asset.attribute.labels.value Directement extraite du champ TaniumComputerId du journal brut et convertie en chaîne.
Unmanageable principal.asset.attribute.labels.key La valeur "Ingérable" est attribuée par l'analyseur.
Unmanageable principal.asset.attribute.labels.value Directement extraite du champ Unmanageable du journal brut et convertie en chaîne. Extrait du champ time du journal brut, analysé et converti en secondes depuis l'epoch. La valeur "SCAN_NETWORK" est attribuée par l'analyseur. La valeur "TANIUM_DISCOVER" est attribuée par l'analyseur. La valeur "Discover" est attribuée par l'analyseur. La valeur "Tanium" est attribuée par l'analyseur. Directement extrait du champ HostName du journal brut. Extrait du champ time du journal brut, analysé et converti en secondes depuis l'epoch.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.