Raccogliere i log di Tanium Discover

Supportato in:

Questo documento spiega come importare i log di Tanium Discover in Google Security Operations utilizzando Amazon S3 tramite la funzionalità di esportazione S3 nativa di Tanium Connect. Tanium Discover rileva automaticamente interfacce di rete e asset nel tuo ambiente, fornendo visibilità su endpoint gestiti e non gestiti, dispositivi di rete e altri sistemi connessi. Il parser estrae i campi dai log JSON, trasforma campi specifici come indirizzi MAC e informazioni sul sistema operativo e li mappa a UDM. Gestisce vari tipi di dati, aggiunge metadati come i dettagli del fornitore e del prodotto e unisce i campi estratti nella struttura finale dell'evento UDM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso privilegiato a Tanium Connect e Tanium Console
  • Tanium Discover 2.11 o versioni successive installato e configurato
  • Accesso con privilegi ad AWS (S3, IAM)

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, tanium-discover-logs).
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura le autorizzazioni sul bucket Amazon S3

  1. Nella console Amazon S3, scegli il bucket che hai creato in precedenza.
  2. Fai clic su Autorizzazioni > Criterio del bucket.

  3. Nell'editor delle policy del bucket, aggiungi la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Sostituisci le seguenti variabili:

    • Modifica YOUR_ACCOUNT_ID con il tuo ID account AWS.
    • Se è diverso, modifica tanium-discover-logs con il nome del bucket effettivo.
    • Modifica tanium-connect-s3-user con il tuo nome utente IAM effettivo, se diverso.

  5. Fai clic su Salva.

Configurare Tanium Connect per l'esportazione S3

  1. Accedi alla console Tanium come amministratore.
  2. Vai a Tanium Connect > Connessioni.
  3. Fai clic su Crea connessione.
  4. Nella sezione Informazioni generali, fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Tanium Discover to S3).
    • Descrizione: inserisci una descrizione significativa (ad esempio, Export Tanium Discover interface data to S3 for Google SecOps ingestion).
    • Attiva: seleziona questa opzione per attivare la connessione.
    • Livello log: seleziona Informazioni (impostazione predefinita) o modificalo in base alle esigenze.
  5. Nella sezione Configurazione, per Origine, seleziona Tanium Discover.
  6. Configura le impostazioni dell'origine Discover:
    • Tipo di report: seleziona il tipo di interfacce da esportare:
      • Tutte: esporta tutte le interfacce in Discover.
      • Gestite: esporta le interfacce su cui è installato Tanium Client.
      • Non gestite: esporta le interfacce su cui non è installato Tanium Client.
      • Etichettati: esporta tutte le interfacce a cui è stata applicata un'etichetta.
      • Senza etichetta: esporta interfacce a cui non è stata applicata alcuna etichetta.
      • Ignorate: interfacce di esportazione contrassegnate come ignorate.
      • Non gestibili: esporta le interfacce contrassegnate come non gestibili.
  7. Per Destinazione, seleziona AWS S3.
  8. Fornisci i seguenti dettagli di configurazione:
    • Nome destinazione: inserisci un nome (ad esempio Google SecOps S3 Bucket).
    • Chiave di accesso AWS: inserisci l'ID chiave di accesso dell'utente IAM creato in precedenza.
    • Chiave segreta AWS: inserisci la chiave di accesso segreta dell'utente IAM creato in precedenza.
    • Nome bucket: inserisci il nome del bucket S3 (ad esempio tanium-discover-logs).
    • Percorso del bucket: facoltativo. Inserisci un prefisso del percorso (ad esempio, tanium/discover/).
    • Regione: seleziona la regione AWS in cui si trova il bucket (ad esempio us-east-1).
  9. Nella sezione Formato, configura il formato di output:
    • Tipo di formato: seleziona JSON.
    • Includi intestazioni di colonna: seleziona questa opzione se vuoi includere le intestazioni di colonna.
    • Genera documento: deseleziona questa opzione per inviare dati JSON non elaborati.
  10. (Facoltativo) Nella sezione Configura output, configura i filtri:
    • Filtro: puoi utilizzare i filtri per esportare etichette specifiche. Ad esempio, se vuoi esportare tutte le interfacce taggate con "Interfaccia persa", applica un filtro con espressione regolare e digita "Interfaccia persa" come testo da trovare nella colonna di destinazione Etichette.
    • Colonne personalizzate: aggiungi le colonne personalizzate pertinenti per il tuo caso d'uso.
  11. Nella sezione Pianificazione, configura quando viene eseguita la connessione:
    • Tipo di pianificazione: seleziona Cron.
    • Espressione cron: inserisci un'espressione cron per le esportazioni regolari (ad esempio, 0 */6 * * * ogni 6 ore).
    • Data di inizio: imposta la data di inizio della pianificazione.
  12. Fai clic su Salva modifiche.
  13. Nella pagina Panoramica di Connect, vai a Connessioni.
  14. Fai clic sulla connessione che hai creato (Tanium Discover to S3).
  15. Fai clic su Esegui ora per testare la connessione.
  16. Conferma di voler eseguire la connessione.
  17. Monitora lo stato della connessione e verifica che i dati dell'interfaccia di rilevamento vengano esportati nel bucket S3.

(Facoltativo) Crea chiavi e utenti IAM di sola lettura per Google SecOps

  1. Vai alla console AWS > IAM > Utenti > Aggiungi utenti.
  2. Fai clic su Add users (Aggiungi utenti).
  3. Fornisci i seguenti dettagli di configurazione:
    • Utente: inserisci secops-reader.
    • Tipo di accesso: seleziona Chiave di accesso - Accesso programmatico.
  4. Fai clic su Crea utente.
  5. Collega la criterio per la lettura minima (personalizzata): Utenti > secops-reader > Autorizzazioni > Aggiungi autorizzazioni > Collega le norme direttamente > Crea norma.

  6. Nell'editor JSON, inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Imposta il nome su secops-reader-policy.

  8. Vai a Crea criterio > cerca/seleziona > Avanti > Aggiungi autorizzazioni.

  9. Vai a Credenziali di sicurezza > Chiavi di accesso > Crea chiave di accesso.

  10. Scarica il file CSV (questi valori vengono inseriti nel feed).

Configura un feed in Google SecOps per importare i log di Tanium Discover

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tanium Discover logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Tanium Discover come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://tanium-discover-logs/tanium/discover/ (modifica il percorso se hai utilizzato un nome o un percorso del bucket diverso).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3 (dall'utente di sola lettura creato sopra).
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3 (dell'utente di sola lettura creato sopra).
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
CentralizedNmap principal.asset.attribute.labels.key Il valore "CentralizedNmap" viene assegnato dal parser.
CentralizedNmap principal.asset.attribute.labels.value Estratto direttamente dal campo CentralizedNmap nel log non elaborato e convertito in stringa.
IpAddress principal.asset.ip Estratto direttamente dal campo IpAddress nel log non elaborato.
IpAddress principal.ip Estratto direttamente dal campo IpAddress nel log non elaborato.
Labels principal.asset.attribute.labels.key Il valore "Etichette" viene assegnato dal parser.
Labels principal.asset.attribute.labels.value Estratto direttamente dal campo Labels nel log non elaborato.
MacAddress principal.asset.mac Estratto direttamente dal campo MacAddress nel log non elaborato, i trattini vengono sostituiti dai due punti e il valore viene convertito in minuscolo.
MacAddress principal.asset.product_object_id Concatena "TANIUM:" con il campo MacAddress (dopo averlo convertito in minuscolo e sostituito i trattini con i due punti).
MacAddress principal.mac Estratto direttamente dal campo MacAddress nel log non elaborato, i trattini vengono sostituiti dai due punti e il valore viene convertito in minuscolo.
MacOrganization principal.asset.attribute.labels.key Il valore "MacOrganization" viene assegnato dal parser.
MacOrganization principal.asset.attribute.labels.value Estratto direttamente dal campo MacOrganization nel log non elaborato e convertito in stringa.
Managed principal.asset.attribute.labels.key Il valore "Gestito" viene assegnato dal parser.
Managed principal.asset.attribute.labels.value Estratto direttamente dal campo Managed nel log non elaborato e convertito in stringa.
Os principal.asset.platform_software.platform Se Os è "Windows", il valore è impostato su "WINDOWS". Se Os è "Linux", il valore viene impostato su "LINUX". In caso contrario, il valore viene impostato su "UNKNOWN_PLATFORM".
Os principal.platform Se Os è "Windows", il valore è impostato su "WINDOWS". Se Os è "Linux", il valore viene impostato su "LINUX". In caso contrario, il valore viene impostato su "UNKNOWN_PLATFORM".
OsGeneration principal.asset.platform_software.platform_version Estratto direttamente dal campo OsGeneration nel log non elaborato e convertito in stringa.
OsGeneration principal.platform_version Estratto direttamente dal campo OsGeneration nel log non elaborato e convertito in stringa.
Ports principal.asset.attribute.labels.key Il valore "Ports" viene assegnato dal parser.
Ports principal.asset.attribute.labels.value Estratto direttamente dal campo Ports nel log non elaborato.
Profile principal.asset.attribute.labels.key Il valore "Profilo" viene assegnato dal parser.
Profile principal.asset.attribute.labels.value Estratto direttamente dal campo Profile nel log non elaborato.
TaniumComputerId principal.asset.attribute.labels.key Il valore "TaniumComputerId" viene assegnato dal parser.
TaniumComputerId principal.asset.attribute.labels.value Estratto direttamente dal campo TaniumComputerId nel log non elaborato e convertito in stringa.
Unmanageable principal.asset.attribute.labels.key Il valore "Non gestibile" viene assegnato dal parser.
Unmanageable principal.asset.attribute.labels.value Estratto direttamente dal campo Unmanageable nel log non elaborato e convertito in stringa. Estratto dal campo time nel log non elaborato, analizzato e convertito in secondi trascorsi da epoca. Il valore "SCAN_NETWORK" viene assegnato dal parser. Il valore "TANIUM_DISCOVER" viene assegnato dal parser. Il valore "Discover" viene assegnato dal parser. Il valore "Tanium" viene assegnato dal parser. Estratto direttamente dal campo HostName nel log non elaborato. Estratto dal campo time nel log non elaborato, analizzato e convertito in secondi trascorsi da epoca.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.