Recolha registos do Tanium Discover

Compatível com:

Este documento explica como carregar registos do Tanium Discover para o Google Security Operations através do Amazon S3 com a capacidade de exportação nativa do S3 do Tanium Connect. O Tanium Discover descobre automaticamente interfaces de rede e recursos no seu ambiente, oferecendo visibilidade dos pontos finais geridos e não geridos, dos dispositivos de rede e de outros sistemas ligados. O analisador extrai campos dos registos JSON, transforma campos específicos, como endereços MAC e informações do SO, e mapeia-os para o UDM. Processa vários tipos de dados, adiciona metadados, como detalhes do fornecedor e do produto, e une os campos extraídos na estrutura final do evento UDM.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao Tanium Connect e à Tanium Console
  • O Tanium Discover 2.11 ou posterior está instalado e configurado
  • Acesso privilegiado à AWS (S3, IAM)

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-discover-logs).
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure autorizações no contentor do Amazon S3

  1. Na consola do Amazon S3, escolha o contentor que criou anteriormente.
  2. Clique em Autorizações > Política do contentor.

  3. No Editor de políticas de contentores, adicione a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. Substitua as seguintes variáveis:

    • Altere YOUR_ACCOUNT_ID para o ID da sua conta da AWS.
    • Altere tanium-discover-logs para o nome do seu contentor real, se for diferente.
    • Altere tanium-connect-s3-user para o seu nome de utilizador do IAM real, se for diferente.

  5. Clique em Guardar.

Configure o Tanium Connect para a exportação para o S3

  1. Inicie sessão na consola do Tanium como administrador.
  2. Aceda a Tanium Connect > Ligações.
  3. Clique em Criar associação.
  4. Na secção Informações gerais, faculte os seguintes detalhes de configuração:
    • Nome: introduza um nome descritivo (por exemplo, Tanium Discover to S3).
    • Descrição: introduza uma descrição significativa (por exemplo, Export Tanium Discover interface data to S3 for Google SecOps ingestion).
    • Ativar: selecione para ativar a ligação.
    • Nível de registo: selecione Informações (predefinição) ou ajuste conforme necessário.
  5. Na secção Configuração, em Origem, selecione Tanium Discover.
  6. Configure as definições da origem do Discover:
    • Tipo de relatório: selecione o tipo de interfaces a exportar:
      • Tudo: exporte todas as interfaces no Discover.
      • Gerido: exporte interfaces que tenham o cliente Tanium instalado.
      • Não gerido: exporte interfaces que não tenham o cliente Tanium instalado.
      • Com etiqueta: exporte todas as interfaces às quais foi aplicada uma etiqueta.
      • Sem etiqueta: interfaces de exportação às quais não foram aplicadas etiquetas.
      • Ignoradas: exporta interfaces marcadas como ignoradas.
      • Não geríveis: exporte interfaces que foram marcadas como não geríveis.
  7. Em Destino, selecione AWS S3.
  8. Indique os seguintes detalhes de configuração:
    • Nome do destino: introduza um nome (por exemplo, Google SecOps S3 Bucket).
    • Chave de acesso da AWS: introduza o ID da chave de acesso do utilizador do IAM criado anteriormente.
    • Chave secreta da AWS: introduza a chave de acesso secreta do utilizador do IAM criado anteriormente.
    • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-discover-logs).
    • Caminho do contentor: opcional. Introduza um prefixo de caminho (por exemplo, tanium/discover/).
    • Região: selecione a região da AWS onde o seu contentor reside (por exemplo, us-east-1).
  9. Na secção Formato, configure o formato de saída:
    • Tipo de formato: selecione JSON.
    • Incluir cabeçalhos de colunas: selecione se quer incluir cabeçalhos de colunas.
    • Gerar documento: desmarque esta opção para enviar dados JSON não processados.
  10. Opcional: na secção Configurar saída, configure os filtros:
    • Filtrar: pode usar filtros para exportar etiquetas específicas. Por exemplo, se quiser exportar todas as interfaces etiquetadas com "Lost Interface", aplique um filtro de expressão regular e escreva "Lost Interface" como o texto a corresponder na coluna de destino Etiquetas.
    • Colunas personalizadas: adicione quaisquer colunas personalizadas relevantes para o seu exemplo de utilização.
  11. Na secção Agendamento, configure quando a associação é executada:
    • Tipo de agendamento: selecione Cron.
    • Expressão cronológica: introduza uma expressão cronológica para exportações regulares (por exemplo, 0 */6 * * * para cada 6 horas).
    • Data de início: defina a data de início da programação.
  12. Clique em Guardar alterações.
  13. Na página Vista geral do Connect, aceda a Ligações.
  14. Clique na associação que criou (Tanium Discover para S3).
  15. Clique em Executar agora para testar a ligação.
  16. Confirme que quer executar a ligação.
  17. Monitorize o estado da ligação e verifique se os dados da interface de descoberta estão a ser exportados para o seu contentor do S3.

Opcional: crie um utilizador e chaves da IAM só de leitura para o Google SecOps

  1. Aceda a AWS Console > IAM > Users > Add users.
  2. Clique em Adicionar utilizadores.
  3. Indique os seguintes detalhes de configuração:
    • Utilizador: introduza secops-reader.
    • Tipo de acesso: selecione Chave de acesso – Acesso programático.
  4. Clique em Criar utilizador.
  5. Anexe a política de leitura mínima (personalizada): Users > secops-reader > Permissions > Add permissions > Attach policies directly > Create policy.

  6. No editor JSON, introduza a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. Defina o nome como secops-reader-policy.

  8. Aceda a Criar política > pesquise/selecione > Seguinte > Adicionar autorizações.

  9. Aceda a Credenciais de segurança > Chaves de acesso > Criar chave de acesso.

  10. Transfira o CSV (estes valores são introduzidos no feed).

Configure um feed no Google SecOps para carregar registos do Tanium Discover

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Discover logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Discover como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-discover-logs/tanium/discover/ (ajuste o caminho se tiver usado um nome ou um caminho do contentor diferente).
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3 (do utilizador só de leitura criado acima).
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3 (do utilizador só de leitura criado acima).
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
CentralizedNmap principal.asset.attribute.labels.key O valor "CentralizedNmap" é atribuído pelo analisador.
CentralizedNmap principal.asset.attribute.labels.value Diretamente retirado do campo CentralizedNmap no registo não processado e convertido em string.
IpAddress principal.asset.ip Diretamente retirado do campo IpAddress no registo não processado.
IpAddress principal.ip Diretamente retirado do campo IpAddress no registo não processado.
Labels principal.asset.attribute.labels.key O valor "Etiquetas" é atribuído pelo analisador.
Labels principal.asset.attribute.labels.value Diretamente retirado do campo Labels no registo não processado.
MacAddress principal.asset.mac Diretamente retirado do campo MacAddress no registo não processado, os hífens são substituídos por dois pontos e o valor é convertido em letras minúsculas.
MacAddress principal.asset.product_object_id Concatena "TANIUM:" com o campo MacAddress (depois de o converter em letras minúsculas e substituir os hífenes por dois pontos).
MacAddress principal.mac Diretamente retirado do campo MacAddress no registo não processado, os hífens são substituídos por dois pontos e o valor é convertido em letras minúsculas.
MacOrganization principal.asset.attribute.labels.key O valor "MacOrganization" é atribuído pelo analisador.
MacOrganization principal.asset.attribute.labels.value Diretamente retirado do campo MacOrganization no registo não processado e convertido em string.
Managed principal.asset.attribute.labels.key O valor "Managed" é atribuído pelo analisador.
Managed principal.asset.attribute.labels.value Diretamente retirado do campo Managed no registo não processado e convertido em string.
Os principal.asset.platform_software.platform Se Os for "Windows", o valor é definido como "WINDOWS". Se Os for "Linux", o valor é definido como "LINUX". Caso contrário, o valor é definido como "UNKNOWN_PLATFORM".
Os principal.platform Se Os for "Windows", o valor é definido como "WINDOWS". Se Os for "Linux", o valor é definido como "LINUX". Caso contrário, o valor é definido como "UNKNOWN_PLATFORM".
OsGeneration principal.asset.platform_software.platform_version Diretamente retirado do campo OsGeneration no registo não processado e convertido em string.
OsGeneration principal.platform_version Diretamente retirado do campo OsGeneration no registo não processado e convertido em string.
Ports principal.asset.attribute.labels.key O valor "Ports" é atribuído pelo analisador.
Ports principal.asset.attribute.labels.value Diretamente retirado do campo Ports no registo não processado.
Profile principal.asset.attribute.labels.key O valor "Profile" é atribuído pelo analisador.
Profile principal.asset.attribute.labels.value Diretamente retirado do campo Profile no registo não processado.
TaniumComputerId principal.asset.attribute.labels.key O valor "TaniumComputerId" é atribuído pelo analisador.
TaniumComputerId principal.asset.attribute.labels.value Diretamente retirado do campo TaniumComputerId no registo não processado e convertido em string.
Unmanageable principal.asset.attribute.labels.key O valor "Unmanageable" é atribuído pelo analisador.
Unmanageable principal.asset.attribute.labels.value Diretamente retirado do campo Unmanageable no registo não processado e convertido em string. Extraído do campo time no registo não processado, analisado e convertido em segundos desde epoch. O valor "SCAN_NETWORK" é atribuído pelo analisador. O valor "TANIUM_DISCOVER" é atribuído pelo analisador. O valor "Discover" é atribuído pelo analisador. O valor "Tanium" é atribuído pelo analisador. Diretamente retirado do campo HostName no registo não processado. Extraído do campo time no registo não processado, analisado e convertido em segundos desde epoch.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.