收集 Tanium Discover 記錄

支援的國家/地區:

本文說明如何使用 Tanium Connect 的原生 S3 匯出功能,透過 Amazon S3 將 Tanium Discover 記錄擷取至 Google Security Operations。Tanium Discover 會自動探索您環境中的網路介面和資產,讓您掌握受管理和未受管理的端點、網路裝置和其他連線系統。剖析器會從 JSON 記錄中擷取欄位、轉換特定欄位 (例如 MAC 位址和 OS 資訊),然後將這些欄位對應至 UDM。這項功能會處理各種資料類型、新增供應商和產品詳細資料等中繼資料,並將擷取的欄位合併至最終的 UDM 事件結構。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Tanium ConnectTanium Console 的特殊權限
  • 已安裝並設定 Tanium Discover 2.11 以上版本
  • AWS (S3、IAM) 的特殊存取權

為 Google SecOps 設定 AWS S3 值區和 IAM

  1. 按照這份使用者指南建立 Amazon S3 bucket建立 bucket
  2. 儲存 bucket 的「名稱」和「區域」,以供日後參考 (例如 tanium-discover-logs)。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

設定 Amazon S3 值區的權限

  1. Amazon S3 管理中心中,選擇您先前建立的值區。
  2. 依序點選「Permissions」(權限)「Bucket policy」(儲存空間政策)

  3. 在「Bucket Policy Editor」(值區政策編輯器) 中,新增下列政策:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:user/tanium-connect-s3-user"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::tanium-discover-logs",
        "arn:aws:s3:::tanium-discover-logs/*"
      ]
    }
  ]
}

  4. 請替換下列變數:

    • YOUR_ACCOUNT_ID 改為您的 AWS 帳戶 ID。
    • 如果不同,請將 tanium-discover-logs 變更為實際值區名稱。
    • 如果不同,請將 tanium-connect-s3-user 變更為實際的 IAM 使用者名稱。

  5. 按一下 [儲存]

設定 Tanium Connect,以便匯出至 S3

  1. 以管理員身分登入 Tanium Console
  2. 依序前往「Tanium Connect」>「Connections」
  3. 按一下「建立連線」
  4. 在「一般資訊」部分,提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Tanium Discover to S3)。
    • 說明:輸入有意義的說明 (例如 Export Tanium Discover interface data to S3 for Google SecOps ingestion)。
    • 啟用:選取即可啟用連線。
    • 「記錄層級」:選取「資訊」 (預設),或視需要調整。
  5. 在「設定」部分,選取「來源」的「Tanium Discover」
  6. 設定探索來源設定:
    • 報表類型:選取要匯出的介面類型:
      • 全部:匯出「探索」中的所有介面。
      • 已管理:匯出已安裝 Tanium Client 的介面。
      • 非受管:未安裝 Tanium Client 的匯出介面。
      • 已加標籤:匯出所有已套用標籤的介面。
      • 未加標籤:未套用任何標籤的匯出介面。
      • 已忽略:標示為忽略的匯出介面。
      • 無法管理:標示為無法管理的匯出介面。
  7. 在「目的地」部分,選取「AWS S3」。
  8. 提供下列設定詳細資料:
    • 目的地名稱:輸入名稱 (例如 Google SecOps S3 Bucket)。
    • AWS 存取金鑰:輸入先前建立的 IAM 使用者存取金鑰 ID。
    • AWS 密鑰:輸入先前建立的 IAM 使用者存取密鑰。
    • 值區名稱:輸入 S3 值區名稱 (例如 tanium-discover-logs)。
    • Bucket 路徑:選用。輸入路徑前置字串 (例如 tanium/discover/)。
    • 區域:選取儲存空間所在的 AWS 區域 (例如 us-east-1)。
  9. 在「格式」部分中,設定輸出格式:
    • 格式類型:選取「JSON」
    • 包含欄標題:選取是否要包含欄標題。
    • 產生文件:取消選取這個選項,即可傳送原始 JSON 資料。
  10. 選用步驟:在「設定輸出」部分設定篩選器:
    • 篩選:你可以使用篩選器匯出特定標籤。舉例來說,如要匯出所有標記為「Lost Interface」的介面,請套用規則運算式篩選器,並在「標籤」目標欄中輸入「Lost Interface」做為要比對的文字。
    • 自訂欄:新增與使用情境相關的自訂欄。
  11. 在「Schedule」(排程) 部分,設定連線的執行時間:
    • 排程類型:選取「Cron」
    • Cron 運算式:輸入定期匯出的 cron 運算式 (例如 0 */6 * * *,表示每 6 小時)。
    • 開始日期:設定時間表的開始日期。
  12. 按一下 [儲存變更]。
  13. 在「連結總覽」頁面中,前往「連結」
  14. 按一下您建立的連線 (「Tanium Discover to S3」)。
  15. 按一下「立即執行」測試連線。
  16. 確認要執行連線。
  17. 監控連線狀態,並確認探索介面資料已匯出至 S3 bucket。

選用:為 Google SecOps 建立唯讀 IAM 使用者和金鑰

  1. 依序前往 AWS 管理中心 > IAM > 使用者 > 新增使用者
  2. 點選 [Add users] (新增使用者)。
  3. 提供下列設定詳細資料:
    • 使用者:輸入 secops-reader
    • 存取類型:選取「存取金鑰 - 程式輔助存取」
  4. 按一下「建立使用者」
  5. 附加最低讀取權限政策 (自訂):依序選取「使用者」>「secops-reader」>「權限」>「新增權限」>「直接附加政策」>「建立政策」

  6. 在 JSON 編輯器中輸入下列政策:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tanium-discover-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tanium-discover-logs"
    }
  ]
}

  7. 將名稱設為 secops-reader-policy

  8. 依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」

  9. 依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」

  10. 下載 CSV (這些值會輸入至動態饋給)。

在 Google SecOps 中設定動態饋給,擷取 Tanium Discover 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Discover logs)。
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「Tanium Discover」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • S3 URIs3://tanium-discover-logs/tanium/discover/ (如果使用不同的值區名稱或路徑,請調整路徑)。
    • 來源刪除選項:根據偏好設定選取刪除選項。
    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰 (來自上述建立的唯讀使用者)。
    • 私密存取金鑰:具有 S3 bucket 存取權的使用者私密金鑰 (來自上述建立的唯讀使用者)。
    • 資產命名空間資產命名空間
    • 擷取標籤:要套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

UDM 對應表

記錄欄位 UDM 對應 邏輯
CentralizedNmap principal.asset.attribute.labels.key 「CentralizedNmap」值是由剖析器指派。
CentralizedNmap principal.asset.attribute.labels.value 直接取自原始記錄中的 CentralizedNmap 欄位,並轉換為字串。
IpAddress principal.asset.ip 直接取自原始記錄中的 IpAddress 欄位。
IpAddress principal.ip 直接取自原始記錄中的 IpAddress 欄位。
Labels principal.asset.attribute.labels.key 「Labels」值是由剖析器指派。
Labels principal.asset.attribute.labels.value 直接取自原始記錄中的 Labels 欄位。
MacAddress principal.asset.mac 直接取自原始記錄中的 MacAddress 欄位,並以半形冒號取代連字號,然後將值轉換為小寫。
MacAddress principal.asset.product_object_id 將「TANIUM:」與 MacAddress 欄位串連 (先將欄位轉換為小寫,並將連字號替換為半形冒號)。
MacAddress principal.mac 直接取自原始記錄中的 MacAddress 欄位,並以半形冒號取代連字號,然後將值轉換為小寫。
MacOrganization principal.asset.attribute.labels.key 剖析器會指派「MacOrganization」值。
MacOrganization principal.asset.attribute.labels.value 直接取自原始記錄中的 MacOrganization 欄位,並轉換為字串。
Managed principal.asset.attribute.labels.key 剖析器會指派「Managed」值。
Managed principal.asset.attribute.labels.value 直接取自原始記錄中的 Managed 欄位,並轉換為字串。
Os principal.asset.platform_software.platform 如果 Os 是「Windows」,值會設為「WINDOWS」。如果 Os 為「Linux」,值會設為「LINUX」。否則,值會設為「UNKNOWN_PLATFORM」。
Os principal.platform 如果 Os 是「Windows」,值會設為「WINDOWS」。如果 Os 為「Linux」,值會設為「LINUX」。否則,值會設為「UNKNOWN_PLATFORM」。
OsGeneration principal.asset.platform_software.platform_version 直接取自原始記錄中的 OsGeneration 欄位,並轉換為字串。
OsGeneration principal.platform_version 直接取自原始記錄中的 OsGeneration 欄位,並轉換為字串。
Ports principal.asset.attribute.labels.key 剖析器會指派「Ports」值。
Ports principal.asset.attribute.labels.value 直接取自原始記錄中的 Ports 欄位。
Profile principal.asset.attribute.labels.key 剖析器會指派「設定檔」值。
Profile principal.asset.attribute.labels.value 直接取自原始記錄中的 Profile 欄位。
TaniumComputerId principal.asset.attribute.labels.key 「TaniumComputerId」值是由剖析器指派。
TaniumComputerId principal.asset.attribute.labels.value 直接取自原始記錄中的 TaniumComputerId 欄位,並轉換為字串。
Unmanageable principal.asset.attribute.labels.key 剖析器會指派「無法管理」值。
Unmanageable principal.asset.attribute.labels.value 直接取自原始記錄中的 Unmanageable 欄位,並轉換為字串。取自原始記錄中的 time 欄位,經過剖析並轉換為 Epoch 秒數。剖析器會指派「SCAN_NETWORK」值。剖析器會指派「TANIUM_DISCOVER」值。剖析器會指派「探索」值。剖析器會指派「Tanium」這個值。直接取自原始記錄中的 HostName 欄位。取自原始記錄中的 time 欄位,經過剖析並轉換為 Epoch 秒數。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。