Tanium Integrity Monitor-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Tanium Integrity Monitor-Logs mit der nativen AWS S3-Exportfunktion von Tanium Connect in Google Security Operations aufnehmen. Tanium Integrity Monitor generiert Ereignisse zur Überwachung der Datei- und Registrierungs-Integrität im JSON-Format, die mit Tanium Connect direkt in S3 exportiert werden können, ohne dass benutzerdefinierte Lambda-Funktionen erforderlich sind. Der Parser extrahiert zuerst Felder wie „computer_name“, „process_path“ und „change_type“ aus dem Feld „message“ der JSON-Logs von Tanium Integrity Monitor mithilfe von Mustervergleich. Anschließend werden diese extrahierten Felder und einige direkt geparste JSON-Felder in das Unified Data Model (UDM) formatiert. Dabei werden sowohl Felder mit einem als auch mit mehreren Werten verarbeitet.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf die Tanium Console mit installierten Integrity Monitor- und Connect-Modulen
  • Privilegierter Zugriff auf AWS (S3, IAM)

Voraussetzungen für Tanium Integrity Monitor

  1. Melden Sie sich als Administrator in der Tanium Console an.
  2. Klicken Sie auf Verwaltung > Berechtigungen > Nutzer.
  3. Erstellen oder identifizieren Sie einen Dienstkontonutzer mit den folgenden Rollen:
    • Rolle Dienstkonto für Integritätsmonitoring.
    • Berechtigung für die Rolle Connect User.
    • Zugriff auf überwachte Computergruppen (empfohlen: Gruppe Alle Computer).

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. tanium-integrity-monitor-logs).
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

Tanium Connect-AWS S3-Ziel konfigurieren

  1. Melden Sie sich in der Tanium Console an.
  2. Klicken Sie auf Module> Connect (Module > Verbinden).
  3. Klicken Sie auf Create Connection.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Integrity Monitor to S3 for SecOps.
    • Beschreibung: Optionale Beschreibung (z. B. Export IM events to AWS S3 for Google SecOps ingestion).
    • Aktivieren: Wählen Sie diese Option aus, um die Verbindung nach Zeitplan auszuführen.
  5. Klicken Sie auf Weiter.

Verbindungsquelle konfigurieren

  1. Wählen Sie Integritätsüberwachungsereignisse als Quelltyp aus.
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Quelle: Wählen Sie Integrity Monitor – Monitor Events (Integritätsmonitor – Monitor-Ereignisse) aus.
    • Dienstkonto: Für die Verbindung wird das in den Integrity Monitor-Einstellungen konfigurierte Tanium Connect-Dienstkonto verwendet.
    • Monitor: Wählen Sie Alle Monitore aus oder wählen Sie bestimmte Monitore aus, die exportiert werden sollen.
    • Ereignistypen: Wählen Sie die Ereignistypen aus, die berücksichtigt werden sollen:
      • Dateiereignisse: Dazu gehören Ereignisse zum Erstellen, Ändern und Löschen von Dateien.
      • Registrierungsereignisse: Umfassen Änderungen am Registrierungsschlüssel (nur Windows).
      • Berechtigungsereignisse: Umfassen Änderungen an Dateiberechtigungen.
    • Ereignisse mit Labels einbeziehen: Wählen Sie diese Option aus, um Ereignisse mit Labels einzubeziehen.
    • Ereignisse ohne Label einbeziehen: Wählen Sie diese Option aus, um Ereignisse ohne Label einzubeziehen.
  3. Klicken Sie auf Weiter.

AWS S3-Ziel konfigurieren

  1. Wählen Sie AWS S3 als Zieltyp aus.
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Zielname: Geben Sie einen eindeutigen Namen ein, z. B. Google SecOps S3 Destination.
    • AWS Access Key (AWS-Zugriffsschlüssel): Geben Sie den AWS-Zugriffsschlüssel aus dem vorherigen Schritt ein.
    • AWS Secret Access Key (geheimer AWS-Zugriffsschlüssel): Geben Sie den geheimen AWS-Zugriffsschlüssel aus dem vorherigen Schritt ein.
    • Bucket-Name: Geben Sie den Namen Ihres S3-Buckets ein (z. B. tanium-integrity-monitor-logs).
    • Region: Wählen Sie die AWS-Region aus, in der sich Ihr S3-Bucket befindet.
    • Schlüsselpräfix: Geben Sie ein Präfix für die S3-Objekte ein (z. B. tanium/integrity-monitor/).
    • Erweiterte Einstellungen:
      • Dateibenennung: Wählen Sie Datums- und zeitbasierte Benennung aus.
      • Dateiformat: Wählen Sie JSON Lines für die optimale Google SecOps-Aufnahme aus.
      • Komprimierung: Wählen Sie Gzip aus, um die Speicherkosten zu senken.
  3. Klicken Sie auf Weiter.

Optional: Filter konfigurieren

  1. Konfigurieren Sie bei Bedarf Datenfilter:
    • Nur neue Elemente: Wählen Sie diese Option aus, um nur neue Ereignisse seit dem letzten Export zu senden.
    • Ereignisfilter: Fügen Sie Filter basierend auf Ereignisattributen hinzu, wenn eine bestimmte Filterung erforderlich ist.
    • Filter für Computergruppen: Wählen Sie bei Bedarf bestimmte Computergruppen aus.
  2. Klicken Sie auf Weiter.

Daten für AWS S3 formatieren

  1. Konfigurieren Sie das Datenformat:
    • Format: Wählen Sie JSON aus.
    • Header einfügen: Deaktivieren Sie diese Option, um Header in der JSON-Ausgabe zu vermeiden.
    • Feldzuordnungen: Verwenden Sie die Standardfeldzuordnungen oder passen Sie sie nach Bedarf an.
    • Zeitstempelformat: Wählen Sie das ISO 8601-Format aus, um eine einheitliche Zeitdarstellung zu gewährleisten.
  2. Klicken Sie auf Weiter.

Verbindung planen

  1. Konfigurieren Sie im Abschnitt Zeitplan den Exportzeitplan:
    • Zeitplan aktivieren: Wählen Sie diese Option aus, um automatische geplante Exporte zu aktivieren.
    • Planungstyp: Wählen Sie Wiederkehrend aus.
    • Häufigkeit: Wählen Sie Stündlich für den regelmäßigen Datenexport aus.
    • Startzeit: Legen Sie eine geeignete Startzeit für den ersten Export fest.
  2. Klicken Sie auf Weiter.

Verbindung speichern und bestätigen

  1. Überprüfen Sie die Verbindungskonfiguration auf dem Übersichtsbildschirm.
  2. Klicken Sie auf Save, um die Verbindung herzustellen.
  3. Klicken Sie auf Verbindung testen, um die Konfiguration zu überprüfen.
  4. Wenn der Test erfolgreich ist, klicken Sie auf Jetzt ausführen, um einen ersten Export durchzuführen.
  5. Überwachen Sie den Verbindungsstatus auf der Seite Connect-Übersicht.

Feed in Google SecOps konfigurieren, um Tanium Integrity Monitor-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tanium Integrity Monitor logs.
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie Tanium Integrity Monitor als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Computername principal.hostname Direkt aus dem Feld „Computername“ im Rohlog zugeordnet.
Anzahl additional.fields.value.string_value Direkt aus dem Feld „Anzahl“ im Rohlog zugeordnet.
CreateNewFile security_result.category_details Wird direkt aus dem Feld „Change Type“ (Änderungstyp) im Rohlog abgeleitet, wenn der Wert „CreateNewFile“ (Neue Datei erstellen) ist.
Hash target.file.sha256 Direkt aus dem Feld „Hash“ im Rohlog zugeordnet.
„Keine Ereignisse entsprechen den Filtern“ security_result.about.labels.value Direkt aus dem Feld „ID“ im Rohlog abgeleitet, wenn der Wert „No events matched the filters“ (Keine Ereignisse entsprechen den Filtern) lautet.
additional.fields.key Vom Parser fest auf „Count“ festgelegt.
metadata.event_timestamp Wird mit dem Feld create_time aus dem Rohlog gefüllt.
metadata.event_type Wird von der Parserlogik auf „STATUS_UPDATE“ gesetzt, wenn das Feld „principal_hostname“ erfolgreich extrahiert wurde.
metadata.log_type Vom Parser fest auf „TANIUM_INTEGRITY_MONITOR“ codiert.
metadata.product_name Vom Parser fest auf „Tanium Integrity Monitor“ festgelegt.
metadata.vendor_name Vom Parser fest auf „Tanium Integrity Monitor“ festgelegt.
security_result.about.labels.key Vom Parser als „ID“ hartcodiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten