Recopilar registros de Tanium Integrity Monitor

Disponible en:

En este documento se explica cómo ingerir registros de Tanium Integrity Monitor en Google Security Operations mediante la función de exportación nativa de AWS S3 de Tanium Connect. Tanium Integrity Monitor genera eventos de monitorización de la integridad de archivos y registros en formato JSON, que se pueden exportar directamente a S3 mediante Tanium Connect sin necesidad de usar funciones Lambda personalizadas. El analizador primero extrae campos como "computer_name", "process_path" y "change_type" del campo "message" de los registros JSON de Tanium Integrity Monitor mediante la coincidencia de patrones. A continuación, estructura estos campos extraídos y algunos campos JSON analizados directamente en el formato del modelo de datos unificado (UDM), que gestiona tanto los campos de un solo valor como los de varios valores.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso privilegiado a la consola de Tanium con los módulos Integrity Monitor y Connect instalados
  • Acceso privilegiado a AWS (S3, IAM)

Recopilar los requisitos previos de Tanium Integrity Monitor

  1. Inicia sesión en la consola de Tanium como administrador.
  2. Vaya a Administración > Permisos > Usuarios.
  3. Crea o identifica un usuario de cuenta de servicio con los siguientes roles:
    • Rol Cuenta de servicio de monitor de integridad.
    • Privilegio del rol Conectar usuario.
    • Acceso a grupos de ordenadores monitorizados (recomendación: grupo Todos los ordenadores).

Configurar un segmento de AWS S3 y IAM para Google SecOps

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, tanium-integrity-monitor-logs).
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar el destino de AWS S3 de Tanium Connect

  1. Inicia sesión en la consola de Tanium.
  2. Ve a Módulos > Conectar.
  3. Haga clic en Crear conexión.
  4. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre descriptivo (por ejemplo, Integrity Monitor to S3 for SecOps).
    • Descripción: descripción opcional (por ejemplo, Export IM events to AWS S3 for Google SecOps ingestion).
    • Habilitar: selecciona esta opción para que la conexión se ejecute según la programación.
  5. Haz clic en Siguiente.

Configurar la fuente de la conexión

  1. Seleccione Eventos de la supervisión de integridad como tipo de fuente.
  2. Proporcione los siguientes detalles de configuración:
    • Fuente: selecciona Monitor de integridad - Monitorizar eventos.
    • Cuenta de servicio: la conexión usará la cuenta de servicio de Tanium Connect configurada en los ajustes de Integrity Monitor.
    • Monitor: selecciona Todos los monitores o elige monitores específicos para exportarlos.
    • Tipos de eventos: selecciona los tipos de eventos que quieras incluir:
      • Eventos de archivo: incluyen eventos de creación, modificación y eliminación de archivos.
      • Eventos de registro: incluye cambios en las claves de registro (solo en Windows).
      • Eventos de permisos: incluye los cambios en los permisos de los archivos.
    • Incluir eventos etiquetados: selecciona esta opción para incluir eventos con etiquetas.
    • Incluir eventos sin etiquetar: selecciona esta opción para incluir eventos sin etiquetas.
  3. Haz clic en Siguiente.

Configurar un destino de AWS S3

  1. Seleccione AWS S3 como tipo de destino.
  2. Proporcione los siguientes detalles de configuración:
    • Nombre del destino: escriba un nombre único (por ejemplo, Google SecOps S3 Destination).
    • Clave de acceso de AWS: introduce la clave de acceso de AWS del paso anterior.
    • Clave de acceso secreta de AWS: introduce la clave de acceso secreta de AWS del paso anterior.
    • Nombre del segmento: introduce el nombre del segmento de S3 (por ejemplo, tanium-integrity-monitor-logs).
    • Región: selecciona la región de AWS en la que se encuentra tu contenedor de S3.
    • Prefijo de clave: introduce un prefijo para los objetos de S3 (por ejemplo, tanium/integrity-monitor/).
    • Configuración avanzada:
      • Nombre de archivo: selecciona Nombre basado en la fecha y la hora.
      • Formato de archivo: selecciona JSON Lines para que Google SecOps pueda ingerir los datos de forma óptima.
      • Compresión: selecciona Gzip para reducir los costes de almacenamiento.
  3. Haz clic en Siguiente.

Opcional: Configurar filtros

  1. Configure filtros de datos si es necesario:
    • Solo elementos nuevos: selecciona esta opción para enviar solo los eventos nuevos desde la última exportación.
    • Filtros de eventos: añade filtros basados en atributos de eventos si necesitas aplicar filtros específicos.
    • Filtros de grupos de ordenadores: selecciona grupos de ordenadores específicos si es necesario.
  2. Haz clic en Siguiente.

Formatear datos para AWS S3

  1. Configura el formato de los datos:
    • Formato: selecciona JSON.
    • Incluir encabezados: desmarca esta opción para que no se incluyan encabezados en la salida JSON.
    • Asignaciones de campos: use las asignaciones de campos predeterminadas o personalícelas según sea necesario.
    • Formato de marca de tiempo: selecciona el formato ISO 8601 para que la hora se represente de forma coherente.
  2. Haz clic en Siguiente.

Programar la conexión

  1. En la sección Programación, configure la programación de la exportación:
    • Habilitar programación: selecciona esta opción para habilitar las exportaciones programadas automáticas.
    • Tipo de programación: selecciona Recurrente.
    • Frecuencia: selecciona Cada hora para exportar los datos con regularidad.
    • Hora de inicio: define la hora de inicio adecuada para la primera exportación.
  2. Haz clic en Siguiente.

Guardar y verificar conexión

  1. Revisa la configuración de la conexión en la pantalla de resumen.
  2. Haz clic en Guardar para crear la conexión.
  3. Haz clic en Probar conexión para verificar la configuración.
  4. Si la prueba se realiza correctamente, haga clic en Ejecutar ahora para realizar una exportación inicial.
  5. Supervisa el estado de la conexión en la página Vista general de Connect.

Configurar un feed en Google SecOps para ingerir registros de Tanium Integrity Monitor

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Añadir nuevo feed.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Tanium Integrity Monitor logs).
  4. Selecciona Amazon S3 V2 como Tipo de fuente.
  5. Seleccione Tanium Integrity Monitor como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • URI de S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
    • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Nombre del ordenador principal.hostname Se asigna directamente desde el campo "Nombre del ordenador" del registro sin procesar.
Recuento additional.fields.value.string_value Se asigna directamente desde el campo "Recuento" del registro sin procesar.
CreateNewFile security_result.category_details Se asigna directamente desde el campo "Change Type" del registro sin procesar cuando su valor es "CreateNewFile".
Hash target.file.sha256 Se asigna directamente desde el campo "Hash" del registro sin procesar.
"No hay eventos que coincidan con los filtros" security_result.about.labels.value Se asigna directamente desde el campo "ID" del registro sin procesar cuando su valor es "No events matched the filters" (Ningún evento coincide con los filtros).
additional.fields.key El analizador lo codifica como "Count".
metadata.event_timestamp Se rellena con el campo create_time del registro sin procesar.
metadata.event_type La lógica del analizador le asigna el valor "STATUS_UPDATE" cuando se extrae correctamente el campo "principal_hostname".
metadata.log_type El analizador lo codifica como "TANIUM_INTEGRITY_MONITOR".
metadata.product_name El analizador lo ha codificado como "Tanium Integrity Monitor".
metadata.vendor_name El analizador lo ha codificado como "Tanium Integrity Monitor".
security_result.about.labels.key El analizador lo codifica como "ID".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.