Recopila registros del Monitor de integridad de Tanium

Compatible con:

En este documento, se explica cómo transferir registros de Tanium Integrity Monitor a Google Security Operations con la funcionalidad nativa de exportación a AWS S3 de Tanium Connect. Tanium Integrity Monitor genera eventos de supervisión de la integridad del registro y los archivos en formato JSON, que se pueden exportar directamente a S3 con Tanium Connect sin necesidad de funciones de Lambda personalizadas. Primero, el analizador extrae campos como "computer_name", "process_path" y "change_type" del campo "message" de los registros JSON de Tanium Integrity Monitor con la coincidencia de patrones. Luego, estructura estos campos extraídos y algunos campos JSON analizados directamente en el formato del modelo de datos unificado (UDM), y controla los campos de un solo valor y de varios valores.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso con privilegios a la consola de Tanium con los módulos Integrity Monitor y Connect instalados
  • Acceso privilegiado a AWS (S3, IAM)

Recopila los requisitos previos del Monitor de integridad de Tanium

  1. Accede a la consola de Tanium como administrador.
  2. Ve a Administración > Permisos > Usuarios.
  3. Crea o identifica un usuario de cuenta de servicio con los siguientes roles:
    • Rol de cuenta de servicio de Integrity Monitor
    • Privilegio de rol de Connect User
    • Acceso a los grupos de computadoras supervisadas (se recomienda el grupo All Computers).

Configura el bucket de AWS S3 y el IAM para Google SecOps

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
  2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, tanium-integrity-monitor-logs).
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura el destino de AWS S3 de Tanium Connect

  1. Accede a la consola de Tanium.
  2. Ve a Módulos > Conectar.
  3. Haz clic en Create Connection.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre descriptivo (por ejemplo, Integrity Monitor to S3 for SecOps).
    • Descripción: Es una descripción opcional (por ejemplo, Export IM events to AWS S3 for Google SecOps ingestion).
    • Habilitar: Selecciona esta opción para habilitar la conexión y que se ejecute según el programa.
  5. Haz clic en Siguiente.

Configura la fuente de conexión

  1. Selecciona Integrity Monitor Events como el tipo de fuente.
  2. Proporciona los siguientes detalles de configuración:
    • Fuente: Selecciona Integrity Monitor - Monitor Events.
    • Cuenta de servicio: La conexión usará la cuenta de servicio de Tanium Connect configurada en los parámetros de configuración de Integrity Monitor.
    • Monitor: Selecciona All Monitors o elige monitores específicos para exportar.
    • Tipos de eventos: Selecciona los tipos de eventos que deseas incluir:
      • Eventos de archivo: Incluyen eventos de creación, modificación y eliminación de archivos.
      • Eventos de registro: Incluyen cambios en las claves de registro (solo para Windows).
      • Eventos de permisos: Incluyen cambios en los permisos de archivos.
    • Incluir eventos etiquetados: Selecciona esta opción para incluir eventos con etiquetas.
    • Incluir eventos sin etiquetas: Selecciona esta opción para incluir eventos sin etiquetas.
  3. Haz clic en Siguiente.

Configura el destino de AWS S3

  1. Selecciona AWS S3 como el tipo de destino.
  2. Proporciona los siguientes detalles de configuración:
    • Nombre del destino: Ingresa un nombre único (por ejemplo, Google SecOps S3 Destination).
    • Clave de acceso de AWS: Ingresa la clave de acceso de AWS del paso anterior.
    • Clave de acceso secreta de AWS: Ingresa la clave de acceso secreta de AWS del paso anterior.
    • Nombre del bucket: Ingresa el nombre de tu bucket de S3 (por ejemplo, tanium-integrity-monitor-logs).
    • Región: Selecciona la región de AWS en la que se encuentra tu bucket de S3.
    • Prefijo de clave: Ingresa un prefijo para los objetos de S3 (por ejemplo, tanium/integrity-monitor/).
    • Configuración avanzada:
      • Nombres de archivos: Selecciona Nombres basados en la fecha y la hora.
      • Formato de archivo: Selecciona Líneas JSON para una transferencia óptima de Google SecOps.
      • Compresión: Selecciona Gzip para reducir los costos de almacenamiento.
  3. Haz clic en Siguiente.

Opcional: Configura filtros

  1. Configura filtros de datos si es necesario:
    • Solo elementos nuevos: Selecciona esta opción para enviar solo los eventos nuevos desde la última exportación.
    • Filtros de eventos: Agrega filtros basados en atributos de eventos si se requiere un filtrado específico.
    • Filtros de grupos de computadoras: Selecciona grupos de computadoras específicos si es necesario.
  2. Haz clic en Siguiente.

Formatea datos para AWS S3

  1. Configura el formato de datos:
    • Formato: Selecciona JSON.
    • Incluir encabezados: Anula la selección para evitar los encabezados en el resultado de JSON.
    • Asignaciones de campos: Usa las asignaciones de campos predeterminadas o personalízalas según sea necesario.
    • Formato de marca de tiempo: Selecciona el formato ISO 8601 para una representación coherente del tiempo.
  2. Haz clic en Siguiente.

Programa la conexión

  1. En la sección Programación, configura la programación de la exportación:
    • Habilitar programa: Selecciona esta opción para habilitar las exportaciones programadas automáticas.
    • Tipo de programación: Selecciona Recurrente.
    • Frecuencia: Selecciona Por hora para la exportación de datos periódica.
    • Hora de inicio: Establece la hora de inicio adecuada para la primera exportación.
  2. Haz clic en Siguiente.

Cómo guardar y verificar la conexión

  1. Revisa la configuración de la conexión en la pantalla de resumen.
  2. Haz clic en Guardar para crear la conexión.
  3. Haz clic en Probar conexión para verificar la configuración.
  4. Si la prueba se realiza correctamente, haz clic en Ejecutar ahora para realizar una exportación inicial.
  5. Supervisa el estado de la conexión en la página Connect Overview.

Configura un feed en Google SecOps para transferir registros de Tanium Integrity Monitor

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Agregar feed nuevo.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Tanium Integrity Monitor logs).
  4. Selecciona Amazon S3 V2 como el Tipo de fuente.
  5. Selecciona Tanium Integrity Monitor como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • URI de S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
    • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transmisión: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Nombre de la computadora principal.hostname Se asigna directamente desde el campo "Nombre de la computadora" en el registro sin procesar.
Recuento additional.fields.value.string_value Se asigna directamente desde el campo "Recuento" del registro sin procesar.
CreateNewFile security_result.category_details Se asigna directamente desde el campo "Tipo de cambio" en el registro sin procesar cuando su valor es "CreateNewFile".
Hash target.file.sha256 Se asigna directamente desde el campo "Hash" en el registro sin procesar.
“No hay eventos que coincidan con los filtros” security_result.about.labels.value Se asigna directamente desde el campo "ID" en el registro sin procesar cuando su valor es "No se encontraron eventos que coincidan con los filtros".
additional.fields.key El analizador lo codifica como "Recuento".
metadata.event_timestamp Se propaga con el campo create_time del registro sin procesar.
metadata.event_type La lógica del analizador la establece en "STATUS_UPDATE" cuando se extrae correctamente el campo "principal_hostname".
metadata.log_type El analizador lo codifica como "TANIUM_INTEGRITY_MONITOR".
metadata.product_name El analizador lo codifica como "Tanium Integrity Monitor".
metadata.vendor_name El analizador lo codifica como "Tanium Integrity Monitor".
security_result.about.labels.key El analizador lo codifica de forma fija como "ID".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.