Collecter les journaux Tanium Integrity Monitor

Compatible avec :

Ce document explique comment ingérer les journaux Tanium Integrity Monitor dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Tanium Integrity Monitor génère des événements de surveillance de l'intégrité des fichiers et du registre au format JSON, qui peuvent être exportés directement vers S3 à l'aide de Tanium Connect sans nécessiter de fonctions Lambda personnalisées. L'analyseur extrait d'abord des champs tels que "computer_name", "process_path" et "change_type" du champ "message" des journaux JSON Tanium Integrity Monitor à l'aide de la correspondance de modèles. Il structure ensuite ces champs extraits et certains champs JSON directement analysés au format UDM (Unified Data Model), en gérant les champs à valeur unique et à valeurs multiples.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Accès privilégié à la console Tanium avec les modules Integrity Monitor et Connect installés
  • Accès privilégié à AWS (S3, IAM)

Collecter les conditions préalables de Tanium Integrity Monitor

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Autorisations > Utilisateurs.
  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :
    • Rôle Compte de service de surveillance de l'intégrité.
    • Privilège du rôle Connect User (Utilisateur Connect).
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe Tous les ordinateurs).

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-integrity-monitor-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la destination Tanium Connect AWS S3

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Integrity Monitor to S3 for SecOps).
    • Description : description facultative (par exemple, Export IM events to AWS S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion et l'exécuter selon la programmation.
  5. Cliquez sur Suivant.

Configurer la source de connexion

  1. Sélectionnez Événements de surveillance de l'intégrité comme type de source.
  2. Fournissez les informations de configuration suivantes :
    • Source : sélectionnez Integrity Monitor – Monitor Events.
    • Compte de service : la connexion utilisera le compte de service Tanium Connect configuré dans les paramètres Integrity Monitor.
    • Surveillance : sélectionnez Toutes les surveillances ou choisissez des surveillances spécifiques à exporter.
    • Types d'événements : sélectionnez les types d'événements à inclure :
      • Événements liés aux fichiers : incluent les événements de création, de modification et de suppression de fichiers.
      • Événements de registre : incluez les modifications apportées aux clés de registre (Windows uniquement).
      • Événements d'autorisation : incluent les modifications apportées aux autorisations de fichier.
    • Inclure les événements avec libellés : sélectionnez cette option pour inclure les événements avec libellés.
    • Inclure les événements sans libellé : sélectionnez cette option pour inclure les événements sans libellé.
  3. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Sélectionnez AWS S3 comme type de destination.
  2. Fournissez les informations de configuration suivantes :
    • Nom de la destination : saisissez un nom unique (par exemple, Google SecOps S3 Destination).
    • Clé d'accès AWS : saisissez la clé d'accès AWS de l'étape précédente.
    • Clé d'accès secrète AWS : saisissez la clé d'accès secrète AWS de l'étape précédente.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-integrity-monitor-logs).
    • Région : sélectionnez la région AWS où se trouve votre bucket S3.
    • Préfixe de clé : saisissez un préfixe pour les objets S3 (par exemple, tanium/integrity-monitor/).
    • Paramètres avancés :
      • Nommage des fichiers : sélectionnez Nommage basé sur la date et l'heure.
      • Format de fichier : sélectionnez JSON Lines pour une ingestion optimale par Google SecOps.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage.
  3. Cliquez sur Suivant.

Facultatif : Configurer des filtres

  1. Configurez des filtres de données si nécessaire :
    • Nouveaux éléments uniquement : sélectionnez cette option pour n'envoyer que les nouveaux événements depuis la dernière exportation.
    • Filtres d'événements : ajoutez des filtres basés sur les attributs d'événement si un filtrage spécifique est requis.
    • Filtres de groupes d'ordinateurs : sélectionnez des groupes d'ordinateurs spécifiques si nécessaire.
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Configurez le format des données :
    • Format : sélectionnez JSON.
    • Inclure les en-têtes : décochez cette option pour éviter d'inclure les en-têtes dans la sortie JSON.
    • Mappages de champs : utilisez les mappages de champs par défaut ou personnalisez-les selon vos besoins.
    • Format du code temporel : sélectionnez le format ISO 8601 pour une représentation cohérente de l'heure.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Programmation, configurez la programmation de l'exportation :
    • Activer la planification : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Type de programmation : sélectionnez Récurrente.
    • Fréquence : sélectionnez Toutes les heures pour exporter régulièrement les données.
    • Heure de début : définissez une heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et valider la connexion

  1. Vérifiez la configuration de la connexion sur l'écran récapitulatif.
  2. Cliquez sur Save (Enregistrer) pour créer la connexion.
  3. Cliquez sur Tester la connexion pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Exécuter maintenant pour effectuer une première exportation.
  5. Surveillez l'état de la connexion sur la page Présentation de Connect.

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Integrity Monitor

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Integrity Monitor logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Integrity Monitor comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
Nom de l'ordinateur principal.hostname Directement mappé à partir du champ "Nom de l'ordinateur" du journal brut.
Nombre additional.fields.value.string_value Mappé directement à partir du champ "Nombre" du journal brut.
CreateNewFile security_result.category_details Directement mappé à partir du champ "Type de modification" dans le journal brut lorsque sa valeur est "CreateNewFile".
Hash target.file.sha256 Mappé directement à partir du champ "Hash" dans le journal brut.
"Aucun événement ne correspond aux filtres" security_result.about.labels.value Mappé directement à partir du champ "ID" du journal brut lorsque sa valeur est "Aucun événement ne correspond aux filtres".
additional.fields.key Codé en dur sur "Nombre" par l'analyseur.
metadata.event_timestamp Renseigné avec le champ create_time du journal brut.
metadata.event_type Défini sur "STATUS_UPDATE" par la logique du parseur lorsque le champ "principal_hostname" est extrait.
metadata.log_type Codé en dur sur "TANIUM_INTEGRITY_MONITOR" par l'analyseur.
metadata.product_name Le nom est codé en dur sur "Tanium Integrity Monitor" par l'analyseur.
metadata.vendor_name Le nom est codé en dur sur "Tanium Integrity Monitor" par l'analyseur.
security_result.about.labels.key Codé en dur sur "ID" par l'analyseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.