Mengumpulkan log Tanium Integrity Monitor
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Tanium Integrity Monitor ke Google Security Operations menggunakan fungsi ekspor AWS S3 bawaan Tanium Connect. Tanium Integrity Monitor menghasilkan peristiwa pemantauan integritas file dan registri dalam format JSON, yang dapat diekspor langsung ke S3 menggunakan Tanium Connect tanpa memerlukan fungsi Lambda kustom. Parser pertama-tama mengekstrak kolom seperti "computer_name", "process_path", dan "change_type" dari kolom "message" log JSON Tanium Integrity Monitor menggunakan pencocokan pola. Kemudian, kolom yang diekstrak ini dan beberapa kolom JSON yang diuraikan secara langsung disusun ke dalam format model data terpadu (UDM), yang menangani kolom bernilai tunggal dan bernilai ganda.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke Tanium Console dengan modul Integrity Monitor dan Connect yang terinstal
- Akses istimewa ke AWS (S3, IAM)
Mengumpulkan prasyarat Tanium Integrity Monitor
- Login ke Tanium Console sebagai administrator.
- Buka Administrasi > Izin > Pengguna.
- Buat atau identifikasi pengguna akun layanan dengan peran berikut:
- Peran Integrity Monitor Service Account.
- Hak istimewa peran Hubungkan Pengguna.
- Akses ke grup komputer yang dipantau (direkomendasikan: grup Semua Komputer).
Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya,
tanium-integrity-monitor-logs). - Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
- Klik Selesai.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Add permissions.
Mengonfigurasi tujuan AWS S3 Tanium Connect
- Login ke Tanium Console.
- Buka Modules > Connect.
- Klik Buat Koneksi.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan nama deskriptif (misalnya,
Integrity Monitor to S3 for SecOps). - Deskripsi: Deskripsi opsional (misalnya,
Export IM events to AWS S3 for Google SecOps ingestion). - Aktifkan: Pilih untuk mengaktifkan koneksi agar berjalan sesuai jadwal.
- Nama: Masukkan nama deskriptif (misalnya,
- Klik Berikutnya.
Mengonfigurasi sumber koneksi
- Pilih Peristiwa Integrity Monitor sebagai jenis sumber.
- Berikan detail konfigurasi berikut:
- Sumber: Pilih Integrity Monitor - Monitor Events.
- Akun Layanan: Koneksi akan menggunakan akun layanan Tanium Connect yang dikonfigurasi di setelan Integrity Monitor.
- Monitor: Pilih Semua Monitor atau pilih monitor tertentu yang akan diekspor.
- Jenis acara: Pilih jenis acara yang akan disertakan:
- Peristiwa file: Mencakup peristiwa pembuatan, modifikasi, penghapusan file.
- Peristiwa registry: Mencakup perubahan kunci registry (khusus Windows).
- Peristiwa izin: Menyertakan perubahan izin file.
- Sertakan acara berlabel: Pilih untuk menyertakan acara dengan label.
- Sertakan peristiwa yang tidak berlabel: Pilih untuk menyertakan peristiwa tanpa label.
- Klik Berikutnya.
Mengonfigurasi tujuan AWS S3
- Pilih AWS S3 sebagai jenis tujuan.
- Berikan detail konfigurasi berikut:
- Nama tujuan: Masukkan nama unik (misalnya,
Google SecOps S3 Destination). - Kunci Akses AWS: Masukkan kunci akses AWS dari langkah sebelumnya.
- AWS Secret Access Key: Masukkan kunci akses rahasia AWS dari langkah sebelumnya.
- Nama bucket: Masukkan nama bucket S3 Anda (misalnya,
tanium-integrity-monitor-logs). - Region: Pilih region AWS tempat bucket S3 Anda berada.
- Awalan kunci: Masukkan awalan untuk objek S3 (misalnya,
tanium/integrity-monitor/). - Setelan Lanjutan:
- Penamaan file: Pilih Penamaan berbasis tanggal dan waktu.
- Format file: Pilih JSON Lines untuk penyerapan Google SecOps yang optimal.
- Kompresi: Pilih Gzip untuk mengurangi biaya penyimpanan.
- Nama tujuan: Masukkan nama unik (misalnya,
- Klik Berikutnya.
Opsional: Mengonfigurasi filter
- Konfigurasi filter data jika diperlukan:
- Hanya item baru: Pilih untuk mengirim hanya peristiwa baru sejak ekspor terakhir.
- Filter peristiwa: Tambahkan filter berdasarkan atribut peristiwa jika pemfilteran tertentu diperlukan.
- Filter grup komputer: Pilih grup komputer tertentu jika diperlukan.
- Klik Berikutnya.
Memformat data untuk AWS S3
- Konfigurasi format data:
- Format: Pilih JSON.
- Sertakan header: Hapus centang untuk menghindari header dalam output JSON.
- Pemetaan kolom: Gunakan pemetaan kolom default atau sesuaikan sesuai kebutuhan.
- Format stempel waktu: Pilih format ISO 8601 untuk representasi waktu yang konsisten.
- Klik Berikutnya.
Menjadwalkan koneksi
- Di bagian Jadwalkan, konfigurasikan jadwal ekspor:
- Aktifkan jadwal: Pilih untuk mengaktifkan ekspor terjadwal otomatis.
- Jenis jadwal: Pilih Berulang.
- Frekuensi: Pilih Per jam untuk ekspor data reguler.
- Waktu mulai: Tetapkan waktu mulai yang sesuai untuk ekspor pertama.
- Klik Berikutnya.
Simpan dan verifikasi koneksi
- Tinjau konfigurasi koneksi di layar ringkasan.
- Klik Simpan untuk membuat koneksi.
- Klik Uji Koneksi untuk memverifikasi konfigurasi.
- Jika pengujian berhasil, klik Jalankan Sekarang untuk melakukan ekspor awal.
- Pantau status koneksi di halaman Connect Overview.
Mengonfigurasi feed di Google SecOps untuk menyerap log Tanium Integrity Monitor
- Buka Setelan SIEM > Feed.
- Klik + Tambahkan Feed Baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Tanium Integrity Monitor logs). - Pilih Amazon S3 V2 sebagai Jenis sumber.
- Pilih Tanium Integrity Monitor sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- URI S3:
s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/ - Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
- URI S3:
- Klik Berikutnya.
- Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| Nama Komputer | principal.hostname | Dipetakan langsung dari kolom "Nama Komputer" di log mentah. |
| Jumlah | additional.fields.value.string_value | Dipetakan langsung dari kolom "Jumlah" dalam log mentah. |
| CreateNewFile | security_result.category_details | Dipetakan langsung dari kolom "Change Type" dalam log mentah saat nilainya adalah "CreateNewFile". |
| Hash | target.file.sha256 | Dipetakan langsung dari kolom "Hash" di log mentah. |
| "Tidak ada acara yang cocok dengan filter" | security_result.about.labels.value | Dipetakan langsung dari kolom "ID" di log mentah saat nilainya adalah "No events matched the filters". |
| additional.fields.key | Di-hardcode ke "Count" oleh parser. | |
| metadata.event_timestamp | Diisi dengan kolom create_time dari log mentah. |
|
| metadata.event_type | Disetel ke "STATUS_UPDATE" oleh logika parser saat kolom "principal_hostname" berhasil diekstrak. | |
| metadata.log_type | Di-hardcode ke "TANIUM_INTEGRITY_MONITOR" oleh parser. | |
| metadata.product_name | Dikodekan secara permanen ke "Tanium Integrity Monitor" oleh parser. | |
| metadata.vendor_name | Dikodekan secara permanen ke "Tanium Integrity Monitor" oleh parser. | |
| security_result.about.labels.key | Dikodekan secara permanen ke "ID" oleh parser. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.