Raccogliere i log di Tanium Integrity Monitor

Supportato in:

Questo documento spiega come importare i log di Tanium Integrity Monitor in Google Security Operations utilizzando la funzionalità di esportazione AWS S3 nativa di Tanium Connect. Tanium Integrity Monitor genera eventi di monitoraggio dell'integrità di file e registry in formato JSON, che possono essere esportati direttamente in S3 utilizzando Tanium Connect senza richiedere funzioni Lambda personalizzate. Il parser estrae innanzitutto campi come "computer_name", "process_path" e "change_type" dal campo "message" dei log JSON di Tanium Integrity Monitor utilizzando la corrispondenza di pattern. Quindi, struttura questi campi estratti e alcuni campi JSON analizzati direttamente nel formato Unified modello dei dati (UDM), gestendo sia i campi a valore singolo che quelli a più valori.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso con privilegi alla console Tanium con i moduli Integrity Monitor e Connect installati
  • Accesso con privilegi ad AWS (S3, IAM)

Raccogliere i prerequisiti per Tanium Integrity Monitor

  1. Accedi alla console Tanium come amministratore.
  2. Vai ad Amministrazione > Autorizzazioni > Utenti.
  3. Crea o identifica un utente del account di servizio con i seguenti ruoli:
    • Ruolo Service Account di monitoraggio dell'integrità.
    • Privilegio del ruolo Collega utente.
    • Accesso ai gruppi di computer monitorati (consigliato: gruppo Tutti i computer).

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, tanium-integrity-monitor-logs).
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura la destinazione AWS S3 di Tanium Connect

  1. Accedi alla console Tanium.
  2. Vai a Moduli > Connetti.
  3. Fai clic su Crea connessione.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Integrity Monitor to S3 for SecOps).
    • Descrizione: descrizione facoltativa (ad esempio, Export IM events to AWS S3 for Google SecOps ingestion).
    • Attiva: seleziona questa opzione per attivare l'esecuzione della connessione in base alla pianificazione.
  5. Fai clic su Avanti.

Configurare l'origine della connessione

  1. Seleziona Eventi di monitoraggio dell'integrità come tipo di origine.
  2. Fornisci i seguenti dettagli di configurazione:
    • Origine: seleziona Monitoraggio dell'integrità - Eventi di monitoraggio.
    • Service account: la connessione utilizzerà il account di servizio Tanium Connect configurato nelle impostazioni di Integrity Monitor.
    • Monitor: seleziona Tutti i monitor o scegli monitor specifici da esportare.
    • Tipi di evento: seleziona i tipi di evento da includere:
      • Eventi file: includono eventi di creazione, modifica ed eliminazione di file.
      • Eventi del registro: includi le modifiche alle chiavi del registro (solo Windows).
      • Eventi di autorizzazione: includi le modifiche alle autorizzazioni dei file.
    • Includi eventi etichettati: seleziona questa opzione per includere gli eventi con etichette.
    • Includi eventi senza etichetta: seleziona questa opzione per includere gli eventi senza etichette.
  3. Fai clic su Avanti.

Configura la destinazione AWS S3

  1. Seleziona AWS S3 come tipo di destinazione.
  2. Fornisci i seguenti dettagli di configurazione:
    • Nome destinazione: inserisci un nome univoco (ad esempio, Google SecOps S3 Destination).
    • Chiave di accesso AWS: inserisci la chiave di accesso AWS del passaggio precedente.
    • Chiave di accesso segreta di AWS: inserisci la chiave di accesso segreta di AWS del passaggio precedente.
    • Nome bucket: inserisci il nome del bucket S3 (ad esempio tanium-integrity-monitor-logs).
    • Regione: seleziona la regione AWS in cui si trova il bucket S3.
    • Prefisso chiave: inserisci un prefisso per gli oggetti S3 (ad esempio, tanium/integrity-monitor/).
    • Impostazioni avanzate:
      • Denominazione dei file: seleziona Denominazione basata su data e ora.
      • Formato file: seleziona JSON Lines per un'importazione ottimale di Google SecOps.
      • Compressione: seleziona Gzip per ridurre i costi di archiviazione.
  3. Fai clic su Avanti.

(Facoltativo) Configura i filtri

  1. Configura i filtri dei dati, se necessario:
    • Solo nuovi elementi: seleziona questa opzione per inviare solo i nuovi eventi dall'ultima esportazione.
    • Filtri degli eventi: aggiungi filtri in base agli attributi degli eventi se è necessario un filtraggio specifico.
    • Filtri dei gruppi di computer: seleziona gruppi di computer specifici, se necessario.
  2. Fai clic su Avanti.

Formatta i dati per AWS S3

  1. Configura il formato dei dati:
    • Formato: seleziona JSON.
    • Includi intestazioni: deseleziona questa opzione per evitare le intestazioni nell'output JSON.
    • Mappature dei campi: utilizza le mappature dei campi predefinite o personalizzale in base alle tue esigenze.
    • Formato timestamp: seleziona il formato ISO 8601 per una rappresentazione coerente dell'ora.
  2. Fai clic su Avanti.

Pianificare la connessione

  1. Nella sezione Pianificazione, configura la pianificazione dell'esportazione:
    • Attiva pianificazione: seleziona questa opzione per attivare le esportazioni automatiche pianificate.
    • Tipo di programmazione: seleziona Ricorrente.
    • Frequenza: seleziona Ogni ora per l'esportazione regolare dei dati.
    • Ora di inizio: imposta l'ora di inizio appropriata per la prima esportazione.
  2. Fai clic su Avanti.

Salva e verifica la connessione

  1. Rivedi la configurazione della connessione nella schermata di riepilogo.
  2. Fai clic su Salva per creare la connessione.
  3. Fai clic su Prova connessione per verificare la configurazione.
  4. Se il test ha esito positivo, fai clic su Esegui ora per eseguire un'esportazione iniziale.
  5. Monitora lo stato della connessione nella pagina Panoramica di Connect.

Configura un feed in Google SecOps per importare i log di Tanium Integrity Monitor

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tanium Integrity Monitor logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Tanium Integrity Monitor come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
Nome computer principal.hostname Mappato direttamente dal campo "Nome computer" nel log non elaborato.
Conteggio additional.fields.value.string_value Mappato direttamente dal campo "Conteggio" nel log non elaborato.
CreateNewFile security_result.category_details Mappato direttamente dal campo "Tipo di modifica" nel log non elaborato quando il suo valore è "CreateNewFile".
Hash target.file.sha256 Mappato direttamente dal campo "Hash" nel log non elaborato.
"Nessun evento corrisponde ai filtri" security_result.about.labels.value Mappato direttamente dal campo "ID" nel log non elaborato quando il suo valore è "Nessun evento corrisponde ai filtri".
additional.fields.key Codificato come "Conteggio" dal parser.
metadata.event_timestamp Compilato con il campo create_time del log non elaborato.
metadata.event_type Impostato su "STATUS_UPDATE" dalla logica del parser quando il campo "principal_hostname" viene estratto correttamente.
metadata.log_type Codificato in modo permanente su "TANIUM_INTEGRITY_MONITOR" dal parser.
metadata.product_name Codificato in modo permanente su "Tanium Integrity Monitor" dal parser.
metadata.vendor_name Codificato in modo permanente su "Tanium Integrity Monitor" dal parser.
security_result.about.labels.key Codificato come "ID" dal parser.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.