Tanium Integrity Monitor のログを収集する

以下でサポートされています。

このドキュメントでは、Tanium Connect のネイティブ AWS S3 エクスポート機能を使用して、Tanium Integrity Monitor ログを Google Security Operations に取り込む方法について説明します。Tanium Integrity Monitor は、ファイルとレジストリの完全性モニタリング イベントを JSON 形式で生成します。このイベントは、カスタム Lambda 関数を必要とせずに、Tanium Connect を使用して S3 に直接エクスポートできます。パーサーは、まずパターン マッチングを使用して、Tanium Integrity Monitor JSON ログの「message」フィールドから「computer_name」、「process_path」、「change_type」などのフィールドを抽出します。次に、抽出されたフィールドと直接解析された JSON フィールドの一部を統合データモデル(UDM)形式に構造化し、単一値フィールドと複数値フィールドの両方を処理します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Integrity Monitor モジュールと Connect モジュールがインストールされた Tanium Console への特権アクセス
  • AWS(S3、IAM)への特権アクセス

Tanium Integrity Monitor の前提条件を収集する

  1. 管理者として Tanium Console にログインします。
  2. [管理> 権限 > ユーザー] に移動します。
  3. 次のロールを持つサービス アカウント ユーザーを作成または特定します。
    • 整合性モニター サービス アカウント ロール。
    • Connect User ロールの権限。
    • 監視対象のパソコン グループへのアクセス(推奨: [すべてのパソコン] グループ)。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: tanium-integrity-monitor-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Tanium Connect の AWS S3 の宛先を構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [接続] に移動します。
  3. [接続を作成] をクリックします。
  4. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Integrity Monitor to S3 for SecOps)。
    • 説明: 省略可能な説明(例: Export IM events to AWS S3 for Google SecOps ingestion)。
    • 有効: スケジュールどおりに接続を実行するには、このオプションを選択します。
  5. [次へ] をクリックします。

接続元を構成する

  1. ソースタイプとして [Integrity Monitor Events] を選択します。
  2. 次の構成の詳細を入力します。
    • ソース: [Integrity Monitor - Monitor Events] を選択します。
    • サービス アカウント: 接続では、Integrity Monitor の設定で構成された Tanium Connect サービス アカウントが使用されます。
    • モニター: [すべてのモニター] を選択するか、エクスポートする特定のモニターを選択します。
    • イベントタイプ: 含めるイベントタイプを選択します。
      • ファイル イベント: ファイルの作成、変更、削除イベントを含めます。
      • レジストリ イベント: レジストリキーの変更を含めます(Windows のみ)。
      • 権限イベント: ファイルの権限の変更が含まれます。
    • ラベル付きイベントを含める: ラベル付きのイベントを含める場合に選択します。
    • ラベルのないイベントを含める: ラベルのないイベントを含める場合に選択します。
  3. [次へ] をクリックします。

AWS S3 の宛先を構成する

  1. 宛先タイプとして [AWS S3] を選択します。
  2. 次の構成の詳細を入力します。
    • 宛先名: 一意の名前(Google SecOps S3 Destination など)を入力します。
    • AWS アクセスキー: 前の手順で取得した AWS アクセスキーを入力します。
    • AWS シークレット アクセスキー: 前の手順で取得した AWS シークレット アクセスキーを入力します。
    • バケット名: S3 バケット名(tanium-integrity-monitor-logs など)を入力します。
    • リージョン: S3 バケットが配置されている AWS リージョンを選択します。
    • キー接頭辞: S3 オブジェクトの接頭辞(tanium/integrity-monitor/ など)を入力します。
    • 詳細設定:
      • ファイル名: [日付と時刻に基づく命名] を選択します。
      • ファイル形式: Google SecOps の取り込みを最適化するには、[JSON Lines] を選択します。
      • 圧縮: ストレージ コストを削減するには、[Gzip] を選択します。
  3. [次へ] をクリックします。

省略可: フィルタを構成する

  1. 必要に応じてデータフィルタを構成します。
    • 新しいアイテムのみ: 前回のエクスポート以降の新しいイベントのみを送信する場合に選択します。
    • イベント フィルタ: 特定のフィルタリングが必要な場合は、イベント属性に基づいてフィルタを追加します。
    • コンピュータ グループのフィルタ: 必要に応じて、特定のコンピュータ グループを選択します。
  2. [次へ] をクリックします。

AWS S3 用にデータをフォーマットする

  1. データ形式を構成します。
    • 形式: [JSON] を選択します。
    • ヘッダーを含める: JSON 出力にヘッダーを含めない場合は、選択を解除します。
    • フィールド マッピング: デフォルトのフィールド マッピングを使用するか、必要に応じてカスタマイズします。
    • タイムスタンプの形式: 一貫した時刻表現のために、ISO 8601 形式を選択します。
  2. [次へ] をクリックします。

接続をスケジュールする

  1. [スケジュール] セクションで、エクスポート スケジュールを構成します。
    • スケジュールを有効にする: 自動スケジュール設定されたエクスポートを有効にする場合に選択します。
    • スケジュール タイプ: [繰り返し] を選択します。
    • 頻度: 定期的なデータ エクスポートの場合は、[1 時間ごと] を選択します。
    • 開始時間: 最初のエクスポートの適切な開始時間を設定します。
  2. [次へ] をクリックします。

接続を保存して検証する

  1. 概要画面で接続構成を確認します。
  2. [Save] をクリックして接続を作成します。
  3. [接続をテスト] をクリックして、構成を確認します。
  4. テストが成功したら、[今すぐ実行] をクリックして初回のエクスポートを実行します。
  5. [Connect の概要] ページで接続ステータスをモニタリングします。

Tanium Integrity Monitor のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tanium Integrity Monitor logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [Log type] として [Tanium Integrity Monitor] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
コンピュータ名 principal.hostname 未加工ログの「Computer Name」フィールドから直接マッピングされます。
カウント additional.fields.value.string_value 未加工ログの「Count」フィールドから直接マッピングされます。
CreateNewFile security_result.category_details 未加工ログの「Change Type」フィールドの値が「CreateNewFile」の場合、このフィールドから直接マッピングされます。
ハッシュ target.file.sha256 未加工ログの「Hash」フィールドから直接マッピングされます。
「フィルタに一致するイベントはありません」 security_result.about.labels.value 未加工ログの「ID」フィールドの値が「No events matched the filters」の場合、このフィールドから直接マッピングされます。
additional.fields.key パーサーによって「Count」にハードコードされます。
metadata.event_timestamp 未加工ログの create_time フィールドが入力されます。
metadata.event_type 「principal_hostname」フィールドが正常に抽出された場合、パーサー ロジックによって「STATUS_UPDATE」に設定されます。
metadata.log_type パーサーによって「TANIUM_INTEGRITY_MONITOR」にハードコードされます。
metadata.product_name パーサーによって「Tanium Integrity Monitor」にハードコードされます。
metadata.vendor_name パーサーによって「Tanium Integrity Monitor」にハードコードされます。
security_result.about.labels.key パーサーによって「ID」にハードコードされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。