Recolha registos do Tanium Integrity Monitor

Este documento explica como carregar registos do Tanium Integrity Monitor para o Google Security Operations através da funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Integrity Monitor produz eventos de monitorização da integridade de ficheiros e registos no formato JSON, que podem ser exportados diretamente para o S3 através do Tanium Connect sem necessitar de funções Lambda personalizadas. O analisador extrai primeiro campos como "computer_name", "process_path" e "change_type" do campo "message" dos registos JSON do Tanium Integrity Monitor através da correspondência de padrões. Em seguida, estrutura estes campos extraídos e alguns campos JSON analisados diretamente no formato do modelo de dados unificado (UDM), processando campos de valor único e de vários valores.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Acesso privilegiado à Tanium Console com os módulos Integrity Monitor e Connect instalados
• Acesso privilegiado à AWS (S3, IAM)

Recolha os pré-requisitos do Tanium Integrity Monitor

1. Inicie sessão na consola do Tanium como administrador.
2. Aceda a Administração > Autorizações > Utilizadores.
3. Crie ou identifique um utilizador da conta de serviço com as seguintes funções:
   • Função Conta de serviço do monitor de integridade.
   • Privilégio da função Utilizador associado.
   • Acesso a grupos de computadores monitorizados (recomendado: grupo Todos os computadores).

Configure o contentor do AWS S3 e o IAM para o Google SecOps

1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-integrity-monitor-logs).
3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como o Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione uma etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Configure o destino do AWS S3 do Tanium Connect

1. Inicie sessão na Tanium Console.
2. Aceda a Módulos > Ligar.
3. Clique em Criar associação.
4. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo (por exemplo, Integrity Monitor to S3 for SecOps).
   • Descrição: descrição opcional (por exemplo, Export IM events to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione esta opção para ativar a execução da associação de acordo com um horário.
5. Clicar em Seguinte.

Configure a origem da associação

1. Selecione Eventos do Integrity Monitor como tipo de origem.
2. Indique os seguintes detalhes de configuração:
   • Origem: selecione Monitor de integridade – Monitorizar eventos.
   • Conta de serviço: a ligação usa a conta de serviço do Tanium Connect configurada nas definições do Integrity Monitor.
   • Monitor: selecione Todos os monitores ou escolha monitores específicos para exportar.
   • Tipos de eventos: selecione os tipos de eventos a incluir:
     • Eventos de ficheiros: incluem eventos de criação, modificação e eliminação de ficheiros.
     • Eventos de registo: incluem alterações de chaves de registo (apenas no Windows).
     • Eventos de autorização: incluem alterações de autorizações de ficheiros.
   • Incluir eventos etiquetados: selecione esta opção para incluir eventos com etiquetas.
   • Incluir eventos sem etiqueta: selecione esta opção para incluir eventos sem etiquetas.
3. Clicar em Seguinte.

Configure o destino do AWS S3

1. Selecione AWS S3 como o tipo de destino.
2. Indique os seguintes detalhes de configuração:
   • Nome do destino: introduza um nome exclusivo (por exemplo, Google SecOps S3 Destination).
   • Chave de acesso da AWS: introduza a chave de acesso da AWS do passo anterior.
   • Chave de acesso secreta do AWS: introduza a chave de acesso secreta do AWS do passo anterior.
   • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-integrity-monitor-logs).
   • Região: selecione a região da AWS onde o seu contentor do S3 está localizado.
   • Prefixo da chave: introduza um prefixo para os objetos do S3 (por exemplo, tanium/integrity-monitor/).
   • Definições avançadas:
     • Nomenclatura de ficheiros: selecione Nomenclatura baseada na data e hora.
     • Formato de ficheiro: selecione Linhas JSON para uma carregamento ideal do Google SecOps.
     • Compressão: selecione Gzip para reduzir os custos de armazenamento.
3. Clicar em Seguinte.

Opcional: configure filtros

1. Configure filtros de dados, se necessário:
   • Apenas novos itens: selecione esta opção para enviar apenas novos eventos desde a última exportação.
   • Filtros de eventos: adicione filtros com base nos atributos de eventos se for necessária uma filtragem específica.
   • Filtros de grupos de computadores: selecione grupos de computadores específicos, se necessário.
2. Clicar em Seguinte.

Formate os dados para o AWS S3

1. Configure o formato dos dados:
   • Formato: selecione JSON.
   • Incluir cabeçalhos: desmarque esta opção para evitar cabeçalhos no resultado JSON.
   • Mapeamentos de campos: use os mapeamentos de campos predefinidos ou personalize-os conforme necessário.
   • Formato de data/hora: selecione o formato ISO 8601 para uma representação de tempo consistente.
2. Clicar em Seguinte.

Agende a associação

1. Na secção Programação, configure a programação de exportação:
   • Ativar agendamento: selecione esta opção para ativar as exportações agendadas automáticas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione Por hora para uma exportação de dados regular.
   • Hora de início: defina a hora de início adequada para a primeira exportação.
2. Clicar em Seguinte.

Guarde e valide a associação

1. Reveja a configuração da associação no ecrã de resumo.
2. Clique em Guardar para criar a associação.
3. Clique em Testar associação para validar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
5. Monitorize o estado da ligação na página Vista geral do Connect.

Configure um feed no Google SecOps para carregar registos do Tanium Integrity Monitor

1. Aceda a Definições do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Integrity Monitor logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Tanium Integrity Monitor como o Tipo de registo.
6. Clicar em Seguinte.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
   • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
   • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
   • Espaço de nomes do recurso: o espaço de nomes do recurso.
   • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
8. Clicar em Seguinte.
9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.