Coletar registros do Tanium Integrity Monitor

Este documento explica como ingerir registros do Tanium Integrity Monitor no Google Security Operations usando a funcionalidade nativa de exportação do AWS S3 do Tanium Connect. O Tanium Integrity Monitor produz eventos de monitoramento de integridade de arquivos e registros no formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. Primeiro, o analisador extrai campos como "computer_name", "process_path" e "change_type" do campo "message" dos registros JSON do Tanium Integrity Monitor usando a correspondência de padrões. Em seguida, ele estrutura esses campos extraídos e alguns campos JSON analisados diretamente no formato do modelo de dados unificado (UDM), processando campos de valor único e múltiplo.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Acesso privilegiado ao Tanium Console com os módulos Integrity Monitor e Connect instalados.
• Acesso privilegiado à AWS (S3, IAM)

Coletar os pré-requisitos do Tanium Integrity Monitor

1. Faça login no Tanium Console como administrador.
2. Acesse Administração > Permissões > Usuários.
3. Crie ou identifique um usuário da conta de serviço com os seguintes papéis:
   • Papel Conta de serviço do Integrity Monitor.
   • Privilégio da função Usuário de conexão.
   • Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-integrity-monitor-logs).
3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
4. Selecione o usuário criado.
5. Selecione a guia Credenciais de segurança.
6. Clique em Criar chave de acesso na seção Chaves de acesso.
7. Selecione Serviço de terceiros como o Caso de uso.
8. Clique em Próxima.
9. Opcional: adicione uma tag de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
12. Clique em Concluído.
13. Selecione a guia Permissões.
14. Clique em Adicionar permissões na seção Políticas de permissões.
15. Selecione Adicionar permissões.
16. Selecione Anexar políticas diretamente.
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clique em Próxima.
19. Clique em Adicionar permissões

Configurar o destino do AWS S3 do Tanium Connect

1. Faça login no Tanium Console.
2. Acesse Módulos > Conectar.
3. Clique em Criar conexão.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo. Por exemplo, Integrity Monitor to S3 for SecOps.
   • Descrição: descrição opcional (por exemplo, Export IM events to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione para ativar a conexão e executá-la conforme programado.
5. Clique em Próxima.

Configurar a origem da conexão

1. Selecione Eventos do Integrity Monitor como o tipo de origem.
2. Informe os seguintes detalhes de configuração:
   • Origem: selecione Monitor de integridade - eventos de monitoramento.
   • Conta de serviço: a conexão vai usar a conta de serviço do Tanium Connect configurada nas configurações do Integrity Monitor.
   • Monitor: selecione Todos os monitores ou escolha monitores específicos para exportar.
   • Tipos de evento: selecione os tipos de evento que você quer incluir:
     • Eventos de arquivo: incluem eventos de criação, modificação e exclusão de arquivos.
     • Eventos de registro: incluem mudanças na chave do registro (somente Windows).
     • Eventos de permissão: incluem mudanças nas permissões de arquivos.
   • Incluir eventos rotulados: selecione para incluir eventos com rótulos.
   • Incluir eventos sem rótulo: selecione para incluir eventos sem rótulos.
3. Clique em Próxima.

Configurar o destino do AWS S3

1. Selecione AWS S3 como o tipo de destino.
2. Informe os seguintes detalhes de configuração:
   • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps S3 Destination).
   • Chave de acesso da AWS: insira a chave de acesso da AWS da etapa anterior.
   • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS da etapa anterior.
   • Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-integrity-monitor-logs).
   • Região: selecione a região da AWS em que o bucket do S3 está localizado.
   • Prefixo da chave: insira um prefixo para os objetos do S3 (por exemplo, tanium/integrity-monitor/).
   • Configurações avançadas:
     • Nomeação de arquivos: selecione Nomeação com base em data e hora.
     • Formato do arquivo: selecione Linhas JSON para uma ingestão ideal do Google SecOps.
     • Compactação: selecione Gzip para reduzir os custos de armazenamento.
3. Clique em Próxima.

Opcional: configurar filtros

1. Configure filtros de dados, se necessário:
   • Somente novos itens: selecione para enviar apenas os novos eventos desde a última exportação.
   • Filtros de eventos: adicione filtros com base nos atributos de eventos se for necessário fazer uma filtragem específica.
   • Filtros de grupo de computadores: selecione grupos de computadores específicos, se necessário.
2. Clique em Próxima.

Formatar dados para o AWS S3

1. Configure o formato dos dados:
   • Formato: selecione JSON.
   • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
   • Mapeamentos de campos: use os mapeamentos de campos padrão ou personalize conforme necessário.
   • Formato do carimbo de data/hora: selecione o formato ISO 8601 para uma representação consistente do tempo.
2. Clique em Próxima.

Programar a conexão

1. Na seção Programação, configure a programação de exportação:
   • Ativar programação: selecione para ativar as exportações automáticas programadas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione Por hora para exportar dados regularmente.
   • Horário de início: defina o horário de início adequado para a primeira exportação.
2. Clique em Próxima.

Salvar e verificar conexão

1. Revise a configuração da conexão na tela de resumo.
2. Clique em Salvar para criar a conexão.
3. Clique em Testar conexão para verificar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
5. Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros do Tanium Integrity Monitor

1. Acesse Configurações do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Integrity Monitor logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Tanium Integrity Monitor como o Tipo de registro.
6. Clique em Próxima.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
   • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
   • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
   • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
8. Clique em Próxima.
9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.