收集 Tanium Integrity Monitor 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Tanium Connect 的原生 AWS S3 导出功能将 Tanium Integrity Monitor 日志注入到 Google Security Operations。Tanium Integrity Monitor 会生成 JSON 格式的文件和注册表完整性监控事件,这些事件可使用 Tanium Connect 直接导出到 S3,而无需自定义 Lambda 函数。解析器首先使用模式匹配从 Tanium Integrity Monitor JSON 日志的“message”字段中提取“computer_name”“process_path”和“change_type”等字段。然后,它将这些提取的字段和一些直接解析的 JSON 字段结构化为统一数据模型 (UDM) 格式,同时处理单值字段和多值字段。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 对安装了 Integrity Monitor 和 Connect 模块的 Tanium 控制台的特权访问权限
- 对 AWS(S3、IAM)的特权访问权限
收集 Tanium Integrity Monitor 前提条件
- 以管理员身份登录 Tanium Console。
- 依次前往管理 > 权限 > 用户。
- 创建或确定具有以下角色的服务账号用户:
- 完整性监控服务账号角色。
- 连接用户角色权限。
- 对受监控的计算机群组的访问权限(建议:所有计算机群组)。
为 Google SecOps 配置 AWS S3 存储桶和 IAM
- 按照以下用户指南创建 Amazon S3 存储桶:创建存储桶
- 保存存储桶名称和区域以供日后参考(例如
tanium-integrity-monitor-logs)。 - 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 在访问密钥部分中,点击创建访问密钥。
- 选择第三方服务作为使用情形。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击 Download CSV file(下载 CSV 文件),保存访问密钥和不公开的访问密钥以供日后使用。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策
- 搜索并选择 AmazonS3FullAccess 政策。
- 点击下一步。
- 点击添加权限。
配置 Tanium Connect AWS S3 目标
- 登录 Tanium 控制台。
- 依次前往模块 > 连接。
- 点击 Create Connection。
- 提供以下配置详细信息:
- 名称:输入一个描述性名称(例如
Integrity Monitor to S3 for SecOps)。 - 说明:可选说明(例如
Export IM events to AWS S3 for Google SecOps ingestion)。 - 启用:选择此选项可启用连接,以便按计划运行。
- 名称:输入一个描述性名称(例如
- 点击下一步。
配置连接来源
- 选择完整性监控事件作为来源类型。
- 提供以下配置详细信息:
- 来源:选择 Integrity Monitor - Monitor Events。
- 服务账号:连接将使用在 Integrity Monitor 设置中配置的 Tanium Connect 服务账号。
- 监控器:选择所有监控器或选择要导出的特定监控器。
- 活动类型:选择要纳入的活动类型:
- 文件事件:包括文件创建、修改、删除事件。
- 注册表事件:包括注册表项更改(仅限 Windows)。
- 权限事件:包括文件权限更改。
- 包含带标签的事件:选择此选项可包含带标签的事件。
- 包含未添加标签的活动:选择此项可包含未添加标签的活动。
- 点击下一步。
配置 AWS S3 目标位置
- 选择 AWS S3 作为目标类型。
- 提供以下配置详细信息:
- 目标名称:输入一个唯一名称(例如
Google SecOps S3 Destination)。 - AWS 访问密钥:输入上一步中的 AWS 访问密钥。
- AWS 私有访问密钥:输入上一步中的 AWS 私有访问密钥。
- 存储桶名称:输入您的 S3 存储桶名称(例如
tanium-integrity-monitor-logs)。 - 区域:选择您的 S3 存储桶所在的 AWS 区域。
- 键前缀:输入 S3 对象的前缀(例如
tanium/integrity-monitor/)。 - 高级设置:
- 文件命名:选择基于日期和时间的命名。
- 文件格式:选择 JSON Lines,以便 Google SecOps 能够以最佳方式提取数据。
- 压缩:选择 Gzip 可降低存储费用。
- 目标名称:输入一个唯一名称(例如
- 点击下一步。
可选:配置过滤条件
- 根据需要配置数据过滤器:
- 仅限新项目:选择此选项可仅发送自上次导出以来的新活动。
- 事件过滤条件:如果需要进行特定过滤,请根据事件属性添加过滤条件。
- 计算机组过滤条件:根据需要选择特定的计算机组。
- 点击下一步。
为 AWS S3 设置数据格式
- 配置数据格式:
- 格式:选择 JSON。
- 包含标题:取消选择可避免在 JSON 输出中包含标题。
- 字段映射:使用默认字段映射或根据需要进行自定义。
- 时间戳格式:选择 ISO 8601 格式,以确保时间表示形式一致。
- 点击下一步。
安排连接
- 在时间表部分,配置导出时间表:
- 启用时间表:选择此选项可启用自动定时导出。
- 安排类型:选择周期性。
- 频率:选择每小时,以便定期导出数据。
- 开始时间:为首次导出设置合适的开始时间。
- 点击下一步。
保存并验证连接
- 在摘要界面中查看连接配置。
- 点击保存以创建连接。
- 点击测试连接以验证配置。
- 如果测试成功,请点击立即运行以执行初始导出。
- 在论坛概览页面中监控连接状态。
在 Google SecOps 中配置 Feed 以注入 Tanium Integrity Monitor 日志
- 依次前往 SIEM 设置> Feed。
- 点击 + 添加新 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Tanium Integrity Monitor logs)。 - 选择 Amazon S3 V2 作为来源类型。
- 选择 Tanium Integrity Monitor 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- S3 URI:
s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/ - 来源删除选项:根据您的偏好设置选择删除选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
- 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥。
- 资产命名空间:资产命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- S3 URI:
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 计算机名称 | principal.hostname | 直接从原始日志中的“计算机名称”字段映射。 |
| 计数 | additional.fields.value.string_value | 直接从原始日志中的“Count”字段映射。 |
| CreateNewFile | security_result.category_details | 当原始日志中的“更改类型”字段的值为“CreateNewFile”时,直接从该字段映射。 |
| 哈希 | target.file.sha256 | 直接从原始日志中的“Hash”字段映射。 |
| “没有与过滤条件相符的活动” | security_result.about.labels.value | 当原始日志中的“ID”字段的值为“No events matched the filters”时,直接从该字段映射。 |
| additional.fields.key | 由解析器硬编码为“数量”。 | |
| metadata.event_timestamp | 使用原始日志中的 create_time 字段填充。 |
|
| metadata.event_type | 当成功提取“principal_hostname”字段时,由解析器逻辑设置为“STATUS_UPDATE”。 | |
| metadata.log_type | 由解析器硬编码为“TANIUM_INTEGRITY_MONITOR”。 | |
| metadata.product_name | 由解析器硬编码为“Tanium Integrity Monitor”。 | |
| metadata.vendor_name | 由解析器硬编码为“Tanium Integrity Monitor”。 | |
| security_result.about.labels.key | 由解析器硬编码为“ID”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。