收集 Tanium Integrity Monitor 記錄

本文說明如何使用 Tanium Connect 的原生 AWS S3 匯出功能，將 Tanium Integrity Monitor 記錄檔擷取至 Google Security Operations。Tanium Integrity Monitor 會以 JSON 格式產生檔案和登錄完整性監控事件，並可使用 Tanium Connect 直接匯出至 S3，不必使用自訂 Lambda 函式。剖析器會先使用模式比對，從 Tanium Integrity Monitor JSON 記錄的「message」欄位中，擷取「computer_name」、「process_path」和「change_type」等欄位。接著，系統會將這些擷取的欄位和一些直接剖析的 JSON 欄位，以整合式資料模型 (UDM) 格式建構，並處理單一值和多重值欄位。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• 具備 Tanium 控制台的存取權，並安裝 Integrity Monitor 和 Connect 模組
• AWS (S3、IAM) 的特殊存取權

收集 Tanium Integrity Monitor 的必要條件

1. 以管理員身分登入 Tanium Console。
2. 依序前往「Administration」>「Permissions」>「Users」。
3. 建立或找出具備下列角色的服務帳戶使用者：
   • 完整性監控服務帳戶角色。
   • 「連線使用者」角色權限。
   • 受監控的電腦群組存取權 (建議：所有電腦群組)。

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用者指南建立 Amazon S3 bucket：建立 bucket
2. 儲存 bucket 的「名稱」和「區域」，以供日後參考 (例如 tanium-integrity-monitor-logs)。
3. 按照這份使用者指南建立使用者：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「Access Keys」部分中，按一下「Create Access Key」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
12. 按一下 [完成]。
13. 選取 [權限] 分頁標籤。
14. 在「Permissions policies」(權限政策) 區段中，按一下「Add permissions」(新增權限)。
15. 選取「新增權限」。
16. 選取「直接附加政策」
17. 搜尋並選取 AmazonS3FullAccess 政策。
18. 點選「下一步」。
19. 按一下「Add permissions」。

設定 Tanium Connect AWS S3 目的地

1. 登入 Tanium Console。
2. 依序前往「模組」>「連結」。
3. 按一下「建立連線」。
4. 提供下列設定詳細資料：
   • 名稱：輸入描述性名稱 (例如 Integrity Monitor to S3 for SecOps)。
   • 說明：選填說明 (例如 Export IM events to AWS S3 for Google SecOps ingestion)。
   • 啟用：選取這個選項，即可啟用連線，並依時間表執行。
5. 點選「下一步」。

設定連線來源

1. 選取「完整性監控事件」做為來源類型。
2. 提供下列設定詳細資料：
   • 來源：選取「完整性監控 - 監控事件」。
   • 服務帳戶：連線會使用在 Integrity Monitor 設定中設定的 Tanium Connect 服務帳戶。
   • 監控：選取「所有監控」或選擇要匯出的特定監控。
   • 活動類型：選取要納入的活動類型：
     • 檔案事件：包括檔案建立、修改和刪除事件。
     • 登錄事件：包括登錄檔機碼變更 (僅限 Windows)。
     • 權限事件：包括檔案權限變更。
   • 納入已加上標籤的事件：選取這個選項，即可納入已加上標籤的事件。
   • 包含未標記的事件：選取這個選項，即可納入沒有標籤的事件。
3. 點選「下一步」。

設定 AWS S3 目的地

1. 選取「AWS S3」做為目的地類型。
2. 提供下列設定詳細資料：
   • 目的地名稱：輸入不重複的名稱 (例如 Google SecOps S3 Destination)。
   • AWS 存取金鑰：輸入上一個步驟中的 AWS 存取金鑰。
   • AWS 私密存取金鑰：輸入上一個步驟中的 AWS 私密存取金鑰。
   • 值區名稱：輸入 S3 值區名稱 (例如 tanium-integrity-monitor-logs)。
   • 地區：選取 S3 儲存空間所在的 AWS 地區。
   • 金鑰前置字串：輸入 S3 物件的前置字串 (例如 tanium/integrity-monitor/)。
   • 「Advanced Settings」(進階設定)：
     • 檔案命名：選取「以日期和時間為依據命名」。
     • 檔案格式：選取「JSON Lines」，以便 Google SecOps 順利擷取資料。
     • 壓縮：選取「Gzip」可降低儲存空間費用。
3. 點選「下一步」。

選用：設定篩選條件

1. 視需要設定資料篩選器：
   • 僅限新項目：選取這個選項，系統只會傳送上次匯出後的新事件。
   • 事件篩選器：如需特定篩選條件，請根據事件屬性新增篩選器。
   • 電腦群組篩選器：視需要選取特定電腦群組。
2. 點選「下一步」。

AWS S3 的資料格式

1. 設定資料格式：
   • 格式：選取「JSON」。
   • 包含標頭：取消選取即可避免在 JSON 輸出內容中加入標頭。
   • 欄位對應：使用預設欄位對應，或視需要自訂。
   • 時間戳記格式：選取 ISO 8601 格式，確保時間表示方式一致。
2. 點選「下一步」。

安排連線

1. 在「排程」部分，設定匯出排程：
   • 啟用時間表：選取這個選項，即可啟用自動排程匯出功能。
   • 時間表類型：選取「週期性」。
   • 頻率：選取「每小時」，定期匯出資料。
   • 開始時間：為首次匯出設定適當的開始時間。
2. 點選「下一步」。

儲存並驗證連線

1. 查看摘要畫面中的連線設定。
2. 按一下「儲存」即可建立連結。
3. 按一下「測試連線」，驗證設定。
4. 如果測試成功，請按一下「立即執行」，執行初始匯出作業。
5. 在「連結總覽」頁面中監控連線狀態。

在 Google SecOps 中設定動態饋給，擷取 Tanium Integrity Monitor 記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「+ 新增動態消息」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Integrity Monitor logs)。
4. 選取「Amazon S3 V2」做為「來源類型」。
5. 選取「Tanium Integrity Monitor」做為「記錄類型」。
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • S3 URI：s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

UDM 對應表

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。