Collecter les journaux Tanium Patch

Compatible avec :

Ce document explique comment ingérer des journaux Tanium Patch dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Tanium Patch génère des données sur le déploiement de correctifs, la conformité et les failles au format JSON, qui peuvent être exportées directement vers S3 à l'aide de Tanium Connect sans nécessiter de fonctions Lambda personnalisées. L'analyseur transforme les données JSON de l'évaluation en modèle de données unifié (UDM) de Google SecOps. Il normalise d'abord les noms de clés, extrait les données de la structure JSON, puis mappe les champs pertinents aux attributs UDM, y compris les détails des failles, les informations sur les résultats de sécurité et les détails des composants tels que le nom d'hôte et le système d'exploitation.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Tanium Core Platform 7.0 ou version ultérieure
  • Module Tanium Patch installé et configuré
  • Module Tanium Connect installé avec une licence valide
  • Accès privilégié à la console Tanium avec droits d'administrateur
  • Accès privilégié à AWS (S3, IAM)

Configurer le compte de service Tanium Patch

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Patch.
  3. Cliquez sur Paramètres en haut à droite.
  4. Dans la section Compte de service, configurez les éléments suivants :
    • Utilisateur du compte de service : sélectionnez un utilisateur disposant des autorisations de correction appropriées.
    • Vérifiez que le compte dispose du rôle utilisateur "Connect".
  5. Cliquez sur Enregistrer pour appliquer la configuration du compte de service.

Collecter les prérequis de Tanium Patch

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Autorisations > Utilisateurs.

  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :

    • Rôle Administrateur des correctifs ou Utilisateur des correctifs en lecture seule.
    • Privilège du rôle Connect User (Utilisateur Connect).
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe Tous les ordinateurs).

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-patch-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la destination Tanium Connect AWS S3

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Patch Data to S3 for SecOps).
    • Description : description facultative (par exemple, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion et l'exécuter selon la programmation.
  5. Cliquez sur Suivant.

Configurer la source de connexion

  1. Dans la section Source, fournissez les informations de configuration suivantes :
    • Type de source : sélectionnez Question enregistrée.
    • Question enregistrée : sélectionnez l'une des questions enregistrées suivantes concernant Patch :
      • Correctif – Résultats du déploiement pour l'état du déploiement de correctifs.
      • Correctif – Correctifs manquants pour les données de conformité des failles.
      • Correctif > Correctifs installés pour l'inventaire des correctifs installés.
      • Correctif > Liste des correctifs pour obtenir l'état complet des correctifs.
    • Groupe d'ordinateurs : sélectionnez Tous les ordinateurs ou des groupes d'ordinateurs spécifiques à surveiller.
    • Intervalle d'actualisation : définissez un intervalle approprié pour la collecte de données (par exemple, 1 heure).
  2. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Dans la section Destination, fournissez les informations de configuration suivantes :
    • Type de destination : sélectionnez AWS S3.
    • Nom de la destination : saisissez un nom unique (par exemple, Google SecOps Patch S3 Destination).
    • Clé d'accès AWS : saisissez la clé d'accès AWS du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Clé d'accès secrète AWS : saisissez la clé d'accès secrète AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-patch-logs).
    • Région : sélectionnez la région AWS où se trouve votre bucket S3.
    • Préfixe de clé : saisissez un préfixe pour les objets S3 (par exemple, tanium/patch/).
  2. Cliquez sur Suivant.

Configurer des filtres

  1. Dans la section Filtres, configurez les options de filtrage des données :
    • Envoyer uniquement les nouveaux éléments : sélectionnez cette option pour n'envoyer que les nouveaux résultats depuis la dernière exportation.
    • Filtres de colonne : ajoutez des filtres basés sur des attributs de correctifs spécifiques si nécessaire (par exemple, filtrez par gravité du correctif ou état du déploiement).
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Dans la section Format, configurez le format des données :
    • Format : sélectionnez JSON.
    • Options :
      • Inclure les en-têtes : décochez cette option pour éviter d'inclure les en-têtes dans la sortie JSON.
      • Inclure les cellules vides : sélectionnez cette option selon vos préférences.
    • Options avancées :
      • Nommage des fichiers : utilisez le nommage par défaut basé sur le code temporel.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage et le temps de transfert.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Programmation, configurez la programmation de l'exportation :
    • Activer la planification : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Type de programmation : sélectionnez Récurrente.
    • Fréquence : sélectionnez Toutes les heures pour exporter régulièrement les données sur les correctifs.
    • Heure de début : définissez une heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et valider la connexion

  1. Vérifiez la configuration de la connexion sur l'écran récapitulatif.
  2. Cliquez sur Save (Enregistrer) pour créer la connexion.
  3. Cliquez sur Tester la connexion pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Exécuter maintenant pour effectuer une première exportation.
  5. Surveillez l'état de la connexion sur la page Présentation de Connect.

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Patch

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Patch logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Patch comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-patch-logs/tanium/patch/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ du journal Mappage UDM Logique
Bulletins principal.asset.vulnerabilities.vendor_vulnerability_id La valeur est extraite du champ "Bulletins" du journal brut, pour l'index correspondant du champ "Title" (Titre). Si la valeur est "None" (Aucun), le champ n'est pas mappé.
ComputerName principal.hostname La valeur est extraite du champ "ComputerName" du journal brut.
ComputerName principal.asset.hostname La valeur est extraite du champ "ComputerName" du journal brut.
CVEID principal.asset.vulnerabilities.cve_id La valeur est extraite du champ "CVEIDs" du journal brut, pour l'index correspondant du champ "Title". Si la valeur est "None" (Aucun), le champ n'est pas mappé.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id La valeur est extraite du champ "KBArticles" du journal brut, pour l'index correspondant du champ "Title". Si la valeur est vide, le champ n'est pas mappé.
KBArticles security_result.summary La valeur est extraite du champ "KBArticles" du journal brut, pour l'index correspondant du champ "Title". Si la valeur est vide, le champ n'est pas mappé.
OSType principal.asset.platform_software.platform Si la valeur contient "Windows", la plate-forme est définie sur "WINDOWS". Si la valeur contient "Linux", la plate-forme est définie sur "LINUX". Si la valeur contient "Mac", la plate-forme est définie sur "MAC".
Gravité principal.asset.vulnerabilities.severity La valeur est extraite du champ "Gravité" du journal brut, pour l'index correspondant du champ "Titre". Si la valeur est "Critique", le niveau de gravité est défini sur "ÉLEVÉ". Si la valeur est "Important", le niveau de gravité est défini sur "MEDIUM". Sinon, la gravité est définie sur "UNKNOWN_SEVERITY".
Gravité principal.asset.vulnerabilities.severity_details La valeur est extraite du champ "Gravité" du journal brut, pour l'index correspondant du champ "Titre". Si la valeur est "Critique" ou "Important", les détails de la gravité sont définis sur la valeur brute du journal.
Titre principal.asset.vulnerabilities.name La valeur est extraite du champ "Titre" du journal brut.
Titre security_result.description La valeur est extraite du champ "Title" (Titre) du journal brut, pour l'index correspondant du champ "InstallStatus" (État de l'installation). Si la valeur "InstallStatus" n'est pas "Installed", la description est définie sur la valeur brute du journal.
- metadata.event_timestamp La valeur est extraite du champ "create_time" du journal brut.
- metadata.event_type La valeur est définie sur "SCAN_HOST".
- metadata.log_type La valeur est extraite du champ "log_type" du journal brut.
- metadata.product_name La valeur est définie sur "Patch".
- metadata.vendor_name La valeur est définie sur "Tanium".
- principal.asset.vulnerabilities.vendor La valeur est définie sur "Tanium".
- security_result.category La valeur est définie sur "DATA_AT_REST".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.