Mengumpulkan log Patch Tanium

Didukung di:

Dokumen ini menjelaskan cara menyerap log Patch Tanium ke Google Security Operations menggunakan fungsi ekspor AWS S3 bawaan Tanium Connect. Tanium Patch menghasilkan data deployment patch, kepatuhan, dan kerentanan dalam format JSON, yang dapat diekspor langsung ke S3 menggunakan Tanium Connect tanpa memerlukan fungsi Lambda kustom. Parser mengubah data JSON penilaian menjadi Model Data Terpadu (UDM) Google SecOps. Pertama-tama, nama kunci akan dinormalisasi, data diekstrak dari struktur JSON, lalu kolom yang relevan dipetakan ke atribut UDM, termasuk detail kerentanan, informasi hasil keamanan, dan detail aset seperti nama host dan sistem operasi.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Tanium Core Platform 7.0 atau yang lebih baru
  • Modul Tanium Patch telah diinstal dan dikonfigurasi
  • Modul Tanium Connect diinstal dengan lisensi yang valid
  • Akses istimewa ke Tanium Console dengan hak administratif
  • Akses istimewa ke AWS (S3, IAM)

Mengonfigurasi akun layanan Tanium Patch

  1. Login ke Tanium Console.
  2. Buka Modules > Patch.
  3. Klik Setelan di kanan atas.
  4. Di bagian Service Account, konfigurasikan hal berikut:
    • Pengguna Akun Layanan: Pilih pengguna dengan izin Patch yang sesuai.
    • Verifikasi bahwa akun memiliki hak istimewa peran Pengguna yang Terhubung.
  5. Klik Simpan untuk menerapkan konfigurasi akun layanan.

Mengumpulkan prasyarat Tanium Patch

  1. Login ke Tanium Console sebagai administrator.
  2. Buka Administrasi > Izin > Pengguna.

  3. Buat atau identifikasi pengguna akun layanan dengan peran berikut:

    • Peran Patch Administrator atau Patch Read Only User.
    • Hak istimewa peran Hubungkan Pengguna.
    • Akses ke grup komputer yang dipantau (direkomendasikan: grup Semua Komputer).

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-patch-logs).
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Mengonfigurasi tujuan AWS S3 Tanium Connect

  1. Login ke Tanium Console.
  2. Buka Modules > Connect.
  3. Klik Buat Koneksi.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Patch Data to S3 for SecOps).
    • Deskripsi: Deskripsi opsional (misalnya, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Aktifkan: Pilih untuk mengaktifkan koneksi agar berjalan sesuai jadwal.
  5. Klik Berikutnya.

Mengonfigurasi sumber koneksi

  1. Di bagian Sumber, berikan detail konfigurasi berikut:
    • Jenis Sumber: Pilih Pertanyaan Tersimpan.
    • Pertanyaan Tersimpan: Pilih salah satu pertanyaan tersimpan terkait Patch berikut:
      • Patch - Hasil Deployment untuk status deployment patch.
      • Patch - Patch yang Tidak Ada untuk data kepatuhan kerentanan.
      • Patch - Patch yang Diinstal untuk inventaris patch yang diinstal.
      • Patch - Patch List untuk status patch yang komprehensif.
    • Grup Komputer: Pilih Semua Komputer atau grup komputer tertentu yang akan dipantau.
    • Interval Pembaruan: Tetapkan interval yang sesuai untuk pengumpulan data (misalnya, 1 jam).
  2. Klik Berikutnya.

Mengonfigurasi tujuan AWS S3

  1. Di bagian Tujuan, berikan detail konfigurasi berikut:
    • Jenis Tujuan: Pilih AWS S3.
    • Nama Tujuan: Masukkan nama unik (misalnya, Google SecOps Patch S3 Destination).
    • Kunci Akses AWS: Masukkan kunci akses AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • AWS Secret Access Key: Masukkan kunci akses rahasia AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-patch-logs).
    • Region: Pilih region AWS tempat bucket S3 Anda berada.
    • Awalan Kunci: Masukkan awalan untuk objek S3 (misalnya, tanium/patch/).
  2. Klik Berikutnya.

Mengonfigurasi filter

  1. Di bagian Filter, konfigurasikan opsi pemfilteran data:
    • Kirim hanya item baru: Pilih opsi ini untuk mengirim hanya hasil baru sejak ekspor terakhir.
    • Filter kolom: Tambahkan filter berdasarkan atribut patch tertentu jika diperlukan (misalnya, filter menurut tingkat keparahan patch, status deployment).
  2. Klik Berikutnya.

Memformat data untuk AWS S3

  1. Di bagian Format, konfigurasikan format data:
    • Format: Pilih JSON.
    • Opsi:
      • Sertakan header: Hapus centang untuk menghindari header dalam output JSON.
      • Sertakan sel kosong: Pilih berdasarkan preferensi Anda.
    • Opsi Lanjutan:
      • Penamaan file: Gunakan penamaan berbasis stempel waktu default.
      • Kompresi: Pilih Gzip untuk mengurangi biaya penyimpanan dan waktu transfer.
  2. Klik Berikutnya.

Menjadwalkan koneksi

  1. Di bagian Jadwalkan, konfigurasikan jadwal ekspor:
    • Aktifkan jadwal: Pilih untuk mengaktifkan ekspor terjadwal otomatis.
    • Jenis jadwal: Pilih Berulang.
    • Frekuensi: Pilih Per jam untuk ekspor data patch reguler.
    • Waktu mulai: Tetapkan waktu mulai yang sesuai untuk ekspor pertama.
  2. Klik Berikutnya.

Simpan dan verifikasi koneksi

  1. Tinjau konfigurasi koneksi di layar ringkasan.
  2. Klik Simpan untuk membuat koneksi.
  3. Klik Uji Koneksi untuk memverifikasi konfigurasi.
  4. Jika pengujian berhasil, klik Jalankan Sekarang untuk melakukan ekspor awal.
  5. Pantau status koneksi di halaman Connect Overview.

Mengonfigurasi feed di Google SecOps untuk memproses log Patch Tanium

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Patch logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Tanium Patch sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://tanium-patch-logs/tanium/patch/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
Buletin principal.asset.vulnerabilities.vendor_vulnerability_id Nilai diambil dari kolom "Bulletins" di log mentah, untuk indeks kolom "Title" yang sesuai. Jika nilainya adalah "None", kolom tidak dipetakan.
ComputerName principal.hostname Nilai diambil dari kolom "ComputerName" di log mentah.
ComputerName principal.asset.hostname Nilai diambil dari kolom "ComputerName" di log mentah.
CVEID principal.asset.vulnerabilities.cve_id Nilai diambil dari kolom "CVEIDs" di log mentah, untuk indeks yang sesuai dari kolom "Title". Jika nilainya adalah "None", kolom tidak dipetakan.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id Nilai diambil dari kolom "KBArticles" di log mentah, untuk indeks kolom "Title" yang sesuai. Jika nilainya kosong, kolom tidak dipetakan.
KBArticles security_result.summary Nilai diambil dari kolom "KBArticles" di log mentah, untuk indeks kolom "Title" yang sesuai. Jika nilainya kosong, kolom tidak dipetakan.
OSType principal.asset.platform_software.platform Jika nilai berisi "Windows", platform akan disetel ke "WINDOWS". Jika nilai berisi "Linux", platform akan disetel ke "LINUX". Jika nilai berisi "Mac", platform ditetapkan ke "MAC".
Keparahan principal.asset.vulnerabilities.severity Nilai diambil dari kolom "Severity" dalam log mentah, untuk indeks yang sesuai dari kolom "Title". Jika nilainya adalah "Critical", tingkat keparahan ditetapkan ke "HIGH". Jika nilainya "Important", tingkat keparahan ditetapkan ke "MEDIUM". Jika tidak, tingkat keparahan ditetapkan ke "UNKNOWN_SEVERITY".
Keparahan principal.asset.vulnerabilities.severity_details Nilai diambil dari kolom "Severity" dalam log mentah, untuk indeks yang sesuai dari kolom "Title". Jika nilainya adalah "Kritis" atau "Penting", detail tingkat keparahan ditetapkan ke nilai log mentah.
Judul principal.asset.vulnerabilities.name Nilai diambil dari kolom "Judul" dalam log mentah.
Judul security_result.description Nilai diambil dari kolom "Title" di log mentah, untuk indeks kolom "InstallStatus" yang sesuai. Jika nilai "InstallStatus" bukan "Installed", deskripsi akan disetel ke nilai log mentah.
- metadata.event_timestamp Nilai diambil dari kolom "create_time" dalam log mentah.
- metadata.event_type Nilai ditetapkan ke "SCAN_HOST".
- metadata.log_type Nilai diambil dari kolom "log_type" di log mentah.
- metadata.product_name Nilai ditetapkan ke "Patch".
- metadata.vendor_name Nilai ditetapkan ke "Tanium".
- principal.asset.vulnerabilities.vendor Nilai ditetapkan ke "Tanium".
- security_result.category Nilai ditetapkan ke "DATA_AT_REST".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.