Tanium Patch ログを収集する

以下でサポートされています。

このドキュメントでは、Tanium Connect のネイティブ AWS S3 エクスポート機能を使用して、Tanium Patch ログを Google Security Operations に取り込む方法について説明します。Tanium Patch は、パッチのデプロイ、コンプライアンス、脆弱性に関するデータを JSON 形式で生成します。このデータは、カスタム Lambda 関数を必要とせずに、Tanium Connect を使用して S3 に直接エクスポートできます。パーサーは、評価 JSON データを Google SecOps の統合データモデル(UDM)に変換します。まず、キー名を正規化し、JSON 構造からデータを抽出します。次に、脆弱性の詳細、セキュリティ結果情報、ホスト名やオペレーティング システムなどのアセットの詳細など、関連するフィールドを UDM 属性にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Tanium Core Platform 7.0 以降
  • Tanium Patch モジュールがインストールされ、構成されている
  • 有効なライセンスでインストールされた Tanium Connect モジュール
  • 管理者権限を持つ Tanium Console への特権アクセス
  • AWS(S3、IAM)への特権アクセス

Tanium Patch サービス アカウントを構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [パッチ] に移動します。
  3. 右上の [設定] をクリックします。
  4. [サービス アカウント] セクションで、次の構成を行います。
    • サービス アカウント ユーザー: 適切なパッチ権限を持つユーザーを選択します。
    • アカウントに Connect User ロールの権限があることを確認します。
  5. [保存] をクリックして、サービス アカウントの構成を適用します。

Tanium Patch の前提条件を収集する

  1. 管理者として Tanium Console にログインします。
  2. [管理> 権限 > ユーザー] に移動します。

  3. 次のロールを持つサービス アカウント ユーザーを作成または特定します。

    • パッチ管理者ロールまたはパッチ読み取り専用ユーザーロール。
    • Connect User ロールの権限。
    • 監視対象のパソコン グループへのアクセス(推奨: [すべてのパソコン] グループ)。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: tanium-patch-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Tanium Connect の AWS S3 の宛先を構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [接続] に移動します。
  3. [接続を作成] をクリックします。
  4. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Patch Data to S3 for SecOps)。
    • 説明: 省略可能な説明(例: Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion)。
    • 有効: スケジュールどおりに接続を実行するには、このオプションを選択します。
  5. [次へ] をクリックします。

接続元を構成する

  1. [ソース] セクションで、次の構成の詳細を指定します。
    • Source Type: [Saved Question] を選択します。
    • 保存した質問: パッチに関連する次の保存した質問のいずれかを選択します。
      • パッチのデプロイ ステータスについては、パッチ - デプロイ結果をご覧ください。
      • 脆弱性コンプライアンス データの場合は、パッチ - 欠落しているパッチ
      • インストールされたパッチのインベントリの Patch - Installed Patches
      • パッチ - パッチリストで、パッチのステータスを包括的に確認できます。
    • コンピュータ グループ: 監視する [すべてのコンピュータ] または特定のコンピュータ グループを選択します。
    • 更新間隔: データ収集に適した間隔(1 時間など)を設定します。
  2. [次へ] をクリックします。

AWS S3 の宛先を構成する

  1. [送信先] セクションで、次の構成の詳細を指定します。
    • 宛先の種類: [AWS S3] を選択します。
    • 宛先名: 一意の名前(Google SecOps Patch S3 Destination など)を入力します。
    • AWS アクセスキー: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS アクセスキーを入力します。
    • AWS Secret Access Key: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS シークレット アクセスキーを入力します。
    • バケット名: S3 バケット名(tanium-patch-logs など)を入力します。
    • リージョン: S3 バケットが配置されている AWS リージョンを選択します。
    • キー接頭辞: S3 オブジェクトの接頭辞(tanium/patch/ など)を入力します。
  2. [次へ] をクリックします。

フィルタを構成する

  1. [フィルタ] セクションで、データ フィルタリング オプションを構成します。
    • 新しいアイテムのみを送信: 前回のエクスポート以降の新しい結果のみを送信する場合は、このオプションを選択します。
    • 列フィルタ: 必要に応じて、特定のパッチ属性に基づいてフィルタを追加します(パッチの重大度、デプロイ ステータスでフィルタするなど)。
  2. [次へ] をクリックします。

AWS S3 用にデータをフォーマットする

  1. [形式] セクションで、データ形式を構成します。
    • 形式: [JSON] を選択します。
    • オプション:
      • ヘッダーを含める: JSON 出力にヘッダーを含めない場合は、選択を解除します。
      • 空白のセルを含める: 必要に応じて選択します。
    • 詳細オプション:
      • ファイル命名: デフォルトのタイムスタンプ ベースの命名を使用します。
      • 圧縮: ストレージ コストと転送時間を削減するには、[Gzip] を選択します。
  2. [次へ] をクリックします。

接続をスケジュールする

  1. [スケジュール] セクションで、エクスポート スケジュールを構成します。
    • スケジュールを有効にする: 自動スケジュール設定エクスポートを有効にする場合に選択します。
    • スケジュール タイプ: [繰り返し] を選択します。
    • 頻度: 定期的なパッチデータのエクスポートには、[1 時間ごと] を選択します。
    • 開始時間: 最初のエクスポートの適切な開始時間を設定します。
  2. [次へ] をクリックします。

接続を保存して検証する

  1. 概要画面で接続構成を確認します。
  2. [Save] をクリックして接続を作成します。
  3. [接続をテスト] をクリックして、構成を確認します。
  4. テストが成功したら、[今すぐ実行] をクリックして初回のエクスポートを実行します。
  5. [Connect の概要] ページで接続ステータスをモニタリングします。

Tanium Patch のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tanium Patch logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Tanium Patch] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tanium-patch-logs/tanium/patch/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
公開情報 principal.asset.vulnerabilities.vendor_vulnerability_id この値は、未加工ログの「Bulletins」フィールドから、「Title」フィールドの対応するインデックスに対して取得されます。値が「None」の場合、フィールドはマッピングされません。
ComputerName principal.hostname この値は、未加工ログの「ComputerName」フィールドから取得されます。
ComputerName principal.asset.hostname この値は、未加工ログの「ComputerName」フィールドから取得されます。
CVEID principal.asset.vulnerabilities.cve_id この値は、未加工ログの「CVEIDs」フィールドから取得されます。これは、「Title」フィールドの対応するインデックスです。値が「None」の場合、フィールドはマッピングされません。
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id この値は、未加工ログの「KBArticles」フィールドから取得されます。これは、「Title」フィールドの対応するインデックスです。値が空の場合、フィールドはマッピングされません。
KBArticles security_result.summary この値は、未加工ログの「KBArticles」フィールドから取得されます。これは、「Title」フィールドの対応するインデックスです。値が空の場合、フィールドはマッピングされません。
OSType principal.asset.platform_software.platform 値に「Windows」が含まれている場合、プラットフォームは「WINDOWS」に設定されます。値に「Linux」が含まれている場合、プラットフォームは「LINUX」に設定されます。値に「Mac」が含まれている場合、プラットフォームは「MAC」に設定されます。
重大度 principal.asset.vulnerabilities.severity この値は、未加工ログの「Severity」フィールドから取得されます。これは、「Title」フィールドの対応するインデックスの値です。値が「Critical」の場合、重大度は「HIGH」に設定されます。値が「Important」の場合、重大度は「MEDIUM」に設定されます。それ以外の場合、重大度は「UNKNOWN_SEVERITY」に設定されます。
重大度 principal.asset.vulnerabilities.severity_details この値は、未加工ログの「Severity」フィールドから取得されます。これは、「Title」フィールドの対応するインデックスの値です。値が「Critical」または「Important」の場合、重大度の詳細は未加工のログ値に設定されます。
タイトル principal.asset.vulnerabilities.name この値は、未加工ログの「Title」フィールドから取得されます。
タイトル security_result.description この値は、未加工ログの「Title」フィールドから取得され、「InstallStatus」フィールドの対応するインデックスに設定されます。「InstallStatus」の値が「Installed」でない場合、説明は未加工のログ値に設定されます。
- metadata.event_timestamp この値は、未加工ログの「create_time」フィールドから取得されます。
- metadata.event_type 値は「SCAN_HOST」に設定されます。
- metadata.log_type この値は、未加工ログの「log_type」フィールドから取得されます。
- metadata.product_name 値は「Patch」に設定されます。
- metadata.vendor_name 値は「Tanium」に設定されます。
- principal.asset.vulnerabilities.vendor 値は「Tanium」に設定されます。
- security_result.category 値は「DATA_AT_REST」に設定されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。