Recolha registos de patches do Tanium

Compatível com:

Este documento explica como carregar registos de patches do Tanium para o Google Security Operations através da funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Patch produz dados de implementação de patches, conformidade e vulnerabilidade no formato JSON, que podem ser exportados diretamente para o S3 através do Tanium Connect sem precisar de funções Lambda personalizadas. O analisador transforma os dados JSON de avaliação no modelo de dados unificado (UDM) do Google SecOps. Primeiro, normaliza os nomes das chaves, extrai dados da estrutura JSON e, em seguida, mapeia os campos relevantes para atributos UDM, incluindo detalhes de vulnerabilidades, informações de resultados de segurança e detalhes de recursos, como o nome do anfitrião e o sistema operativo.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Tanium Core Platform 7.0 ou posterior
  • Módulo Tanium Patch instalado e configurado
  • Módulo Tanium Connect instalado com uma licença válida
  • Acesso privilegiado à consola do Tanium com direitos administrativos
  • Acesso privilegiado à AWS (S3, IAM)

Configure a conta de serviço do Tanium Patch

  1. Inicie sessão na Tanium Console.
  2. Aceda a Módulos > Patch.
  3. Clique em Definições na parte superior direita.
  4. Na secção Conta de serviço, configure o seguinte:
    • Utilizador da conta de serviço: selecione um utilizador com as autorizações de patch adequadas.
    • Verifique se a conta tem o privilégio da função de utilizador de ligação.
  5. Clique em Guardar para aplicar a configuração da conta de serviço.

Recolha os pré-requisitos do patch do Tanium

  1. Inicie sessão na consola do Tanium como administrador.
  2. Aceda a Administração > Autorizações > Utilizadores.

  3. Crie ou identifique um utilizador da conta de serviço com as seguintes funções:

    • Função Administrador de patches ou Utilizador só de leitura de patches.
    • Privilégio da função Utilizador associado.
    • Acesso a grupos de computadores monitorizados (recomendado: grupo Todos os computadores).

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-patch-logs).
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure o destino do AWS S3 do Tanium Connect

  1. Inicie sessão na Tanium Console.
  2. Aceda a Módulos > Ligar.
  3. Clique em Criar associação.
  4. Indique os seguintes detalhes de configuração:
    • Nome: introduza um nome descritivo (por exemplo, Patch Data to S3 for SecOps).
    • Descrição: descrição opcional (por exemplo, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Ativar: selecione esta opção para ativar a execução da associação de acordo com um horário.
  5. Clicar em Seguinte.

Configure a origem da associação

  1. Na secção Origem, faculte os seguintes detalhes de configuração:
    • Tipo de origem: selecione Pergunta guardada.
    • Pergunta guardada: selecione uma das seguintes perguntas guardadas relacionadas com patches:
      • Patch - Deployment Results para o estado de implementação de patches.
      • Patch - Missing Patches para dados de conformidade de vulnerabilidades.
      • Patch – Patches instalados para o inventário de patches instalados.
      • Patch – Lista de patches para ver o estado abrangente dos patches.
    • Grupo de computadores: selecione Todos os computadores ou grupos de computadores específicos para monitorizar.
    • Intervalo de atualização: defina o intervalo adequado para a recolha de dados (por exemplo, 1 hora).
  2. Clicar em Seguinte.

Configure o destino do AWS S3

  1. Na secção Destino, faculte os seguintes detalhes de configuração:
    • Tipo de destino: selecione AWS S3.
    • Nome do destino: introduza um nome exclusivo (por exemplo, Google SecOps Patch S3 Destination).
    • Chave de acesso da AWS: introduza a chave de acesso da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
    • Chave de acesso secreta da AWS: introduza a chave de acesso secreta da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
    • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-patch-logs).
    • Região: selecione a região da AWS onde o seu contentor do S3 está localizado.
    • Prefixo da chave: introduza um prefixo para os objetos S3 (por exemplo, tanium/patch/).
  2. Clicar em Seguinte.

Configure filtros

  1. Na secção Filtros, configure as opções de filtragem de dados:
    • Enviar apenas novos itens: selecione esta opção para enviar apenas novos resultados desde a última exportação.
    • Filtros de colunas: adicione filtros com base em atributos de patch específicos, se necessário (por exemplo, filtre por gravidade do patch, estado de implementação).
  2. Clicar em Seguinte.

Formate os dados para o AWS S3

  1. Na secção Formato, configure o formato de dados:
    • Formato: selecione JSON.
    • Opções:
      • Incluir cabeçalhos: desmarque esta opção para evitar cabeçalhos no resultado JSON.
      • Incluir células vazias: selecione com base na sua preferência.
    • Opções avançadas:
      • Nomenclatura de ficheiros: use a nomenclatura predefinida baseada na data/hora.
      • Compressão: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
  2. Clicar em Seguinte.

Agende a associação

  1. Na secção Programação, configure a programação de exportação:
    • Ativar agendamento: selecione esta opção para ativar as exportações agendadas automáticas.
    • Tipo de programação: selecione Recorrente.
    • Frequência: selecione De hora em hora para a exportação regular de dados de patches.
    • Hora de início: defina a hora de início adequada para a primeira exportação.
  2. Clicar em Seguinte.

Guarde e valide a associação

  1. Reveja a configuração da associação no ecrã de resumo.
  2. Clique em Guardar para criar a associação.
  3. Clique em Testar associação para validar a configuração.
  4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
  5. Monitorize o estado da ligação na página Vista geral do Connect.

Configure um feed no Google SecOps para carregar registos de patches do Tanium

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Patch logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Patch como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-patch-logs/tanium/patch/
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento do UDM Lógica
Boletins principal.asset.vulnerabilities.vendor_vulnerability_id O valor é retirado do campo "Bulletins" no registo não processado, para o índice correspondente do campo "Title". Se o valor for "Nenhum", o campo não é mapeado.
ComputerName principal.hostname O valor é retirado do campo "ComputerName" no registo não processado.
ComputerName principal.asset.hostname O valor é retirado do campo "ComputerName" no registo não processado.
CVEIDs principal.asset.vulnerabilities.cve_id O valor é retirado do campo "CVEIDs" no registo não processado, para o índice correspondente do campo "Title". Se o valor for "Nenhum", o campo não é mapeado.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id O valor é retirado do campo "KBArticles" no registo não processado, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não é mapeado.
KBArticles security_result.summary O valor é retirado do campo "KBArticles" no registo não processado, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não é mapeado.
OSType principal.asset.platform_software.platform Se o valor contiver "Windows", a plataforma é definida como "WINDOWS". Se o valor contiver "Linux", a plataforma é definida como "LINUX". Se o valor contiver "Mac", a plataforma é definida como "MAC".
Gravidade principal.asset.vulnerabilities.severity O valor é retirado do campo "Gravidade" no registo não processado, para o índice correspondente do campo "Título". Se o valor for "Crítico", a gravidade é definida como "ALTA". Se o valor for "Importante", a gravidade é definida como "MÉDIA". Caso contrário, a gravidade é definida como "UNKNOWN_SEVERITY".
Gravidade principal.asset.vulnerabilities.severity_details O valor é retirado do campo "Gravidade" no registo não processado, para o índice correspondente do campo "Título". Se o valor for "Crítico" ou "Importante", os detalhes da gravidade são definidos como o valor do registo não processado.
Título principal.asset.vulnerabilities.name O valor é retirado do campo "Título" no registo não processado.
Título security_result.description O valor é retirado do campo "Title" no registo não processado, para o índice correspondente do campo "InstallStatus". Se o valor "InstallStatus" não for "Installed", a descrição é definida como o valor do registo não processado.
- metadata.event_timestamp O valor é retirado do campo "create_time" no registo não processado.
- metadata.event_type O valor está definido como "SCAN_HOST".
- metadata.log_type O valor é retirado do campo "log_type" no registo não processado.
- metadata.product_name O valor é definido como "Patch".
- metadata.vendor_name O valor está definido como "Tanium".
- principal.asset.vulnerabilities.vendor O valor está definido como "Tanium".
- security_result.category O valor está definido como "DATA_AT_REST".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.