Coletar registros do Tanium Patch

Compatível com:

Este documento explica como ingerir registros de patch do Tanium no Google Security Operations usando a funcionalidade nativa de exportação do AWS S3 do Tanium Connect. O Tanium Patch gera dados de implantação de patch, conformidade e vulnerabilidade no formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. O analisador transforma os dados JSON da avaliação no modelo de dados unificado (UDM) do Google SecOps. Primeiro, ele normaliza os nomes das chaves, extrai dados da estrutura JSON e mapeia os campos relevantes para atributos do UDM, incluindo detalhes de vulnerabilidade, informações de resultados de segurança e detalhes de recursos, como nome do host e sistema operacional.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Tanium Core Platform 7.0 ou mais recente
  • O módulo Tanium Patch instalado e configurado
  • Módulo Tanium Connect instalado com uma licença válida
  • Acesso privilegiado ao Tanium Console com direitos administrativos
  • Acesso privilegiado à AWS (S3, IAM)

Configurar a conta de serviço do Tanium Patch

  1. Faça login no Tanium Console.
  2. Acesse Módulos > Patch.
  3. Clique em Configurações no canto superior direito.
  4. Na seção Conta de serviço, configure o seguinte:
    • Usuário da conta de serviço: selecione um usuário com as permissões de patch adequadas.
    • Verifique se a conta tem o privilégio de função de usuário de conexão.
  5. Clique em Salvar para aplicar a configuração da conta de serviço.

Coletar pré-requisitos do Tanium Patch

  1. Faça login no Tanium Console como administrador.
  2. Acesse Administração > Permissões > Usuários.

  3. Crie ou identifique um usuário da conta de serviço com os seguintes papéis:

    • Função Administrador de patch ou Usuário somente leitura de patch.
    • Privilégio da função Usuário de conexão.
    • Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-patch-logs).
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar o destino do AWS S3 do Tanium Connect

  1. Faça login no Tanium Console.
  2. Acesse Módulos > Conectar.
  3. Clique em Criar conexão.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo. Por exemplo, Patch Data to S3 for SecOps.
    • Descrição: descrição opcional (por exemplo, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Ativar: selecione para ativar a conexão e executá-la conforme programado.
  5. Clique em Próxima.

Configurar a origem da conexão

  1. Na seção Origem, forneça os seguintes detalhes de configuração:
    • Tipo de origem: selecione Pergunta salva.
    • Pergunta salva: selecione uma das seguintes perguntas salvas relacionadas a patch:
      • Patch - Deployment Results para o status da implantação de patch.
      • Patch - Missing Patches para dados de conformidade de vulnerabilidade.
      • Patch - Installed Patches para inventário de patches instalados.
      • Patch - Patch List para um status abrangente do patch.
    • Grupo de computadores: selecione Todos os computadores ou grupos específicos para monitorar.
    • Intervalo de atualização: defina o intervalo adequado para a coleta de dados (por exemplo, 1 hora).
  2. Clique em Próxima.

Configurar o destino do AWS S3

  1. Na seção Destino, forneça os seguintes detalhes de configuração:
    • Tipo de destino: selecione AWS S3.
    • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps Patch S3 Destination).
    • Chave de acesso da AWS: insira a chave de acesso da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-patch-logs).
    • Região: selecione a região da AWS em que o bucket do S3 está localizado.
    • Prefixo da chave: insira um prefixo para os objetos do S3 (por exemplo, tanium/patch/).
  2. Clique em Próxima.

Configurar filtros

  1. Na seção Filtros, configure as opções de filtragem de dados:
    • Enviar apenas novos itens: selecione essa opção para enviar apenas os novos resultados desde a última exportação.
    • Filtros de coluna: adicione filtros com base em atributos específicos do patch, se necessário (por exemplo, filtre por gravidade do patch, status de implantação).
  2. Clique em Próxima.

Formatar dados para o AWS S3

  1. Na seção Formato, configure o formato dos dados:
    • Formato: selecione JSON.
    • Opções:
      • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
      • Incluir células vazias: selecione de acordo com sua preferência.
    • Opções avançadas:
      • Nomeação de arquivos: use a nomeação padrão com base no carimbo de data/hora.
      • Compactação: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
  2. Clique em Próxima.

Programar a conexão

  1. Na seção Programação, configure a programação de exportação:
    • Ativar programação: selecione para ativar as exportações automáticas programadas.
    • Tipo de programação: selecione Recorrente.
    • Frequência: selecione Por hora para exportar dados de patch regularmente.
    • Horário de início: defina o horário de início adequado para a primeira exportação.
  2. Clique em Próxima.

Salvar e verificar conexão

  1. Revise a configuração da conexão na tela de resumo.
  2. Clique em Salvar para criar a conexão.
  3. Clique em Testar conexão para verificar a configuração.
  4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
  5. Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros do Tanium Patch

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Patch logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Patch como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-patch-logs/tanium/patch/
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Boletins principal.asset.vulnerabilities.vendor_vulnerability_id O valor é extraído do campo "Boletins" no registro bruto, para o índice correspondente do campo "Título". Se o valor for "None", o campo não será mapeado.
ComputerName principal.hostname O valor é extraído do campo "ComputerName" no registro bruto.
ComputerName principal.asset.hostname O valor é extraído do campo "ComputerName" no registro bruto.
CVEIDs principal.asset.vulnerabilities.cve_id O valor é extraído do campo "CVEIDs" no registro bruto, para o índice correspondente do campo "Title". Se o valor for "None", o campo não será mapeado.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id O valor é extraído do campo "KBArticles" no registro bruto, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não será mapeado.
KBArticles security_result.summary O valor é extraído do campo "KBArticles" no registro bruto, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não será mapeado.
OSType principal.asset.platform_software.platform Se o valor contiver "Windows", a plataforma será definida como "WINDOWS". Se o valor contiver "Linux", a plataforma será definida como "LINUX". Se o valor contiver "Mac", a plataforma será definida como "MAC".
Gravidade principal.asset.vulnerabilities.severity O valor é extraído do campo "Gravidade" no registro bruto, para o índice correspondente do campo "Título". Se o valor for "Crítico", a gravidade será definida como "ALTA". Se o valor for "Importante", a gravidade será definida como "MÉDIA". Caso contrário, a gravidade será definida como "UNKNOWN_SEVERITY".
Gravidade principal.asset.vulnerabilities.severity_details O valor é extraído do campo "Gravidade" no registro bruto, para o índice correspondente do campo "Título". Se o valor for "Crítico" ou "Importante", os detalhes de gravidade serão definidos como o valor bruto do registro.
Título principal.asset.vulnerabilities.name O valor é extraído do campo "Título" no registro bruto.
Título security_result.description O valor é extraído do campo "Title" no registro bruto, para o índice correspondente do campo "InstallStatus". Se o valor "InstallStatus" não for "Installed", a descrição será definida como o valor bruto do registro.
- metadata.event_timestamp O valor é extraído do campo "create_time" no registro bruto.
- metadata.event_type O valor é definido como "SCAN_HOST".
- metadata.log_type O valor é extraído do campo "log_type" no registro bruto.
- metadata.product_name O valor é definido como "Patch".
- metadata.vendor_name O valor é definido como "Tanium".
- principal.asset.vulnerabilities.vendor O valor é definido como "Tanium".
- security_result.category O valor é definido como "DATA_AT_REST".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.