收集 Tanium Patch 記錄

支援的國家/地區:

本文說明如何使用 Tanium Connect 的原生 AWS S3 匯出功能,將 Tanium Patch 記錄檔擷取至 Google Security Operations。Tanium Patch 會以 JSON 格式產生修補程式部署、法規遵循和安全漏洞資料,並可使用 Tanium Connect 直接匯出至 S3,無須自訂 Lambda 函式。剖析器會將評估 JSON 資料轉換為 Google SecOps 的統合式資料模型 (UDM)。首先,它會將鍵名正規化、從 JSON 結構擷取資料,然後將相關欄位對應至 UDM 屬性,包括安全漏洞詳細資料、安全性結果資訊,以及主機名稱和作業系統等資產詳細資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Tanium Core Platform 7.0 以上版本
  • 已安裝並設定 Tanium Patch 模組
  • 已安裝 Tanium Connect 模組並取得有效授權
  • 具備管理權限的 Tanium Console 存取權
  • AWS (S3、IAM) 的特殊存取權

設定 Tanium Patch 服務帳戶

  1. 登入 Tanium Console
  2. 依序前往「模組」>「修補程式」
  3. 按一下右上方的「設定」
  4. 在「服務帳戶」部分,設定下列項目:
    • 服務帳戶使用者:選取具備適當修補程式權限的使用者。
    • 確認帳戶是否具備連線使用者角色權限。
  5. 按一下「儲存」,套用服務帳戶設定。

收集 Tanium Patch 的必要條件

  1. 以管理員身分登入 Tanium Console
  2. 依序前往「Administration」>「Permissions」>「Users」

  3. 建立或找出具備下列角色的服務帳戶使用者:

    • 「修補程式管理員」或「修補程式唯讀使用者」角色。
    • 「連線使用者」角色權限。
    • 受監控的電腦群組存取權 (建議:所有電腦群組)。

為 Google SecOps 設定 AWS S3 值區和 IAM

  1. 按照這份使用者指南建立 Amazon S3 bucket建立 bucket
  2. 儲存 bucket 的「名稱」和「區域」,以供日後參考 (例如 tanium-patch-logs)。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

設定 Tanium Connect AWS S3 目的地

  1. 登入 Tanium Console
  2. 依序前往「模組」>「連結」
  3. 按一下「建立連線」
  4. 提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Patch Data to S3 for SecOps)。
    • 說明:選填說明 (例如 Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion)。
    • 啟用:選取這個選項,即可啟用連線,並依時間表執行。
  5. 點選「下一步」

設定連線來源

  1. 在「來源」部分,提供下列設定詳細資料:
    • 來源類型:選取「已儲存的問題」
    • 已儲存的問題:選取下列其中一個與修補程式相關的已儲存問題:
      • 修補程式部署狀態的「修補程式 - 部署結果」
      • 修補程式 - 缺少修補程式,適用於安全漏洞狀態資料。
      • 修補程式 - 已安裝的修補程式:已安裝的修補程式清單。
      • 如要查看完整的修補程式狀態,請參閱「修補程式 - 修補程式清單」
    • 電腦群組:選取「所有電腦」或要監控的特定電腦群組。
    • 重新整理間隔:設定適當的資料收集間隔 (例如 1 小時)。
  2. 點選「下一步」

設定 AWS S3 目的地

  1. 在「目的地」部分,提供下列設定詳細資料:
    • 目的地類型:選取「AWS S3」
    • 目的地名稱:輸入不重複的名稱 (例如 Google SecOps Patch S3 Destination)。
    • AWS 存取金鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取金鑰。
    • AWS 存取密鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取密鑰。
    • Bucket Name:輸入 S3 bucket 名稱 (例如 tanium-patch-logs)。
    • 地區:選取 S3 儲存空間所在的 AWS 地區。
    • 金鑰前置字串:輸入 S3 物件的前置字串 (例如 tanium/patch/)。
  2. 點選「下一步」

設定篩選器

  1. 在「篩選器」部分,設定資料篩選選項:
    • 僅傳送新項目:選取這個選項,只傳送上次匯出後的新結果。
    • 欄篩選器:視需要根據特定修補程式屬性新增篩選器 (例如依修補程式嚴重程度、部署狀態篩選)。
  2. 點選「下一步」

AWS S3 的資料格式

  1. 在「格式」部分,設定資料格式:
    • 格式:選取「JSON」
    • 選項
      • 包含標頭:取消選取即可避免在 JSON 輸出內容中加入標頭。
      • 包含空白儲存格:根據偏好設定選取。
    • 進階選項
      • 檔案命名:使用預設的時間戳記命名方式。
      • 壓縮:選取「Gzip」可降低儲存空間費用並縮短傳輸時間。
  2. 點選「下一步」

安排連線

  1. 在「排程」部分,設定匯出排程:
    • 啟用時間表:選取這個選項,即可啟用自動排程匯出功能。
    • 時間表類型:選取「週期性」
    • 頻率:選取「每小時」,定期匯出修補程式資料。
    • 開始時間:為首次匯出設定適當的開始時間。
  2. 點選「下一步」

儲存並驗證連線

  1. 查看摘要畫面中的連線設定。
  2. 按一下「儲存」即可建立連結。
  3. 按一下「測試連線」,驗證設定。
  4. 如果測試成功,請按一下「立即執行」,執行初始匯出作業。
  5. 在「連結總覽」頁面中監控連線狀態。

在 Google SecOps 中設定動態饋給,擷取 Tanium Patch 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Patch logs)。
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「Tanium Patch」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • S3 URIs3://tanium-patch-logs/tanium/patch/
    • 來源刪除選項:根據偏好設定選取刪除選項。
    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

UDM 對應表

記錄欄位 UDM 對應 邏輯
公告 principal.asset.vulnerabilities.vendor_vulnerability_id 這個值取自原始記錄的「公告」欄位,對應「標題」欄位的索引。如果值為「無」,則欄位不會對應。
ComputerName principal.hostname 這個值取自原始記錄中的「ComputerName」欄位。
ComputerName principal.asset.hostname 這個值取自原始記錄中的「ComputerName」欄位。
CVEID principal.asset.vulnerabilities.cve_id 這個值取自原始記錄的「CVEIDs」欄位,對應「Title」欄位的索引。如果值為「無」,則欄位不會對應。
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id 這個值取自原始記錄中的「KBArticles」欄位,對應於「Title」欄位的索引。如果值為空白,系統就不會對應該欄位。
KBArticles security_result.summary 這個值取自原始記錄中的「KBArticles」欄位,對應於「Title」欄位的索引。如果值為空白,系統就不會對應該欄位。
OSType principal.asset.platform_software.platform 如果值包含「Windows」,平台會設為「WINDOWS」。如果值包含「Linux」,平台會設為「LINUX」。如果值包含「Mac」,平台會設為「MAC」。
嚴重性 principal.asset.vulnerabilities.severity 這個值取自原始記錄的「嚴重程度」欄位,對應「標題」欄位的索引。如果值為「重大」,嚴重程度就會設為「高」。如果值為「重要」,嚴重程度會設為「中」。否則嚴重程度會設為「UNKNOWN_SEVERITY」。
嚴重性 principal.asset.vulnerabilities.severity_details 這個值取自原始記錄的「嚴重程度」欄位,對應「標題」欄位的索引。如果值為「重大」或「重要」,嚴重程度詳細資料會設為原始記錄值。
標題 principal.asset.vulnerabilities.name 這個值取自原始記錄中的「標題」欄位。
標題 security_result.description 這個值取自原始記錄的「Title」欄位,對應「InstallStatus」欄位的索引。如果「InstallStatus」值不是「Installed」,說明會設為原始記錄值。
- metadata.event_timestamp 這個值取自原始記錄中的「create_time」欄位。
- metadata.event_type 值設為「SCAN_HOST」。
- metadata.log_type 這個值取自原始記錄中的「log_type」欄位。
- metadata.product_name 值設為「Patch」。
- metadata.vendor_name 值設為「Tanium」。
- principal.asset.vulnerabilities.vendor 值設為「Tanium」。
- security_result.category 值設為「DATA_AT_REST」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。