Collecter les journaux de questions Tanium

Compatible avec :

Ce document explique comment ingérer les journaux de questions Tanium dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Les journaux de questions Tanium contiennent des métadonnées d'exécution de requêtes, des informations d'audit et des données sur les résultats des questions au format JSON. Vous pouvez les exporter directement vers S3 à l'aide de Tanium Connect sans avoir besoin de fonctions Lambda personnalisées.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Tanium Core Platform 7.0 ou version ultérieure
  • Module Tanium Interact pour la gestion des questions
  • Module Tanium Connect installé avec une licence valide
  • Accès privilégié à la console Tanium avec droits d'administrateur
  • Accès privilégié à AWS (S3, IAM).

Configurer le compte de service d'audit des questions Tanium

  1. Connectez-vous à la console Tanium.
  2. Accédez à Administration > Paramètres généraux.
  3. Accédez aux paramètres Audit des questions.
  4. Configurez la journalisation d'audit pour capturer les métadonnées d'exécution des questions.
  5. Assurez-vous que le compte de service dispose des autorisations d'accès à l'audit appropriées.

Conditions préalables pour collecter des questions Tanium

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Autorisations > Utilisateurs.

  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :

    • Vous devez disposer du rôle Auteur de la question ou Administrateur pour accéder aux questions.
    • Privilège du rôle Connect User (Utilisateur Connect).
    • Autorisation Lire les questions enregistrées pour les ensembles de contenu d'audit.
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe Tous les ordinateurs).

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-question-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la destination Tanium Connect AWS S3

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Question Audit to S3 for SecOps).
    • Description : description facultative (par exemple, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion et l'exécuter selon la programmation.
  5. Cliquez sur Suivant.

Configurer la source de connexion

  1. Dans la section Source, fournissez les informations de configuration suivantes :
    • Type de source : sélectionnez Question enregistrée.
    • Question enregistrée : sélectionnez l'une des questions enregistrées suivantes liées à l'audit :
      • Le journal des questions pour l'historique d'exécution des questions.
      • L'historique des actions pour les actions administratives et le déploiement des questions.
      • Activité utilisateur pour l'interaction des utilisateurs avec les questions.
      • État du système pour les métriques de performances de la plate-forme.
    • Groupe d'ordinateurs : sélectionnez Tous les ordinateurs ou des groupes d'ordinateurs spécifiques à surveiller.
    • Intervalle d'actualisation : définissez un intervalle approprié pour la collecte de données (par exemple, 30 minutes).
  2. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Dans la section Destination, fournissez les informations de configuration suivantes :
    • Type de destination : sélectionnez AWS S3.
    • Nom de la destination : saisissez un nom unique (par exemple, Google SecOps Question S3 Destination).
    • Clé d'accès AWS : saisissez la clé d'accès AWS du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Clé d'accès secrète AWS : saisissez la clé d'accès secrète AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-question-logs).
    • Région : sélectionnez la région AWS où se trouve votre bucket S3.
    • Préfixe de clé : saisissez un préfixe pour les objets S3 (par exemple, tanium/question/).
  2. Cliquez sur Suivant.

Configurer des filtres

  1. Dans la section Filtres, configurez les options de filtrage des données :
    • Envoyer uniquement les nouveaux éléments : sélectionnez cette option pour n'envoyer que les données de questions nouvelles depuis la dernière exportation.
    • Filtres de colonnes : ajoutez des filtres basés sur des attributs de questions spécifiques si nécessaire (par exemple, filtrez par type de question, utilisateur ou état d'exécution).
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Dans la section Format, configurez le format des données :
    • Format : sélectionnez JSON.
    • Options :
      • Inclure les en-têtes : décochez cette option pour éviter d'inclure les en-têtes dans la sortie JSON.
      • Inclure les cellules vides : sélectionnez cette option selon vos préférences.
    • Options avancées :
      • Nommage des fichiers : utilisez le nommage par défaut basé sur le code temporel.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage et le temps de transfert.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Programmation, configurez la programmation de l'exportation :
    • Activer la planification : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Type de programmation : sélectionnez Récurrente.
    • Fréquence : sélectionnez Toutes les 30 minutes pour exporter régulièrement les données d'audit des questions.
    • Heure de début : définissez une heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et valider la connexion

  1. Vérifiez la configuration de la connexion sur l'écran récapitulatif.
  2. Cliquez sur Save (Enregistrer) pour créer la connexion.
  3. Cliquez sur Tester la connexion pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Exécuter maintenant pour effectuer une première exportation.
  5. Surveillez l'état de la connexion sur la page Présentation de Connect.

Configurer un flux dans Google SecOps pour ingérer les journaux de questions Tanium

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Question logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Question Tanium comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-question-logs/tanium/question/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.