Mengumpulkan log Pertanyaan Tanium

Didukung di:

Dokumen ini menjelaskan cara menyerap log Tanium Question ke Google Security Operations menggunakan fungsi ekspor AWS S3 bawaan Tanium Connect. Log Tanium Question berisi metadata eksekusi kueri, informasi audit, dan data hasil pertanyaan dalam format JSON, yang dapat diekspor langsung ke S3 menggunakan Tanium Connect tanpa memerlukan fungsi Lambda kustom.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Tanium Core Platform 7.0 atau yang lebih baru
  • Modul Tanium Interact untuk pengelolaan pertanyaan
  • Modul Tanium Connect diinstal dengan lisensi yang valid
  • Akses istimewa ke Tanium Console dengan hak administratif
  • Akses istimewa ke AWS (S3, IAM).

Mengonfigurasi akun layanan audit pertanyaan Tanium

  1. Login ke Tanium Console.
  2. Buka Administrasi > Setelan Global.
  3. Buka setelan Audit Pertanyaan.
  4. Mengonfigurasi logging audit untuk merekam metadata eksekusi pertanyaan.
  5. Pastikan akun layanan memiliki izin akses audit yang sesuai.

Mengumpulkan prasyarat Pertanyaan Tanium

  1. Login ke Tanium Console sebagai administrator.
  2. Buka Administrasi > Izin > Pengguna.

  3. Buat atau identifikasi pengguna akun layanan dengan peran berikut:

    • Peran Penulis Pertanyaan atau Administrator untuk akses pertanyaan.
    • Hak istimewa peran Hubungkan Pengguna.
    • Izin Baca Pertanyaan Tersimpan untuk set konten audit.
    • Akses ke grup komputer yang dipantau (direkomendasikan: grup Semua Komputer).

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-question-logs).
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Mengonfigurasi tujuan AWS S3 Tanium Connect

  1. Login ke Tanium Console.
  2. Buka Modules > Connect.
  3. Klik Buat Koneksi.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Question Audit to S3 for SecOps).
    • Deskripsi: Deskripsi opsional (misalnya, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
    • Aktifkan: Pilih untuk mengaktifkan koneksi agar berjalan sesuai jadwal.
  5. Klik Berikutnya.

Mengonfigurasi sumber koneksi

  1. Di bagian Sumber, berikan detail konfigurasi berikut:
    • Jenis Sumber: Pilih Pertanyaan Tersimpan.
    • Pertanyaan Tersimpan: Pilih salah satu pertanyaan tersimpan terkait audit pertanyaan berikut:
      • Log Pertanyaan untuk histori eksekusi pertanyaan.
      • Histori Tindakan untuk tindakan administratif dan penayangan pertanyaan.
      • Aktivitas Pengguna untuk interaksi pengguna dengan pertanyaan.
      • Status Sistem untuk metrik performa platform.
    • Grup Komputer: Pilih Semua Komputer atau grup komputer tertentu yang akan dipantau.
    • Interval Pembaruan: Tetapkan interval yang sesuai untuk pengumpulan data (misalnya, 30 menit).
  2. Klik Berikutnya.

Mengonfigurasi tujuan AWS S3

  1. Di bagian Tujuan, berikan detail konfigurasi berikut:
    • Jenis Tujuan: Pilih AWS S3.
    • Nama Tujuan: Masukkan nama unik (misalnya, Google SecOps Question S3 Destination).
    • Kunci Akses AWS: Masukkan kunci akses AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • AWS Secret Access Key: Masukkan kunci akses rahasia AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-question-logs).
    • Region: Pilih region AWS tempat bucket S3 Anda berada.
    • Awalan Kunci: Masukkan awalan untuk objek S3 (misalnya, tanium/question/).
  2. Klik Berikutnya.

Mengonfigurasi filter

  1. Di bagian Filter, konfigurasikan opsi pemfilteran data:
    • Kirim hanya item baru: Pilih opsi ini untuk mengirim hanya data pertanyaan baru sejak ekspor terakhir.
    • Filter kolom: Tambahkan filter berdasarkan atribut pertanyaan tertentu jika diperlukan (misalnya, filter menurut jenis pertanyaan, pengguna, atau status eksekusi).
  2. Klik Berikutnya.

Memformat data untuk AWS S3

  1. Di bagian Format, konfigurasikan format data:
    • Format: Pilih JSON.
    • Opsi:
      • Sertakan header: Hapus centang untuk menghindari header dalam output JSON.
      • Sertakan sel kosong: Pilih berdasarkan preferensi Anda.
    • Opsi Lanjutan:
      • Penamaan file: Gunakan penamaan berbasis stempel waktu default.
      • Kompresi: Pilih Gzip untuk mengurangi biaya penyimpanan dan waktu transfer.
  2. Klik Berikutnya.

Menjadwalkan koneksi

  1. Di bagian Jadwalkan, konfigurasikan jadwal ekspor:
    • Aktifkan jadwal: Pilih untuk mengaktifkan ekspor terjadwal otomatis.
    • Jenis jadwal: Pilih Berulang.
    • Frekuensi: Pilih Setiap 30 menit untuk ekspor data audit pertanyaan reguler.
    • Waktu mulai: Tetapkan waktu mulai yang sesuai untuk ekspor pertama.
  2. Klik Berikutnya.

Simpan dan verifikasi koneksi

  1. Tinjau konfigurasi koneksi di layar ringkasan.
  2. Klik Simpan untuk membuat koneksi.
  3. Klik Uji Koneksi untuk memverifikasi konfigurasi.
  4. Jika pengujian berhasil, klik Jalankan Sekarang untuk melakukan ekspor awal.
  5. Pantau status koneksi di halaman Connect Overview.

Mengonfigurasi feed di Google SecOps untuk menyerap log Pertanyaan Tanium

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Question logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Tanium Question sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://tanium-question-logs/tanium/question/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.