Recolha registos de perguntas do Tanium

Este documento explica como carregar registos de perguntas do Tanium para o Google Security Operations através da funcionalidade de exportação nativa do AWS S3 do Tanium Connect. Os registos de perguntas do Tanium contêm metadados de execução de consultas, informações de auditoria e dados de resultados de perguntas no formato JSON, que podem ser exportados diretamente para o S3 através do Tanium Connect sem necessitar de funções Lambda personalizadas.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Tanium Core Platform 7.0 ou posterior
• Módulo Tanium Interact para gestão de perguntas
• Módulo Tanium Connect instalado com uma licença válida
• Acesso privilegiado à consola do Tanium com direitos administrativos
• Acesso privilegiado à AWS (S3, IAM).

Configure a conta de serviço de auditoria de perguntas do Tanium

1. Inicie sessão na Tanium Console.
2. Aceda a Administração > Definições globais.
3. Navegue para as definições de Auditoria de perguntas.
4. Configure o registo de auditoria para capturar metadados de execução de perguntas.
5. Certifique-se de que a conta de serviço tem as autorizações de acesso de auditoria adequadas.

Recolha os pré-requisitos das perguntas do Tanium

1. Inicie sessão na consola do Tanium como administrador.
2. Aceda a Administração > Autorizações > Utilizadores.

3. Crie ou identifique um utilizador da conta de serviço com as seguintes funções:

   • Função de autor de perguntas ou administrador para aceder às perguntas.
   • Privilégio da função Utilizador associado.
   • Autorização Read Saved Question para conjuntos de conteúdo de auditoria.
   • Acesso a grupos de computadores monitorizados (recomendado: grupo Todos os computadores).

Configure o contentor do AWS S3 e o IAM para o Google SecOps

1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-question-logs).
3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como o Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione uma etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Configure o destino do AWS S3 do Tanium Connect

1. Inicie sessão na Tanium Console.
2. Aceda a Módulos > Ligar.
3. Clique em Criar associação.
4. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo (por exemplo, Question Audit to S3 for SecOps).
   • Descrição: descrição opcional (por exemplo, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione esta opção para ativar a execução da associação de acordo com um horário.
5. Clicar em Seguinte.

Configure a origem da associação

1. Na secção Origem, faculte os seguintes detalhes de configuração:
   • Tipo de origem: selecione Pergunta guardada.
   • Pergunta guardada: selecione uma das seguintes perguntas guardadas relacionadas com a auditoria de perguntas:
     • Registo de perguntas para o histórico de execução de perguntas.
     • Histórico de ações para ações administrativas e implementação de perguntas.
     • Atividade do utilizador para a interação do utilizador com perguntas.
     • Estado do sistema para métricas de desempenho da plataforma.
   • Grupo de computadores: selecione Todos os computadores ou grupos de computadores específicos para monitorizar.
   • Intervalo de atualização: defina um intervalo adequado para a recolha de dados (por exemplo, 30 minutos).
2. Clicar em Seguinte.

Configure o destino do AWS S3

1. Na secção Destino, faculte os seguintes detalhes de configuração:
   • Tipo de destino: selecione AWS S3.
   • Nome do destino: introduza um nome exclusivo (por exemplo, Google SecOps Question S3 Destination).
   • Chave de acesso da AWS: introduza a chave de acesso da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
   • Chave de acesso secreta da AWS: introduza a chave de acesso secreta da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
   • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-question-logs).
   • Região: selecione a região da AWS onde o seu contentor do S3 está localizado.
   • Prefixo da chave: introduza um prefixo para os objetos S3 (por exemplo, tanium/question/).
2. Clicar em Seguinte.

Configure filtros

1. Na secção Filtros, configure as opções de filtragem de dados:
   • Enviar apenas novos itens: selecione esta opção para enviar apenas os dados de novas perguntas desde a última exportação.
   • Filtros de colunas: adicione filtros com base em atributos de perguntas específicos, se necessário (por exemplo, filtre por tipo de pergunta, utilizador ou estado de execução).
2. Clicar em Seguinte.

Formate os dados para o AWS S3

1. Na secção Formato, configure o formato de dados:
   • Formato: selecione JSON.
   • Opções:
     • Incluir cabeçalhos: desmarque esta opção para evitar cabeçalhos no resultado JSON.
     • Incluir células vazias: selecione com base na sua preferência.
   • Opções avançadas:
     • Nomenclatura de ficheiros: use a nomenclatura predefinida baseada na data/hora.
     • Compressão: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
2. Clicar em Seguinte.

Agende a associação

1. Na secção Programação, configure a programação de exportação:
   • Ativar agendamento: selecione esta opção para ativar as exportações agendadas automáticas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione A cada 30 minutos para a exportação regular de dados de auditoria de perguntas.
   • Hora de início: defina a hora de início adequada para a primeira exportação.
2. Clicar em Seguinte.

Guarde e valide a associação

1. Reveja a configuração da associação no ecrã de resumo.
2. Clique em Guardar para criar a associação.
3. Clique em Testar associação para validar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
5. Monitorize o estado da ligação na página Vista geral do Connect.

Configure um feed no Google SecOps para carregar registos de perguntas do Tanium

1. Aceda a Definições do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Question logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Tanium Question como o Tipo de registo.
6. Clicar em Seguinte.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-question-logs/tanium/question/
   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
   • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
   • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
   • Espaço de nomes do recurso: o espaço de nomes do recurso.
   • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
8. Clicar em Seguinte.
9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.