Coletar registros de perguntas do Tanium

Compatível com:

Este documento explica como ingerir registros de perguntas do Tanium no Google Security Operations usando a funcionalidade nativa de exportação do AWS S3 do Tanium Connect. Os registros de perguntas do Tanium contêm metadados de execução de consultas, informações de auditoria e dados de resultados de perguntas em formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Tanium Core Platform 7.0 ou mais recente
  • Módulo Tanium Interact para gerenciamento de perguntas.
  • Módulo Tanium Connect instalado com uma licença válida
  • Acesso privilegiado ao Tanium Console com direitos administrativos
  • Acesso privilegiado à AWS (S3, IAM).

Configurar a conta de serviço de auditoria de perguntas do Tanium

  1. Faça login no Tanium Console.
  2. Acesse Administração > Configurações globais.
  3. Acesse as configurações de Auditoria de perguntas.
  4. Configure o registro de auditoria para capturar metadados de execução de perguntas.
  5. Verifique se a conta de serviço tem as permissões de acesso de auditoria adequadas.

Coletar os pré-requisitos da pergunta do Tanium

  1. Faça login no Tanium Console como administrador.
  2. Acesse Administração > Permissões > Usuários.

  3. Crie ou identifique um usuário da conta de serviço com os seguintes papéis:

    • Função Autor da pergunta ou Administrador para acesso às perguntas.
    • Privilégio da função Usuário de conexão.
    • Permissão Ler pergunta salva para conjuntos de conteúdo de auditoria.
    • Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-question-logs).
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar o destino do AWS S3 do Tanium Connect

  1. Faça login no Tanium Console.
  2. Acesse Módulos > Conectar.
  3. Clique em Criar conexão.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo. Por exemplo, Question Audit to S3 for SecOps.
    • Descrição: descrição opcional (por exemplo, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
    • Ativar: selecione para ativar a conexão e executá-la conforme programado.
  5. Clique em Próxima.

Configurar a origem da conexão

  1. Na seção Origem, forneça os seguintes detalhes de configuração:
    • Tipo de origem: selecione Pergunta salva.
    • Pergunta salva: selecione uma das seguintes perguntas salvas relacionadas à auditoria de perguntas:
      • Registro de perguntas para o histórico de execução de perguntas.
      • Histórico de ações para ações administrativas e implantação de perguntas.
      • Atividade do usuário para interação do usuário com perguntas.
      • Status do sistema para métricas de performance da plataforma.
    • Grupo de computadores: selecione Todos os computadores ou grupos específicos para monitorar.
    • Intervalo de atualização: defina o intervalo adequado para a coleta de dados (por exemplo, 30 minutos).
  2. Clique em Próxima.

Configurar o destino do AWS S3

  1. Na seção Destino, forneça os seguintes detalhes de configuração:
    • Tipo de destino: selecione AWS S3.
    • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps Question S3 Destination).
    • Chave de acesso da AWS: insira a chave de acesso da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-question-logs).
    • Região: selecione a região da AWS em que o bucket do S3 está localizado.
    • Prefixo da chave: insira um prefixo para os objetos do S3 (por exemplo, tanium/question/).
  2. Clique em Próxima.

Configurar filtros

  1. Na seção Filtros, configure as opções de filtragem de dados:
    • Enviar apenas novos itens: selecione essa opção para enviar apenas os dados de perguntas novos desde a última exportação.
    • Filtros de coluna: adicione filtros com base em atributos específicos da pergunta, se necessário (por exemplo, filtre por tipo de pergunta, usuário ou status de execução).
  2. Clique em Próxima.

Formatar dados para o AWS S3

  1. Na seção Formato, configure o formato dos dados:
    • Formato: selecione JSON.
    • Opções:
      • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
      • Incluir células vazias: selecione de acordo com sua preferência.
    • Opções avançadas:
      • Nomeação de arquivos: use a nomeação padrão com base no carimbo de data/hora.
      • Compactação: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
  2. Clique em Próxima.

Programar a conexão

  1. Na seção Programação, configure a programação de exportação:
    • Ativar programação: selecione para ativar as exportações automáticas programadas.
    • Tipo de programação: selecione Recorrente.
    • Frequência: selecione A cada 30 minutos para exportar dados regulares de auditoria de perguntas.
    • Horário de início: defina o horário de início adequado para a primeira exportação.
  2. Clique em Próxima.

Salvar e verificar conexão

  1. Revise a configuração da conexão na tela de resumo.
  2. Clique em Salvar para criar a conexão.
  3. Clique em Testar conexão para verificar a configuração.
  4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
  5. Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros de perguntas do Tanium

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Question logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Pergunta do Tanium como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-question-logs/tanium/question/
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.