收集 Tanium Question 記錄

支援的國家/地區:

本文說明如何使用 Tanium Connect 的原生 AWS S3 匯出功能,將 Tanium Question 記錄檔擷取至 Google Security Operations。Tanium Question 記錄包含查詢執行中繼資料、稽核資訊和 JSON 格式的問題結果資料,可使用 Tanium Connect 直接匯出至 S3,不需自訂 Lambda 函式。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Tanium Core Platform 7.0 以上版本
  • Tanium Interact 模組,用於管理問題
  • 已安裝 Tanium Connect 模組並取得有效授權
  • 具備管理權限的 Tanium Console 存取權
  • AWS (S3、IAM) 的特殊權限存取權。

設定 Tanium 問題稽核服務帳戶

  1. 登入 Tanium Console
  2. 依序前往「管理」>「通用設定」
  3. 前往「問題稽核」設定。
  4. 設定稽核記錄,擷取問題執行中繼資料。
  5. 確認服務帳戶具備適當的稽核存取權。

收集 Tanium 問題必要條件

  1. 以管理員身分登入 Tanium Console
  2. 依序前往「Administration」>「Permissions」>「Users」

  3. 建立或找出具備下列角色的服務帳戶使用者:

    • 問題作者管理員角色,才能存取問題。
    • 「連線使用者」角色權限。
    • 稽核內容集「讀取已儲存問題」權限。
    • 受監控的電腦群組存取權 (建議:所有電腦群組)。

為 Google SecOps 設定 AWS S3 值區和 IAM

  1. 按照這份使用者指南建立 Amazon S3 bucket建立 bucket
  2. 儲存 bucket 的「名稱」和「區域」,以供日後參考 (例如 tanium-question-logs)。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

設定 Tanium Connect AWS S3 目的地

  1. 登入 Tanium Console
  2. 依序前往「模組」>「連結」
  3. 按一下「建立連線」
  4. 提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Question Audit to S3 for SecOps)。
    • 說明:選填說明 (例如 Export question execution and audit data to AWS S3 for Google SecOps ingestion)。
    • 啟用:選取這個選項,即可啟用連線,並依時間表執行。
  5. 點選「下一步」

設定連線來源

  1. 在「來源」部分,提供下列設定詳細資料:
    • 來源類型:選取「已儲存的問題」
    • 已儲存問題:選取下列其中一個與問題稽核相關的已儲存問題:
      • 問題記錄:問題執行記錄。
      • 管理動作和問題部署的動作記錄
      • 使用者活動:使用者與問題互動。
      • 平台成效指標的「系統狀態」
    • 電腦群組:選取「所有電腦」或要監控的特定電腦群組。
    • 重新整理間隔:設定適當的資料收集間隔 (例如 30 分鐘)。
  2. 點選「下一步」

設定 AWS S3 目的地

  1. 在「目的地」部分,提供下列設定詳細資料:
    • 目的地類型:選取「AWS S3」
    • 目的地名稱:輸入不重複的名稱 (例如 Google SecOps Question S3 Destination)。
    • AWS 存取金鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取金鑰。
    • AWS 存取密鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取密鑰。
    • Bucket Name:輸入 S3 bucket 名稱 (例如 tanium-question-logs)。
    • 地區:選取 S3 儲存空間所在的 AWS 地區。
    • 金鑰前置字串:輸入 S3 物件的前置字串 (例如 tanium/question/)。
  2. 點選「下一步」

設定篩選器

  1. 在「篩選器」部分,設定資料篩選選項:
    • 只傳送新項目:選取這個選項,只傳送上次匯出後的新問題資料。
    • 資料欄篩選器:視需要根據特定問題屬性新增篩選器 (例如依問題類型、使用者或執行狀態篩選)。
  2. 點選「下一步」

AWS S3 的資料格式

  1. 在「格式」部分,設定資料格式:
    • 格式:選取「JSON」
    • 選項
      • 包含標頭:取消選取即可避免在 JSON 輸出內容中加入標頭。
      • 包含空白儲存格:根據偏好設定選取。
    • 進階選項
      • 檔案命名:使用預設的時間戳記命名方式。
      • 壓縮:選取「Gzip」可降低儲存空間費用並縮短傳輸時間。
  2. 點選「下一步」

安排連線

  1. 在「排程」部分,設定匯出排程:
    • 啟用時間表:選取這個選項,即可啟用自動排程匯出功能。
    • 時間表類型:選取「週期性」
    • 頻率:選取「每 30 分鐘」,定期匯出問題稽核資料。
    • 開始時間:為首次匯出設定適當的開始時間。
  2. 點選「下一步」

儲存並驗證連線

  1. 查看摘要畫面中的連線設定。
  2. 按一下「儲存」即可建立連結。
  3. 按一下「測試連線」,驗證設定。
  4. 如果測試成功,請按一下「立即執行」,執行初始匯出作業。
  5. 在「連結總覽」頁面中監控連線狀態。

在 Google SecOps 中設定資訊提供,擷取 Tanium Question 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Question logs)。
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「Tanium 問題」做為「記錄類型」。
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • S3 URIs3://tanium-question-logs/tanium/question/
    • 來源刪除選項:根據偏好設定選取刪除選項。
    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。