Collecter les journaux Tanium Reveal

Compatible avec :

Ce document explique comment ingérer des journaux Tanium Reveal dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Tanium Reveal génère des alertes de découverte de données sensibles, des résultats de conformité et des résultats de classification des données au format JSON. Ces données peuvent être exportées directement vers S3 à l'aide de Tanium Connect, sans nécessiter de fonctions Lambda personnalisées. L'analyseur traite les journaux JSON et les transforme au format UDM. Il analyse le message JSON, extrait des champs tels que l'ID de l'ordinateur, le nom de l'ordinateur et le nom de la règle, les mappe aux champs UDM et gère des événements Reveal spécifiques tels que "Points de terminaison avec données sensibles confirmées" pour renseigner les détails des résultats de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Tanium Core Platform 7.0 ou version ultérieure
  • Module Tanium Reveal installé et configuré
  • Module Tanium Connect installé avec une licence valide
  • Tanium Trends 3.6.343 ou version ultérieure pour l'intégration des rapports
  • Accès privilégié à la console Tanium avec droits d'administrateur
  • Accès privilégié à AWS (S3, IAM)

Configurer le compte de service Tanium Reveal

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Reveal.
  3. Cliquez sur Paramètres en haut à droite.
  4. Dans la section Compte de service, configurez les éléments suivants :
    • Utilisateur du compte de service : sélectionnez un utilisateur disposant des autorisations Reveal appropriées.
    • Vérifiez que le compte dispose du rôle utilisateur "Connect".
    • Confirmez l'accès aux sources de données et aux règles Reveal.
  5. Cliquez sur Enregistrer pour appliquer la configuration du compte de service.

Collecter les conditions préalables de Tanium Reveal

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Autorisations > Utilisateurs.
  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :
    • Rôle Administrateur Reveal ou Utilisateur Reveal en lecture seule.
    • Privilège du rôle Connect User (Utilisateur Connect).
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe Tous les ordinateurs).
    • Autorisation Lire les questions enregistrées pour les ensembles de contenus Reveal.

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le Nom et la Région du bucket pour référence ultérieure (par exemple, tanium-reveal-logs).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la destination Tanium Connect AWS S3

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Reveal Findings to S3 for SecOps).
    • Description : description facultative (par exemple, Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour activer la connexion et l'exécuter selon la programmation.
  5. Cliquez sur Suivant.

Configurer la source de connexion

  1. Dans la section Source, fournissez les informations de configuration suivantes :
    • Type de source : sélectionnez Question enregistrée.
    • Question enregistrée : sélectionnez l'une des questions enregistrées suivantes liées à Reveal :
      • Reveal > Endpoints with Confirmed Sensitive Data (Révéler > Points de terminaison avec données sensibles confirmées) pour les résultats confirmés.
      • Afficher > Correspondances de règles pour obtenir des résultats détaillés sur les correspondances de règles.
      • Reveal – Résultats de la classification des données pour la classification des types de données.
      • Afficher > Résultats de conformité pour connaître l'état de la conformité réglementaire.
    • Groupe d'ordinateurs : sélectionnez Tous les ordinateurs ou des groupes d'ordinateurs spécifiques à surveiller.
    • Intervalle d'actualisation : définissez l'intervalle approprié pour la collecte de données (par exemple, 15 minutes pour les alertes concernant les données sensibles).
  2. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Dans la section Destination, fournissez les informations de configuration suivantes :
    • Type de destination : sélectionnez AWS S3.
    • Nom de la destination : saisissez un nom unique (par exemple, Google SecOps Reveal S3 Destination).
    • Clé d'accès AWS : saisissez la clé d'accès AWS du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Clé d'accès secrète AWS : saisissez la clé d'accès secrète AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-reveal-logs).
    • Région : sélectionnez la région AWS où se trouve votre bucket S3.
    • Préfixe de clé : saisissez un préfixe pour les objets S3 (par exemple, tanium/reveal/).
  2. Cliquez sur Suivant.

Configurer des filtres

  1. Dans la section Filtres, configurez les options de filtrage des données :
    • Envoyer uniquement les nouveaux éléments : sélectionnez cette option pour n'envoyer que les nouveaux résultats de données sensibles depuis la dernière exportation.
    • Filtres de colonne : ajoutez des filtres basés sur des attributs de résultats spécifiques si nécessaire (par exemple, filtrez par gravité de la règle, type de données ou cadre de conformité).
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Dans la section Format, configurez le format des données :
    • Format : sélectionnez JSON.
    • Options :
      • Inclure les en-têtes : décochez cette option pour éviter d'inclure les en-têtes dans la sortie JSON.
      • Inclure les cellules vides : sélectionnez cette option selon vos préférences.
    • Options avancées :
      • Nommage des fichiers : utilisez le nommage par défaut basé sur le code temporel.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage et le temps de transfert.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Programmation, configurez la programmation de l'exportation :
    • Activer la planification : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Type de programmation : sélectionnez Récurrente.
    • Fréquence : sélectionnez Toutes les 15 minutes pour recevoir des alertes sur les données sensibles en temps opportun.
    • Heure de début : définissez une heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et valider la connexion

  1. Vérifiez la configuration de la connexion sur l'écran récapitulatif.
  2. Cliquez sur Save (Enregistrer) pour créer la connexion.
  3. Cliquez sur Tester la connexion pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Exécuter maintenant pour effectuer une première exportation.
  5. Surveillez l'état de la connexion sur la page Présentation de Connect.

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Reveal

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Reveal logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Reveal comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://tanium-reveal-logs/tanium/reveal/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.