Mengumpulkan log Tanium Reveal

Didukung di:

Dokumen ini menjelaskan cara menyerap log Tanium Reveal ke Google Security Operations menggunakan fungsi ekspor AWS S3 bawaan Tanium Connect. Tanium Reveal menghasilkan pemberitahuan penemuan data sensitif, temuan kepatuhan, dan hasil klasifikasi data dalam format JSON, yang dapat diekspor langsung ke S3 menggunakan Tanium Connect tanpa memerlukan fungsi Lambda kustom. Parser memproses log JSON, lalu mengubahnya menjadi format UDM. Proses ini mengurai pesan JSON, mengekstrak kolom seperti ID Komputer, Nama Komputer, dan Nama Aturan, memetakannya ke kolom UDM, dan menangani peristiwa Reveal tertentu seperti "Endpoint dengan Data Sensitif yang Terkonfirmasi" untuk mengisi detail hasil keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Tanium Core Platform 7.0 atau yang lebih baru
  • Modul Tanium Reveal telah diinstal dan dikonfigurasi
  • Modul Tanium Connect diinstal dengan lisensi yang valid
  • Tanium Trends 3.6.343 atau yang lebih baru untuk integrasi pelaporan
  • Akses istimewa ke Tanium Console dengan hak administratif
  • Akses istimewa ke AWS (S3, IAM)

Mengonfigurasi akun layanan Tanium Reveal

  1. Login ke Tanium Console.
  2. Buka Modul > Tampilkan.
  3. Klik Setelan di kanan atas.
  4. Di bagian Service Account, konfigurasi hal berikut:
    • Pengguna Akun Layanan: Pilih pengguna dengan izin Ungkapkan yang sesuai.
    • Verifikasi bahwa akun memiliki hak istimewa peran Pengguna yang Terhubung.
    • Konfirmasi akses ke sumber data dan aturan Reveal.
  5. Klik Simpan untuk menerapkan konfigurasi akun layanan.

Mengumpulkan prasyarat Tanium Reveal

  1. Login ke Tanium Console sebagai administrator.
  2. Buka Administrasi > Izin > Pengguna.
  3. Buat atau identifikasi pengguna akun layanan dengan peran berikut:
    • Peran Reveal Administrator atau Reveal Read Only User.
    • Hak istimewa peran Hubungkan Pengguna.
    • Akses ke grup komputer yang dipantau (direkomendasikan: grup Semua Komputer).
    • Izin Baca Pertanyaan Tersimpan untuk Mengungkapkan set konten.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-reveal-logs).
  3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Add permissions.

Mengonfigurasi tujuan AWS S3 Tanium Connect

  1. Login ke Tanium Console.
  2. Buka Modules > Connect.
  3. Klik Buat Koneksi.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Reveal Findings to S3 for SecOps).
    • Deskripsi: Deskripsi opsional (misalnya, Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion).
    • Aktifkan: Pilih untuk mengaktifkan koneksi agar berjalan sesuai jadwal.
  5. Klik Berikutnya.

Mengonfigurasi sumber koneksi

  1. Di bagian Sumber, berikan detail konfigurasi berikut:
    • Jenis Sumber: Pilih Pertanyaan Tersimpan.
    • Pertanyaan Tersimpan: Pilih salah satu pertanyaan tersimpan terkait Pengungkapan berikut:
      • Reveal - Endpoints with Confirmed Sensitive Data untuk temuan yang telah dikonfirmasi.
      • Tampilkan - Kecocokan Aturan untuk hasil kecocokan aturan yang mendetail.
      • Reveal - Hasil Klasifikasi Data untuk klasifikasi jenis data.
      • Tampilkan - Temuan Kepatuhan untuk mengetahui status kepatuhan terhadap peraturan.
    • Grup Komputer: Pilih Semua Komputer atau grup komputer tertentu yang akan dipantau.
    • Interval Pembaruan: Tetapkan interval yang sesuai untuk pengumpulan data (misalnya, 15 menit untuk pemberitahuan data sensitif).
  2. Klik Berikutnya.

Mengonfigurasi tujuan AWS S3

  1. Di bagian Tujuan, berikan detail konfigurasi berikut:
    • Jenis Tujuan: Pilih AWS S3.
    • Nama Tujuan: Masukkan nama unik (misalnya, Google SecOps Reveal S3 Destination).
    • Kunci Akses AWS: Masukkan kunci akses AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • AWS Secret Access Key: Masukkan kunci akses rahasia AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
    • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-reveal-logs).
    • Region: Pilih region AWS tempat bucket S3 Anda berada.
    • Awalan Kunci: Masukkan awalan untuk objek S3 (misalnya, tanium/reveal/).
  2. Klik Berikutnya.

Mengonfigurasi filter

  1. Di bagian Filter, konfigurasikan opsi pemfilteran data:
    • Kirim hanya item baru: Pilih opsi ini untuk mengirimkan hanya temuan data sensitif baru sejak ekspor terakhir.
    • Filter kolom: Tambahkan filter berdasarkan atribut temuan tertentu jika diperlukan (misalnya, filter menurut tingkat keparahan aturan, jenis data, atau framework kepatuhan).
  2. Klik Berikutnya.

Memformat data untuk AWS S3

  1. Di bagian Format, konfigurasikan format data:
    • Format: Pilih JSON.
    • Opsi:
      • Sertakan header: Hapus centang untuk menghindari header dalam output JSON.
      • Sertakan sel kosong: Pilih berdasarkan preferensi Anda.
    • Opsi Lanjutan:
      • Penamaan file: Gunakan penamaan berbasis stempel waktu default.
      • Kompresi: Pilih Gzip untuk mengurangi biaya penyimpanan dan waktu transfer.
  2. Klik Berikutnya.

Menjadwalkan koneksi

  1. Di bagian Jadwalkan, konfigurasikan jadwal ekspor:
    • Aktifkan jadwal: Pilih untuk mengaktifkan ekspor terjadwal otomatis.
    • Jenis jadwal: Pilih Berulang.
    • Frekuensi: Pilih Setiap 15 menit untuk pemberitahuan data yang sensitif terhadap waktu.
    • Waktu mulai: Tetapkan waktu mulai yang sesuai untuk ekspor pertama.
  2. Klik Berikutnya.

Simpan dan verifikasi koneksi

  1. Tinjau konfigurasi koneksi di layar ringkasan.
  2. Klik Simpan untuk membuat koneksi.
  3. Klik Uji Koneksi untuk memverifikasi konfigurasi.
  4. Jika pengujian berhasil, klik Jalankan Sekarang untuk melakukan ekspor awal.
  5. Pantau status koneksi di halaman Connect Overview.

Mengonfigurasi feed di Google SecOps untuk memproses log Tanium Reveal

  1. Buka Setelan SIEM > Feed.
  2. Klik + Tambahkan Feed Baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Reveal logs).
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Tanium Reveal sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • URI S3: s3://tanium-reveal-logs/tanium/reveal/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.