Tanium Reveal ログを収集する

以下でサポートされています。

このドキュメントでは、Tanium Connect のネイティブ AWS S3 エクスポート機能を使用して、Tanium Reveal ログを Google Security Operations に取り込む方法について説明します。Tanium Reveal は、機密データの検出アラート、コンプライアンスの検出結果、データ分類の結果を JSON 形式で生成します。これらの結果は、カスタム Lambda 関数を必要とせずに、Tanium Connect を使用して S3 に直接エクスポートできます。パーサーは JSON ログを処理し、UDM 形式に変換します。JSON メッセージを解析し、コンピュータ ID、コンピュータ名、ルール名などのフィールドを抽出し、UDM フィールドにマッピングして、「機密データが確認されたエンドポイント」などの特定の Reveal イベントを処理し、セキュリティ結果の詳細を入力します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Tanium Core Platform 7.0 以降
  • Tanium Reveal モジュールがインストールされ、構成されている
  • 有効なライセンスでインストールされた Tanium Connect モジュール
  • レポートの統合には Tanium Trends 3.6.343 以降
  • 管理者権限を持つ Tanium Console への特権アクセス
  • AWS(S3、IAM)への特権アクセス

Tanium Reveal サービス アカウントを構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [Reveal] に移動します。
  3. 右上の [設定] をクリックします。
  4. [サービス アカウント] セクションで、次の構成を行います。
    • サービス アカウント ユーザー: 適切な Reveal 権限を持つユーザーを選択します。
    • アカウントに Connect User ロールの権限があることを確認します。
    • Reveal のデータソースとルールへのアクセスを確認します。
  5. [保存] をクリックして、サービス アカウントの構成を適用します。

Tanium Reveal の前提条件を収集する

  1. 管理者として Tanium Console にログインします。
  2. [管理> 権限 > ユーザー] に移動します。
  3. 次のロールを持つサービス アカウント ユーザーを作成または特定します。
    • [Reveal Administrator] または [Reveal Read Only User] の役割。
    • Connect User ロールの権限。
    • 監視対象のパソコン グループへのアクセス(推奨: [すべてのパソコン] グループ)。
    • Reveal コンテンツ セットの保存済み質問の読み取り権限。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: tanium-reveal-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Tanium Connect の AWS S3 の宛先を構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [接続] に移動します。
  3. [接続を作成] をクリックします。
  4. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Reveal Findings to S3 for SecOps)。
    • 説明: 省略可能な説明(例: Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion)。
    • 有効: スケジュールどおりに接続を実行するには、このオプションを選択します。
  5. [次へ] をクリックします。

接続元を構成する

  1. [ソース] セクションで、次の構成の詳細を指定します。
    • Source Type: [Saved Question] を選択します。
    • 保存された質問: 次の Reveal 関連の保存された質問のいずれかを選択します。
      • 確認済みの検出結果については、[Reveal - Endpoints with Confirmed Sensitive Data] をご覧ください。
      • Reveal - Rule Matches: ルール一致の詳細な結果。
      • データ型の分類については、[Reveal - Data Classification Results] をご覧ください。
      • Reveal - Compliance Findings で、法令遵守のステータスを確認します。
    • コンピュータ グループ: 監視する [すべてのコンピュータ] または特定のコンピュータ グループを選択します。
    • 更新間隔: データ収集に適した間隔を設定します(機密データ アラートの場合は 15 分など)。
  2. [次へ] をクリックします。

AWS S3 の宛先を構成する

  1. [送信先] セクションで、次の構成の詳細を指定します。
    • 宛先の種類: [AWS S3] を選択します。
    • 宛先名: 一意の名前(Google SecOps Reveal S3 Destination など)を入力します。
    • AWS アクセスキー: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS アクセスキーを入力します。
    • AWS Secret Access Key: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS シークレット アクセスキーを入力します。
    • バケット名: S3 バケット名(tanium-reveal-logs など)を入力します。
    • リージョン: S3 バケットが配置されている AWS リージョンを選択します。
    • キー接頭辞: S3 オブジェクトの接頭辞(tanium/reveal/ など)を入力します。
  2. [次へ] をクリックします。

フィルタを構成する

  1. [フィルタ] セクションで、データ フィルタリング オプションを構成します。
    • 新しいアイテムのみを送信: 前回のエクスポート以降に検出された新しい機密データのみを送信する場合は、このオプションを選択します。
    • 列フィルタ: 必要に応じて、特定の検出結果属性に基づいてフィルタを追加します(たとえば、ルールの重大度、データ型、コンプライアンス フレームワークでフィルタします)。
  2. [次へ] をクリックします。

AWS S3 用にデータをフォーマットする

  1. [形式] セクションで、データ形式を構成します。
    • 形式: [JSON] を選択します。
    • オプション:
      • ヘッダーを含める: JSON 出力にヘッダーを含めない場合は、選択を解除します。
      • 空白のセルを含める: 必要に応じて選択します。
    • 詳細オプション:
      • ファイル命名: デフォルトのタイムスタンプ ベースの命名を使用します。
      • 圧縮: ストレージ コストと転送時間を削減するには、[Gzip] を選択します。
  2. [次へ] をクリックします。

接続をスケジュールする

  1. [スケジュール] セクションで、エクスポート スケジュールを構成します。
    • スケジュールを有効にする: 自動スケジュール設定されたエクスポートを有効にする場合に選択します。
    • スケジュール タイプ: [繰り返し] を選択します。
    • 頻度: 機密データに関するアラートをタイムリーに受け取るには、[15 分ごと] を選択します。
    • 開始時間: 最初のエクスポートの適切な開始時間を設定します。
  2. [次へ] をクリックします。

接続を保存して検証する

  1. 概要画面で接続構成を確認します。
  2. [Save] をクリックして接続を作成します。
  3. [接続をテスト] をクリックして、構成を確認します。
  4. テストが成功したら、[今すぐ実行] をクリックして初回のエクスポートを実行します。
  5. [Connect の概要] ページで接続ステータスをモニタリングします。

Tanium Reveal のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tanium Reveal logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Tanium Reveal] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tanium-reveal-logs/tanium/reveal/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。