Recolha registos do Tanium Reveal

Compatível com:

Este documento explica como carregar registos do Tanium Reveal para o Google Security Operations através da funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Reveal produz alertas de deteção de dados confidenciais, conclusões de conformidade e resultados de classificação de dados no formato JSON, que podem ser exportados diretamente para o S3 através do Tanium Connect sem necessitar de funções Lambda personalizadas. O analisador processa os registos JSON, transformando-os no formato UDM. Analisa a mensagem JSON, extrai campos como ID do computador, nome do computador e nome da regra, mapeia-os para campos UDM e processa eventos Reveal específicos, como "Endpoints com dados confidenciais confirmados", para preencher os detalhes dos resultados de segurança.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Tanium Core Platform 7.0 ou posterior
  • Módulo Tanium Reveal instalado e configurado
  • Módulo Tanium Connect instalado com uma licença válida
  • Tanium Trends 3.6.343 ou posterior para a integração de relatórios
  • Acesso privilegiado à consola do Tanium com direitos administrativos
  • Acesso privilegiado à AWS (S3, IAM)

Configure a conta de serviço do Tanium Reveal

  1. Inicie sessão na Tanium Console.
  2. Aceda a Módulos > Revelar.
  3. Clique em Definições na parte superior direita.
  4. Na secção Conta de serviço, configure o seguinte:
    • Utilizador da conta de serviço: selecione um utilizador com as autorizações de revelação adequadas.
    • Verifique se a conta tem o privilégio da função de utilizador de ligação.
    • Confirme o acesso às origens de dados e às regras do Reveal.
  5. Clique em Guardar para aplicar a configuração da conta de serviço.

Recolha os pré-requisitos do Tanium Reveal

  1. Inicie sessão na consola do Tanium como administrador.
  2. Aceda a Administração > Autorizações > Utilizadores.
  3. Crie ou identifique um utilizador da conta de serviço com as seguintes funções:
    • Função Reveal Administrator ou Reveal Read Only User.
    • Privilégio da função Utilizador associado.
    • Acesso a grupos de computadores monitorizados (recomendado: grupo Todos os computadores).
    • Autorização Read Saved Question para conjuntos de conteúdo do Reveal.

Configure o contentor do AWS S3 e o IAM para o Google SecOps

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-reveal-logs).
  3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure o destino do AWS S3 do Tanium Connect

  1. Inicie sessão na Tanium Console.
  2. Aceda a Módulos > Ligar.
  3. Clique em Criar associação.
  4. Indique os seguintes detalhes de configuração:
    • Nome: introduza um nome descritivo (por exemplo, Reveal Findings to S3 for SecOps).
    • Descrição: descrição opcional (por exemplo, Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion).
    • Ativar: selecione esta opção para ativar a execução da associação de acordo com um horário.
  5. Clicar em Seguinte.

Configure a origem da associação

  1. Na secção Origem, faculte os seguintes detalhes de configuração:
    • Tipo de origem: selecione Pergunta guardada.
    • Pergunta guardada: selecione uma das seguintes perguntas guardadas relacionadas com o Reveal:
      • Revelar – Pontos finais com dados confidenciais confirmados para conclusões confirmadas.
      • Revelar – Correspondências de regras para ver resultados detalhados das correspondências de regras.
      • Reveal - Data Classification Results para a classificação do tipo de dados.
      • Revelar – Resultados da conformidade para o estado de conformidade regulamentar.
    • Grupo de computadores: selecione Todos os computadores ou grupos de computadores específicos para monitorizar.
    • Intervalo de atualização: defina o intervalo adequado para a recolha de dados (por exemplo, 15 minutos para alertas de dados confidenciais).
  2. Clicar em Seguinte.

Configure o destino do AWS S3

  1. Na secção Destino, faculte os seguintes detalhes de configuração:
    • Tipo de destino: selecione AWS S3.
    • Nome do destino: introduza um nome exclusivo (por exemplo, Google SecOps Reveal S3 Destination).
    • Chave de acesso da AWS: introduza a chave de acesso da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
    • Chave de acesso secreta da AWS: introduza a chave de acesso secreta da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
    • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-reveal-logs).
    • Região: selecione a região da AWS onde o seu contentor do S3 está localizado.
    • Prefixo da chave: introduza um prefixo para os objetos S3 (por exemplo, tanium/reveal/).
  2. Clicar em Seguinte.

Configure filtros

  1. Na secção Filtros, configure as opções de filtragem de dados:
    • Enviar apenas novos itens: selecione esta opção para enviar apenas novas conclusões de dados confidenciais desde a última exportação.
    • Filtros de colunas: adicione filtros com base em atributos de constatação específicos, se necessário (por exemplo, filtre por gravidade da regra, tipo de dados ou estrutura de conformidade).
  2. Clicar em Seguinte.

Formate os dados para o AWS S3

  1. Na secção Formato, configure o formato de dados:
    • Formato: selecione JSON.
    • Opções:
      • Incluir cabeçalhos: desmarque esta opção para evitar cabeçalhos no resultado JSON.
      • Incluir células vazias: selecione com base na sua preferência.
    • Opções avançadas:
      • Nomenclatura de ficheiros: use a nomenclatura predefinida baseada na data/hora.
      • Compressão: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
  2. Clicar em Seguinte.

Agende a associação

  1. Na secção Programação, configure a programação de exportação:
    • Ativar agendamento: selecione esta opção para ativar as exportações agendadas automáticas.
    • Tipo de programação: selecione Recorrente.
    • Frequência: selecione A cada 15 minutos para receber alertas de dados confidenciais oportunos.
    • Hora de início: defina a hora de início adequada para a primeira exportação.
  2. Clicar em Seguinte.

Guarde e valide a associação

  1. Reveja a configuração da associação no ecrã de resumo.
  2. Clique em Guardar para criar a associação.
  3. Clique em Testar associação para validar a configuração.
  4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
  5. Monitorize o estado da ligação na página Vista geral do Connect.

Configure um feed no Google SecOps para carregar registos do Tanium Reveal

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em + Adicionar novo feed.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Reveal logs).
  4. Selecione Amazon S3 V2 como o Tipo de origem.
  5. Selecione Tanium Reveal como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • URI do S3: s3://tanium-reveal-logs/tanium/reveal/
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.