Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Tanium Reveal

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Tanium Reveal no Google Security Operations usando a funcionalidade nativa de exportação do AWS S3 do Tanium Connect. O Tanium Reveal gera alertas de descoberta de dados sensíveis, descobertas de compliance e resultados de classificação de dados no formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. O analisador processa os registros JSON, transformando-os no formato UDM. Ele analisa a mensagem JSON, extrai campos como ID do computador, nome do computador e nome da regra, mapeia-os para campos do UDM e processa eventos específicos do Reveal, como "Endpoints com dados sensíveis confirmados", para preencher os detalhes do resultado de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Tanium Core Platform 7.0 ou mais recente
O módulo Tanium Reveal instalado e configurado
Módulo Tanium Connect instalado com uma licença válida
Tanium Trends 3.6.343 ou mais recente para integração de relatórios
Acesso privilegiado ao Tanium Console com direitos administrativos
Acesso privilegiado à AWS (S3, IAM)

Configurar a conta de serviço do Tanium Reveal

Faça login no Tanium Console.
Acesse Módulos > Revelar.
Clique em Configurações no canto superior direito.
Na seção Conta de serviço, configure o seguinte:
- Usuário da conta de serviço: selecione um usuário com as permissões adequadas do Reveal.
- Verifique se a conta tem o privilégio de função de usuário de conexão.
- Confirme o acesso às origens de dados e regras do Reveal.
Clique em Salvar para aplicar a configuração da conta de serviço.

Coletar os pré-requisitos do Tanium Reveal

Faça login no Tanium Console como administrador.
Acesse Administração > Permissões > Usuários.
Crie ou identifique um usuário da conta de serviço com os seguintes papéis:
- Função Revelar administrador ou Revelar usuário somente leitura.
- Privilégio da função Usuário de conexão.
- Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).
- Permissão Ler pergunta salva para conjuntos de conteúdo do Reveal.

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-reveal-logs).
Crie um usuário seguindo este guia: Como criar um usuário do IAM.
Selecione o usuário criado.
Selecione a guia Credenciais de segurança.
Clique em Criar chave de acesso na seção Chaves de acesso.
Selecione Serviço de terceiros como o Caso de uso.
Clique em Próxima.
Opcional: adicione uma tag de descrição.
Clique em Criar chave de acesso.
Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
Clique em Concluído.
Selecione a guia Permissões.
Clique em Adicionar permissões na seção Políticas de permissões.
Selecione Adicionar permissões.
Selecione Anexar políticas diretamente.
Pesquise e selecione a política AmazonS3FullAccess.
Clique em Próxima.
Clique em Adicionar permissões

Configurar o destino do AWS S3 do Tanium Connect

Faça login no Tanium Console.
Acesse Módulos > Conectar.
Clique em Criar conexão.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo. Por exemplo, Reveal Findings to S3 for SecOps.
- Descrição: descrição opcional (por exemplo, Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion).
- Ativar: selecione para ativar a conexão e executá-la conforme programado.
Clique em Próxima.

Configurar a origem da conexão

Na seção Origem, forneça os seguintes detalhes de configuração:
- Tipo de origem: selecione Pergunta salva.
- Pergunta salva: selecione uma das seguintes perguntas salvas relacionadas ao Reveal:
  - Revelar: endpoints com dados sensíveis confirmados para descobertas confirmadas.
  - Revelar - Correspondências de regra para resultados detalhados de correspondência de regra.
  - Reveal - Data Classification Results para classificação de tipo de dados.
  - Reveal - Compliance Findings para o status de compliance regulatório.
- Grupo de computadores: selecione Todos os computadores ou grupos específicos para monitorar.
- Intervalo de atualização: defina o intervalo adequado para a coleta de dados (por exemplo, 15 minutos para alertas de dados sensíveis).
Clique em Próxima.

Configurar o destino do AWS S3

Na seção Destino, forneça os seguintes detalhes de configuração:
- Tipo de destino: selecione AWS S3.
- Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps Reveal S3 Destination).
- Chave de acesso da AWS: insira a chave de acesso da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
- Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
- Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-reveal-logs).
- Região: selecione a região da AWS em que o bucket do S3 está localizado.
- Prefixo da chave: insira um prefixo para os objetos do S3 (por exemplo, tanium/reveal/).
Clique em Próxima.

Configurar filtros

Na seção Filtros, configure as opções de filtragem de dados:
- Enviar apenas novos itens: selecione essa opção para enviar apenas novas descobertas de dados sensíveis desde a última exportação.
- Filtros de coluna: adicione filtros com base em atributos específicos da descoberta, se necessário (por exemplo, filtre por gravidade da regra, tipo de dados ou estrutura de conformidade).
Clique em Próxima.

Formatar dados para o AWS S3

Na seção Formato, configure o formato dos dados:
- Formato: selecione JSON.
- Opções:
  - Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
  - Incluir células vazias: selecione de acordo com sua preferência.
- Opções avançadas:
  - Nomeação de arquivos: use a nomeação padrão com base no carimbo de data/hora.
  - Compactação: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
Clique em Próxima.

Programar a conexão

Na seção Programação, configure a programação de exportação:
- Ativar programação: selecione para ativar as exportações automáticas programadas.
- Tipo de programação: selecione Recorrente.
- Frequência: selecione A cada 15 minutos para receber alertas de dados sensíveis em tempo hábil.
- Horário de início: defina o horário de início adequado para a primeira exportação.
Clique em Próxima.

Salvar e verificar conexão

Revise a configuração da conexão na tela de resumo.
Clique em Salvar para criar a conexão.
Clique em Testar conexão para verificar a configuração.
Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros do Tanium Reveal

Acesse Configurações do SIEM > Feeds.
Clique em + Adicionar novo feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Reveal logs).
Selecione Amazon S3 V2 como o Tipo de origem.
Selecione Tanium Reveal como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do S3: s3://tanium-reveal-logs/tanium/reveal/
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.