收集 Tanium Reveal 記錄

支援的國家/地區:

本文說明如何使用 Tanium Connect 的原生 AWS S3 匯出功能,將 Tanium Reveal 記錄檔擷取至 Google Security Operations。Tanium Reveal 會以 JSON 格式產生機密資料探索快訊、法規遵循結果和資料分類結果,並可使用 Tanium Connect 直接匯出至 S3,不需自訂 Lambda 函式。剖析器會處理 JSON 記錄,並轉換為 UDM 格式。這個外掛程式會剖析 JSON 訊息、擷取電腦 ID、電腦名稱和規則名稱等欄位,然後將這些欄位對應至 UDM 欄位,並處理「Endpoints with Confirmed Sensitive Data」(端點含有已確認的機密資料) 等特定 Reveal 事件,以填入安全性結果詳細資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Tanium Core Platform 7.0 以上版本
  • 已安裝及設定 Tanium Reveal 模組
  • 已安裝 Tanium Connect 模組並取得有效授權
  • Tanium Trends 3.6.343 以上版本,用於整合報表
  • 具備管理權限的 Tanium Console 存取權
  • AWS (S3、IAM) 的特殊存取權

設定 Tanium Reveal 服務帳戶

  1. 登入 Tanium Console
  2. 依序前往「模組」>「揭露」
  3. 按一下右上方的「設定」
  4. 在「服務帳戶」部分,設定下列項目:
    • 服務帳戶使用者:選取具有適當 Reveal 權限的使用者。
    • 確認帳戶是否具備連線使用者角色權限。
    • 確認 Reveal 資料來源和規則的存取權。
  5. 按一下「儲存」,套用服務帳戶設定。

收集 Tanium Reveal 必要條件

  1. 以管理員身分登入 Tanium Console
  2. 依序前往「Administration」>「Permissions」>「Users」
  3. 建立或找出具備下列角色的服務帳戶使用者:
    • 顯示管理員顯示唯讀使用者角色。
    • 「連線使用者」角色權限。
    • 受監控的電腦群組存取權 (建議:所有電腦群組)。
    • 「讀取已儲存的問題」權限,可查看內容集。

為 Google SecOps 設定 AWS S3 值區和 IAM

  1. 按照這份使用者指南建立 Amazon S3 bucket建立 bucket
  2. 儲存 bucket 的「名稱」和「區域」,以供日後參考 (例如 tanium-reveal-logs)。
  3. 按照這份使用者指南建立使用者:建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
  12. 按一下 [完成]
  13. 選取 [權限] 分頁標籤。
  14. 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋並選取 AmazonS3FullAccess 政策。
  18. 點選「下一步」
  19. 按一下「Add permissions」。

設定 Tanium Connect AWS S3 目的地

  1. 登入 Tanium Console
  2. 依序前往「模組」>「連結」
  3. 按一下「建立連線」
  4. 提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Reveal Findings to S3 for SecOps)。
    • 說明:選填說明 (例如 Export sensitive data findings and compliance alerts to AWS S3 for Google SecOps ingestion)。
    • 啟用:選取這個選項,即可啟用連線,並依時間表執行。
  5. 點選「下一步」

設定連線來源

  1. 在「來源」部分,提供下列設定詳細資料:
    • 來源類型:選取「已儲存的問題」
    • 儲存的問題:選取下列其中一個與 Reveal 相關的儲存問題:
      • 顯示 - 含有已確認機密資料的端點,查看已確認的發現項目。
      • 顯示 - 規則相符,查看詳細的規則相符結果。
      • Reveal - Data Classification Results,用於資料類型分類。
      • 揭露 - 法規遵循結果,瞭解法規遵循狀態。
    • 電腦群組:選取「所有電腦」或要監控的特定電腦群組。
    • 重新整理間隔:設定適當的資料收集間隔 (例如,機密資料快訊的間隔為 15 分鐘)。
  2. 點選「下一步」

設定 AWS S3 目的地

  1. 在「目的地」部分,提供下列設定詳細資料:
    • 目的地類型:選取「AWS S3」
    • 目的地名稱:輸入不重複的名稱 (例如 Google SecOps Reveal S3 Destination)。
    • AWS 存取金鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取金鑰。
    • AWS 存取密鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取密鑰。
    • 值區名稱:輸入 S3 值區名稱 (例如 tanium-reveal-logs)。
    • 地區:選取 S3 儲存空間所在的 AWS 地區。
    • 金鑰前置字串:輸入 S3 物件的前置字串 (例如 tanium/reveal/)。
  2. 點選「下一步」

設定篩選器

  1. 在「篩選器」部分,設定資料篩選選項:
    • 只傳送新項目:選取這個選項,只傳送上次匯出後發現的新機密資料。
    • 欄篩選器:視需要根據特定發現項目屬性新增篩選器 (例如依規則嚴重程度、資料類型或法規遵循架構篩選)。
  2. 點選「下一步」

AWS S3 的資料格式

  1. 在「格式」部分,設定資料格式:
    • 格式:選取「JSON」
    • 選項
      • 包含標頭:取消選取即可避免在 JSON 輸出內容中加入標頭。
      • 包含空白儲存格:根據偏好設定選取。
    • 進階選項
      • 檔案命名:使用預設的時間戳記命名方式。
      • 壓縮:選取「Gzip」可降低儲存空間費用並縮短傳輸時間。
  2. 點選「下一步」

安排連線

  1. 在「排程」部分,設定匯出排程:
    • 啟用時間表:選取這個選項,即可啟用自動排程匯出功能。
    • 時間表類型:選取「週期性」
    • 頻率:選取「每 15 分鐘」,以便及時收到時間敏感資料的快訊。
    • 開始時間:為首次匯出設定適當的開始時間。
  2. 點選「下一步」

儲存並驗證連線

  1. 查看摘要畫面中的連線設定。
  2. 按一下「儲存」即可建立連結。
  3. 按一下「測試連線」,驗證設定。
  4. 如果測試成功,請按一下「立即執行」,執行初始匯出作業。
  5. 在「連結總覽」頁面中監控連線狀態。

在 Google SecOps 中設定動態饋給,擷取 Tanium Reveal 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「+ 新增動態消息」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Tanium Reveal logs)。
  4. 選取「Amazon S3 V2」做為「來源類型」
  5. 選取「Tanium Reveal」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • S3 URIs3://tanium-reveal-logs/tanium/reveal/
    • 來源刪除選項:根據偏好設定選取刪除選項。
    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。