Mengumpulkan log Tanium Stream

Dokumen ini menjelaskan cara menyerap log Tanium Stream ke Google Security Operations menggunakan fungsi ekspor AWS S3 native Tanium Connect. Tanium Stream menyediakan telemetri endpoint real-time, data perburuan ancaman, dan analisis perilaku dalam format JSON, yang dapat diekspor langsung ke S3 menggunakan Tanium Connect tanpa memerlukan fungsi Lambda kustom. Parser mengubah log JSON mentah dari Tanium Stream menjadi model data terpadu (UDM). Pertama-tama, fungsi ini menormalisasi kolom umum, lalu menerapkan logika tertentu berdasarkan "logType" atau "eventType" untuk memetakan informasi yang relevan ke dalam kolom UDM yang sesuai, menangani berbagai jenis peristiwa seperti koneksi jaringan, login pengguna, peluncuran proses, dan modifikasi file.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Tanium Core Platform 7.0 atau yang lebih baru
• Modul Tanium Stream telah diinstal dan dikonfigurasi
• Modul Tanium Connect diinstal dengan lisensi yang valid
• Tanium Threat Response 3.4.346 atau yang lebih baru (jika menggunakan integrasi TR)
• Akses istimewa ke Tanium Console dengan hak administratif
• Akses istimewa ke AWS (S3, IAM)

Mengonfigurasi akun layanan Tanium Stream

1. Login ke Tanium Console.
2. Buka Modul > Streaming.
3. Klik Setelan di kanan atas.
4. Di bagian Service Account, konfigurasikan hal berikut:
   • Pengguna Akun Layanan: Pilih pengguna dengan izin Stream yang sesuai.
   • Verifikasi bahwa akun memiliki hak istimewa peran Pengguna yang Terhubung.
   • Konfirmasi akses ke sumber data dan endpoint Stream.
5. Klik Simpan untuk menerapkan konfigurasi akun layanan.

Mengumpulkan prasyarat Tanium Stream

1. Login ke Tanium Console sebagai administrator.
2. Buka Administrasi > Izin > Pengguna.
3. Buat atau identifikasi pengguna akun layanan dengan peran berikut:
   • Peran Administrator Streaming atau Pengguna Hanya Baca Streaming.
   • Hak istimewa peran Hubungkan Pengguna.
   • Akses ke grup komputer yang dipantau (direkomendasikan: grup Semua Komputer).
   • Izin Baca Pertanyaan Tersimpan untuk Kumpulan konten streaming.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, tanium-stream-logs).
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
12. Klik Selesai.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Add permissions.

Mengonfigurasi tujuan AWS S3 Tanium Connect

1. Login ke Tanium Console.
2. Buka Modules > Connect.
3. Klik Buat Koneksi.
4. Berikan detail konfigurasi berikut:
   • Nama: Masukkan nama deskriptif (misalnya, Stream Telemetry to S3 for SecOps).
   • Deskripsi: Deskripsi opsional (misalnya, Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion).
   • Aktifkan: Pilih untuk mengaktifkan koneksi agar berjalan sesuai jadwal.
5. Klik Berikutnya.

Mengonfigurasi sumber koneksi

1. Di bagian Sumber, berikan detail konfigurasi berikut:
   • Jenis Sumber: Pilih Pertanyaan Tersimpan.
   • Pertanyaan Tersimpan: Pilih salah satu pertanyaan tersimpan terkait Stream berikut:
     • Stream - Endpoint Events untuk telemetri endpoint real-time.
     • Stream - Network Events untuk pemantauan aktivitas jaringan.
     • Stream - Process Events untuk pelacakan eksekusi proses.
     • Stream - File Events untuk aktivitas sistem file.
     • Stream - Threat Hunting Data untuk analisis perilaku.
   • Grup Komputer: Pilih Semua Komputer atau grup komputer tertentu yang akan dipantau.
   • Interval Perubahan: Tetapkan interval yang sesuai untuk pengumpulan data (misalnya, 5 menit untuk telemetri real-time).
2. Klik Berikutnya.

Mengonfigurasi tujuan AWS S3

1. Di bagian Tujuan, berikan detail konfigurasi berikut:
   • Jenis Tujuan: Pilih AWS S3.
   • Nama Tujuan: Masukkan nama unik (misalnya, Google SecOps Stream S3 Destination).
   • Kunci Akses AWS: Masukkan kunci akses AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
   • AWS Secret Access Key: Masukkan kunci akses rahasia AWS dari file CSV yang didownload pada langkah konfigurasi AWS S3.
   • Nama Bucket: Masukkan nama bucket S3 Anda (misalnya, tanium-stream-logs).
   • Region: Pilih region AWS tempat bucket S3 Anda berada.
   • Awalan Kunci: Masukkan awalan untuk objek S3 (misalnya, tanium/stream/).
2. Klik Berikutnya.

Mengonfigurasi filter

1. Di bagian Filter, konfigurasikan opsi pemfilteran data:
   • Kirim hanya item baru: Pilih opsi ini untuk mengirim hanya data telemetri baru sejak ekspor terakhir.
   • Filter kolom: Tambahkan filter berdasarkan atribut peristiwa tertentu jika diperlukan (misalnya, filter menurut jenis peristiwa, nama proses, atau indikator ancaman).
2. Klik Berikutnya.

Memformat data untuk AWS S3

1. Di bagian Format, konfigurasikan format data:
   • Format: Pilih JSON.
   • Opsi:
     • Sertakan header: Hapus centang untuk menghindari header dalam output JSON.
     • Sertakan sel kosong: Pilih berdasarkan preferensi Anda.
   • Opsi Lanjutan:
     • Penamaan file: Gunakan penamaan berbasis stempel waktu default.
     • Kompresi: Pilih Gzip untuk mengurangi biaya penyimpanan dan waktu transfer.
2. Klik Berikutnya.

Menjadwalkan koneksi

1. Di bagian Jadwalkan, konfigurasikan jadwal ekspor:
   • Aktifkan jadwal: Pilih untuk mengaktifkan ekspor terjadwal otomatis.
   • Jenis jadwal: Pilih Berulang.
   • Frekuensi: Pilih Setiap 5 menit untuk data telemetri mendekati real-time.
   • Waktu mulai: Tetapkan waktu mulai yang sesuai untuk ekspor pertama.
2. Klik Berikutnya.

Simpan dan verifikasi koneksi

1. Tinjau konfigurasi koneksi di layar ringkasan.
2. Klik Simpan untuk membuat koneksi.
3. Klik Uji Koneksi untuk memverifikasi konfigurasi.
4. Jika pengujian berhasil, klik Jalankan Sekarang untuk melakukan ekspor awal.
5. Pantau status koneksi di halaman Connect Overview.

Mengonfigurasi feed di Google SecOps untuk memproses log Tanium Stream

1. Buka Setelan SIEM > Feed.
2. Klik + Tambahkan Feed Baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Tanium Stream logs).
4. Pilih Amazon S3 V2 sebagai Jenis sumber.
5. Pilih Tanium Stream sebagai Jenis log.
6. Klik Berikutnya.
7. Tentukan nilai untuk parameter input berikut:
   • URI S3: s3://tanium-stream-logs/tanium/stream/
   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
   • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
   • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
   • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
   • Namespace aset: Namespace aset.
   • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
8. Klik Berikutnya.
9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.