Recolha registos do Tanium Stream

Este documento explica como carregar registos do Tanium Stream para o Google Security Operations através da funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Stream fornece telemetria de pontos finais em tempo real, dados de deteção de ameaças e estatísticas comportamentais no formato JSON, que podem ser exportados diretamente para o S3 através do Tanium Connect sem necessitar de funções Lambda personalizadas. O analisador transforma os registos JSON não processados do Tanium Stream num modelo de dados unificado (UDM). Primeiro, normaliza os campos comuns e, em seguida, aplica uma lógica específica com base no "logType" ou "eventType" para mapear informações relevantes nos campos da UDM adequados, processando vários tipos de eventos, como ligações de rede, inícios de sessão de utilizadores, lançamentos de processos e modificações de ficheiros.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Tanium Core Platform 7.0 ou posterior
• Módulo Tanium Stream instalado e configurado
• Módulo Tanium Connect instalado com uma licença válida
• Tanium Threat Response 3.4.346 ou posterior (se usar a integração TR)
• Acesso privilegiado à consola do Tanium com direitos administrativos
• Acesso privilegiado à AWS (S3, IAM)

Configure a conta de serviço do Tanium Stream

1. Inicie sessão na Tanium Console.
2. Aceda a Módulos > Stream.
3. Clique em Definições na parte superior direita.
4. Na secção Conta de serviço, configure o seguinte:
   • Utilizador da conta de serviço: selecione um utilizador com as autorizações do Stream adequadas.
   • Verifique se a conta tem o privilégio da função de utilizador de ligação.
   • Confirme o acesso às origens de dados e aos pontos finais de streams.
5. Clique em Guardar para aplicar a configuração da conta de serviço.

Recolha os pré-requisitos do Tanium Stream

1. Inicie sessão na consola do Tanium como administrador.
2. Aceda a Administração > Autorizações > Utilizadores.
3. Crie ou identifique um utilizador da conta de serviço com as seguintes funções:
   • Função de administrador de streams ou utilizador só de leitura de streams.
   • Privilégio da função Utilizador associado.
   • Acesso a grupos de computadores monitorizados (recomendado: grupo Todos os computadores).
   • Autorização Ler pergunta guardada para conjuntos de conteúdo de stream.

Configure o contentor do AWS S3 e o IAM para o Google SecOps

1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
2. Guarde o nome e a região do contentor para referência futura (por exemplo, tanium-stream-logs).
3. Crie um utilizador seguindo este guia do utilizador: Criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como o Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione uma etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Configure o destino do AWS S3 do Tanium Connect

1. Inicie sessão na Tanium Console.
2. Aceda a Módulos > Ligar.
3. Clique em Criar associação.
4. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo (por exemplo, Stream Telemetry to S3 for SecOps).
   • Descrição: descrição opcional (por exemplo, Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione esta opção para ativar a execução da associação de acordo com um horário.
5. Clicar em Seguinte.

Configure a origem da associação

1. Na secção Origem, faculte os seguintes detalhes de configuração:
   • Tipo de origem: selecione Pergunta guardada.
   • Pergunta guardada: selecione uma das seguintes perguntas guardadas relacionadas com o stream:
     • Stream - Endpoint Events para telemetria de pontos finais em tempo real.
     • Stream - Eventos de rede para monitorização da atividade de rede.
     • Stream - Process Events para o acompanhamento da execução de processos.
     • Stream - File Events para atividade do sistema de ficheiros.
     • Stream - Threat Hunting Data para análise comportamental.
   • Grupo de computadores: selecione Todos os computadores ou grupos de computadores específicos para monitorizar.
   • Intervalo de atualização: defina o intervalo adequado para a recolha de dados (por exemplo, 5 minutos para telemetria em tempo real).
2. Clicar em Seguinte.

Configure o destino do AWS S3

1. Na secção Destino, faculte os seguintes detalhes de configuração:
   • Tipo de destino: selecione AWS S3.
   • Nome do destino: introduza um nome exclusivo (por exemplo, Google SecOps Stream S3 Destination).
   • Chave de acesso da AWS: introduza a chave de acesso da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
   • Chave de acesso secreta da AWS: introduza a chave de acesso secreta da AWS a partir do ficheiro CSV transferido no passo de configuração do AWS S3.
   • Nome do contentor: introduza o nome do contentor do S3 (por exemplo, tanium-stream-logs).
   • Região: selecione a região da AWS onde o seu contentor do S3 está localizado.
   • Prefixo da chave: introduza um prefixo para os objetos S3 (por exemplo, tanium/stream/).
2. Clicar em Seguinte.

Configure filtros

1. Na secção Filtros, configure as opções de filtragem de dados:
   • Enviar apenas novos itens: selecione esta opção para enviar apenas novos dados de telemetria desde a última exportação.
   • Filtros de colunas: adicione filtros com base em atributos de eventos específicos, se necessário (por exemplo, filtre por tipo de evento, nome do processo ou indicadores de ameaças).
2. Clicar em Seguinte.

Formate os dados para o AWS S3

1. Na secção Formato, configure o formato de dados:
   • Formato: selecione JSON.
   • Opções:
     • Incluir cabeçalhos: desmarque esta opção para evitar cabeçalhos no resultado JSON.
     • Incluir células vazias: selecione com base na sua preferência.
   • Opções avançadas:
     • Nomenclatura de ficheiros: use a nomenclatura predefinida baseada na data/hora.
     • Compressão: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
2. Clicar em Seguinte.

Agende a associação

1. Na secção Programação, configure a programação de exportação:
   • Ativar agendamento: selecione esta opção para ativar as exportações agendadas automáticas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione A cada 5 minutos para dados de telemetria quase em tempo real.
   • Hora de início: defina a hora de início adequada para a primeira exportação.
2. Clicar em Seguinte.

Guarde e valide a associação

1. Reveja a configuração da associação no ecrã de resumo.
2. Clique em Guardar para criar a associação.
3. Clique em Testar associação para validar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
5. Monitorize o estado da ligação na página Vista geral do Connect.

Configure um feed no Google SecOps para carregar registos do Tanium Stream

1. Aceda a Definições do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Tanium Stream logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Tanium Stream como o Tipo de registo.
6. Clicar em Seguinte.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-stream-logs/tanium/stream/
   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
   • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
   • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
   • Espaço de nomes do recurso: o espaço de nomes do recurso.
   • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
8. Clicar em Seguinte.
9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.