Coletar registros do Tanium Stream

Este documento explica como ingerir registros do Tanium Stream no Google Security Operations usando a funcionalidade nativa de exportação do AWS S3 do Tanium Connect. O Tanium Stream fornece telemetria de endpoint em tempo real, dados de busca de ameaças e análises comportamentais em formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. O analisador transforma registros JSON brutos do Tanium Stream em um modelo de dados unificado (UDM). Primeiro, ele normaliza campos comuns e aplica uma lógica específica com base em "logType" ou "eventType" para mapear informações relevantes nos campos apropriados da UDM, processando vários tipos de eventos, como conexões de rede, logins de usuários, inicializações de processos e modificações de arquivos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Tanium Core Platform 7.0 ou mais recente
• O módulo Tanium Stream instalado e configurado
• Módulo Tanium Connect instalado com uma licença válida
• Tanium Threat Response 3.4.346 ou mais recente (se estiver usando a integração do TR)
• Acesso privilegiado ao Tanium Console com direitos administrativos
• Acesso privilegiado à AWS (S3, IAM)

Configurar a conta de serviço do Tanium Stream

1. Faça login no Tanium Console.
2. Acesse Módulos > Transmissão.
3. Clique em Configurações no canto superior direito.
4. Na seção Conta de serviço, configure o seguinte:
   • Usuário da conta de serviço: selecione um usuário com as permissões adequadas do Stream.
   • Verifique se a conta tem o privilégio de função de usuário de conexão.
   • Confirme o acesso às fontes de dados e aos endpoints do Stream.
5. Clique em Salvar para aplicar a configuração da conta de serviço.

Coletar os pré-requisitos do Tanium Stream

1. Faça login no Tanium Console como administrador.
2. Acesse Administração > Permissões > Usuários.
3. Crie ou identifique um usuário da conta de serviço com os seguintes papéis:
   • Função Administrador de stream ou Usuário somente leitura de stream.
   • Privilégio da função Usuário de conexão.
   • Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).
   • Permissão Ler pergunta salva para conjuntos de conteúdo do Stream.

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
2. Salve o Nome e a Região do bucket para referência futura (por exemplo, tanium-stream-logs).
3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
4. Selecione o usuário criado.
5. Selecione a guia Credenciais de segurança.
6. Clique em Criar chave de acesso na seção Chaves de acesso.
7. Selecione Serviço de terceiros como o Caso de uso.
8. Clique em Próxima.
9. Opcional: adicione uma tag de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
12. Clique em Concluído.
13. Selecione a guia Permissões.
14. Clique em Adicionar permissões na seção Políticas de permissões.
15. Selecione Adicionar permissões.
16. Selecione Anexar políticas diretamente.
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clique em Próxima.
19. Clique em Adicionar permissões

Configurar o destino do AWS S3 do Tanium Connect

1. Faça login no Tanium Console.
2. Acesse Módulos > Conectar.
3. Clique em Criar conexão.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo. Por exemplo, Stream Telemetry to S3 for SecOps.
   • Descrição: descrição opcional (por exemplo, Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione para ativar a conexão e executá-la conforme programado.
5. Clique em Próxima.

Configurar a origem da conexão

1. Na seção Origem, forneça os seguintes detalhes de configuração:
   • Tipo de origem: selecione Pergunta salva.
   • Pergunta salva: selecione uma das seguintes perguntas salvas relacionadas ao Stream:
     • Stream - Endpoint Events para telemetria de endpoint em tempo real.
     • Transmita eventos de rede para monitorar a atividade de rede.
     • Stream - Process Events para acompanhamento da execução de processos.
     • Stream - File Events para atividade do sistema de arquivos.
     • Stream - Threat Hunting Data para análise comportamental.
   • Grupo de computadores: selecione Todos os computadores ou grupos específicos para monitorar.
   • Intervalo de atualização: defina o intervalo adequado para a coleta de dados (por exemplo, 5 minutos para telemetria em tempo real).
2. Clique em Próxima.

Configurar o destino do AWS S3

1. Na seção Destino, forneça os seguintes detalhes de configuração:
   • Tipo de destino: selecione AWS S3.
   • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps Stream S3 Destination).
   • Chave de acesso da AWS: insira a chave de acesso da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
   • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
   • Nome do bucket: insira o nome do bucket do S3 (por exemplo, tanium-stream-logs).
   • Região: selecione a região da AWS em que o bucket do S3 está localizado.
   • Prefixo da chave: insira um prefixo para os objetos do S3 (por exemplo, tanium/stream/).
2. Clique em Próxima.

Configurar filtros

1. Na seção Filtros, configure as opções de filtragem de dados:
   • Enviar apenas novos itens: selecione essa opção para enviar apenas novos dados de telemetria desde a última exportação.
   • Filtros de coluna: adicione filtros com base em atributos de evento específicos, se necessário (por exemplo, filtre por tipo de evento, nome do processo ou indicadores de ameaça).
2. Clique em Próxima.

Formatar dados para o AWS S3

1. Na seção Formato, configure o formato dos dados:
   • Formato: selecione JSON.
   • Opções:
     • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
     • Incluir células vazias: selecione de acordo com sua preferência.
   • Opções avançadas:
     • Nomeação de arquivos: use a nomeação padrão com base no carimbo de data/hora.
     • Compactação: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
2. Clique em Próxima.

Programar a conexão

1. Na seção Programação, configure a programação de exportação:
   • Ativar programação: selecione para ativar as exportações automáticas programadas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione A cada 5 minutos para dados de telemetria quase em tempo real.
   • Horário de início: defina o horário de início adequado para a primeira exportação.
2. Clique em Próxima.

Salvar e verificar conexão

1. Revise a configuração da conexão na tela de resumo.
2. Clique em Salvar para criar a conexão.
3. Clique em Testar conexão para verificar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para fazer uma exportação inicial.
5. Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros do Tanium Stream

1. Acesse Configurações do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Stream logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Tanium Stream como o Tipo de registro.
6. Clique em Próxima.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-stream-logs/tanium/stream/
   • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
   • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
   • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
8. Clique em Próxima.
9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.