Recopila registros de Tripwire
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar los registros de Tripwire con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia TRIPWIRE_FIM.
Configura Tripwire Enterprise
- Accede a la consola web de Tripwire Enterprise con credenciales de administrador.
- Para editar la configuración de Administración de registros, haz clic en la pestaña Configuración.
- Selecciona Tripwire > Sistema > Administración de registros.
- En la ventana Log management preferences, haz lo siguiente:
- Selecciona la casilla de verificación Reenviar mensajes de registro de TE a syslog.
- En el campo Host TCP, ingresa la dirección IP o el nombre de host del reenviador de Operaciones de seguridad de Google.
- En el campo Puerto TCP, ingresa el puerto en el que se envían los mensajes de registro a través de TCP.
- Para probar la configuración, haz clic en Probar conexión.
- Para guardar los cambios, haz clic en Aplicar.
Configura el reenviador de Google Security Operations para transferir registros de Tripwire
- Ve a Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Tripwire como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión (TCP) que usa el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.
Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Descripción general: Este analizador extrae campos de los mensajes de syslog del Administrador de integridad de archivos (FIM) de Tripwire y los normaliza en el formato UDM. Controla varias categorías de registros, incluidos los eventos del sistema, los eventos de seguridad, los cambios y las auditorías, y los asigna a los tipos de eventos de la AUA correspondientes y enriquece los datos con detalles como la información del usuario, los recursos afectados y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AffectedHost | principal.hostname | Se asigna directamente desde el campo AffectedHost en los registros de CEF. |
| AffectedIP | principal.ip | Se asigna directamente desde el campo AffectedIP en los registros de CEF. |
| AppType | target.file.full_path | Se asigna directamente desde el campo AppType cuando desc contiene "HKEY" y AppType está presente. |
| ChangeType | target.resource.attribute.labels.key: Tipo de cambio target.resource.attribute.labels.value: %{ChangeType} |
Se asigna directamente desde el campo ChangeType en los registros de CEF como una etiqueta. |
| ChangeType | sec_result.summary | Se asigna directamente desde el campo change_type cuando está presente en los registros. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Se asigna directamente desde los campos cs1 y cs1Label en los registros de CEF como una etiqueta. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Se asigna directamente desde los campos cs2 y cs2Label en los registros de CEF como una etiqueta. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Se asigna directamente desde los campos cs3 y cs3Label en los registros de CEF como una etiqueta. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Se asigna directamente desde los campos cs4 y cs4Label en los registros de CEF como una etiqueta. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Se asigna directamente desde los campos cs5 y cs5Label en los registros de CEF como una etiqueta. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Se asigna directamente desde los campos cs6 y cs6Label en los registros de CEF como una etiqueta. |
| fecha y hora | metadata.event_timestamp | Se analiza y se convierte en marca de tiempo desde varios formatos, como “d MMM HH:mm:ss” y “aaaa-MM-dd HH:mm:ss”. |
| device_event_class_id | principal.resource.product_object_id | Se asigna directamente desde el campo device_event_class_id en los registros de CEF. |
| device_product | metadata.product_name | Se asigna directamente desde el campo device_product en los registros de CEF. |
| device_vendor | metadata.vendor_name | Se asigna directamente desde el campo device_vendor en los registros de CEF. |
| device_version | metadata.product_version | Se asigna directamente desde el campo device_version en los registros de CEF. |
| dhost | target.hostname | Se asigna directamente desde el campo dhost en los registros de CEF. |
| ducha | target.user.userid | Se asigna directamente desde el campo duser en los registros de CEF. |
| dvc | principal.ip | Se asigna directamente desde el campo dvc en los registros de CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Se asigna directamente desde los campos elementOID y elementOIDLabel en los registros de CEF como una etiqueta. |
| event_name | metadata.product_event_type | Se asigna directamente desde el campo event_name en los registros de CEF. |
| Nombre del archivo | principal.process.file.full_path | Se asigna directamente desde el campo FileName en los registros de CEF. |
| fname | target.file.full_path | Se asigna directamente desde el campo fname en los registros de CEF. |
| HostName | principal.hostname | Se asigna directamente desde el campo HostName cuando desc contiene "TE:". |
| licurl | about.url | Se asigna directamente desde el campo licurl en los registros de CEF. |
| log_level | security_result.severity | Se asignó desde el campo log_level. "Information" se convierte en "INFORMATIONAL", "Warning" se convierte en "MEDIUM", "Error" se convierte en "ERROR" y "Critical" se convierte en "CRITICAL". |
| LogUser | principal.user.userid O target.user.userid | Se asigna a principal.user.userid si event_type no está vacío y no es "USER_LOGIN" y principal_user está vacío. De lo contrario, se asigna a target.user.userid. También se extrae del campo desc cuando comienza con "Msg="User". |
| MD5 | target.file.md5 | Se asigna directamente desde el campo MD5 en los registros de CEF cuando no está vacío o no está disponible. |
| Msje. | security_result.description | Se asigna directamente desde el campo Msg cuando desc contiene "TE:". Se extrae del campo desc en varias situaciones según category y otros campos. |
| NodeIp | target.ip | Se asigna directamente desde el campo NodeIp cuando desc contiene "TE:". |
| NodeName | target.hostname | Se asigna directamente desde el campo NodeName cuando desc contiene "TE:". |
| OS-Type | principal.platform | Se asignó desde el campo OS-Type. "WINDOWS" (sin distinción entre mayúsculas y minúsculas) se convierte en "WINDOWS", "Solaris" (sin distinción entre mayúsculas y minúsculas) se convierte en "LINUX". |
| principal_user | principal.user.userid O target.user.userid | Se extrae del campo message cuando contiene "CN=". Se procesa para quitar "CN=", paréntesis y espacios finales. Se asigna a principal.user.userid si event_type no es "USER_UNCATEGORIZED". De lo contrario, se asigna a target.user.userid. También se extrae del campo desc en la categoría "Audit Event". |
| principal_user | principal.user.group_identifiers | Se extrae de principal_user cuando ldap_details no está vacío y contiene "OU=". |
| principal_user | principal.administrative_domain | La parte del dominio se extrae de principal_user cuando coincide con el patrón %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Se asigna directamente desde el campo product_logid cuando desc contiene "TE:". |
| rt | metadata.event_timestamp | Se analiza y se convierte a marca de tiempo desde los formatos "MMM dd aaaa HH:mm:ss" y "MM dd aaaa HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | El valor después de "After=" se extrae del campo SHA-1 y se asigna. |
| Tamaño | target.file.size | El valor después de "Después de=" se extrae del campo Size, se asigna y se convierte en un número entero sin firmar. |
| software_update | target.resource.name | Se asigna directamente desde el campo software_update cuando no está vacío. |
| source_hostname | principal.hostname | Se asigna directamente desde el campo source_hostname cuando desc contiene "TE:". |
| source_ip | principal.ip | Se asigna directamente desde el campo source_ip cuando desc contiene "TE:". |
| sproc | src.process.command_line | Se asigna directamente desde el campo sproc en los registros de CEF. |
| start | target.resource.attribute.creation_time | Se analiza y se convierte a marca de tiempo del formato “d MMM aaaa HH:mm:ss”. |
| target_hostname | target.hostname | Se asigna directamente desde el campo target_hostname cuando está presente. |
| target_ip | target.ip | Se asigna directamente desde el campo target_ip cuando está presente. |
| hora | metadata.event_timestamp | Se analiza desde el campo temp_data con el formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| Zona horaria | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Se asigna directamente desde los campos timezone y timezoneLabel en los registros de CEF como una etiqueta. Se crea un objeto about vacío cuando licurl está vacío o es “No disponible”. Se creó un objeto auth vacío dentro de extensions cuando event_type es "USER_LOGIN". Establece "STATUS_UNCATEGORIZED" como valor predeterminado si ninguna otra lógica establece event_type, o si event_type es "NETWORK_CONNECTION" y target_hostname y target_ip están vacíos. Se establece en "TRIPWIRE_FIM". Se establece en "Supervisión de integridad de archivos" como valor predeterminado, que device_product anula si está presente. Establece el valor en "TRIPWIRE". Se establece en "ALLOW" como valor predeterminado. Se establece en "BLOQUEAR" en ciertas situaciones según el contenido de category y desc. |
Cambios
2023-06-21
- Se agregó gsub para controlar los registros de formato CEF.
2023-06-07
- Se agregó un patrón de Grok para controlar los registros con formato CEF.
2022-06-14
- Se corrigió un error: Se agregó un nuevo grok para analizar registros de tipo "HKEY_" sin espacio entre regestry_key y value.
- Se agregó una verificación de validación para target_hostname o target_ip antes de asignar event_type a NETWORK_CONNECTION.
- Se agregó una verificación de nulos para el nombre de usuario antes de asignarlo a udm.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.