Collecter les journaux Tripwire
Compatible avec:
Google SecOps
SIEM
Ce document explique comment collecter les journaux Tripwire à l'aide d'un transfert Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion TRIPWIRE_FIM.
Configurer Tripwire Enterprise
- Connectez-vous à la console Web Tripwire Enterprise à l'aide d'identifiants d'administrateur.
- Pour modifier les paramètres de Gestion des journaux, cliquez sur l'onglet Paramètres.
- Sélectionnez Tripwire > System > Log management (Tripwire > Système > Gestion des journaux).
- Dans la fenêtre Préférences de gestion des journaux, procédez comme suit :
- Cochez la case Transférer les messages de journal TE vers syslog.
- Dans le champ Hôte TCP, saisissez l'adresse IP ou le nom d'hôte du forwarder Google Security Operations.
- Dans le champ Port TCP, saisissez le port sur lequel les messages de journal sont envoyés via TCP.
- Pour tester la configuration, cliquez sur Tester la connexion.
- Pour enregistrer les modifications, cliquez sur Appliquer.
Configurer le transmetteur Google Security Operations pour ingérer les journaux Tripwire
- Accédez à Paramètres du SIEM > Transferts.
- Cliquez sur Ajouter un forwarder.
- Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
- Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez Détecteur comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole: spécifiez le protocole de connexion (TCP) que le collecteur utilise pour écouter les données syslog.
- Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et où il écoute les données syslog.
- Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les transferts Google Security Operations, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.
Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Présentation: cet analyseur extrait des champs des messages syslog du gestionnaire d'intégrité des fichiers (FIM) Tripwire, et les normalise au format UDM. Elle gère différentes catégories de journaux, y compris les événements système, les événements de sécurité, les modifications et les audits, en les mappant sur les types d'événements UDM correspondants et en enrichissant les données avec des détails tels que les informations sur l'utilisateur, les ressources concernées et les résultats de sécurité.
Tableau de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| AffectedHost | principal.hostname | Mappé directement à partir du champ AffectedHost dans les journaux CEF. |
| AffectedIP | principal.ip | Mappé directement à partir du champ AffectedIP dans les journaux CEF. |
| AppType | target.file.full_path | Mappé directement à partir du champ AppType lorsque desc contient "HKEY" et que AppType est présent. |
| ChangeType | target.resource.attribute.labels.key: Type de modification target.resource.attribute.labels.value: %{ChangeType} |
Mappé directement à partir du champ ChangeType dans les journaux CEF en tant que libellé. |
| ChangeType | sec_result.summary | Mappé directement à partir du champ change_type lorsqu'il est présent dans les journaux. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Mappé directement à partir des champs cs1 et cs1Label dans les journaux CEF en tant que libellé. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Mappé directement à partir des champs cs2 et cs2Label dans les journaux CEF en tant que libellé. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Mappé directement à partir des champs cs3 et cs3Label dans les journaux CEF en tant que libellé. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Mappé directement à partir des champs cs4 et cs4Label dans les journaux CEF en tant que libellé. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Mappé directement à partir des champs cs5 et cs5Label dans les journaux CEF en tant que libellé. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Mappé directement à partir des champs cs6 et cs6Label dans les journaux CEF en tant que libellé. |
| Date/Heure | metadata.event_timestamp | Analyse et conversion en code temporel à partir de différents formats, tels que "MMM d HH:mm:ss" et "aaaa-MM-jj HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Mappé directement à partir du champ device_event_class_id dans les journaux CEF. |
| device_product | metadata.product_name | Mappé directement à partir du champ device_product dans les journaux CEF. |
| device_vendor | metadata.vendor_name | Mappé directement à partir du champ device_vendor dans les journaux CEF. |
| device_version | metadata.product_version | Mappé directement à partir du champ device_version dans les journaux CEF. |
| dhost | target.hostname | Mappé directement à partir du champ dhost dans les journaux CEF. |
| duser | target.user.userid | Mappé directement à partir du champ duser dans les journaux CEF. |
| dvc | principal.ip | Mappé directement à partir du champ dvc dans les journaux CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Mappé directement à partir des champs elementOID et elementOIDLabel dans les journaux CEF en tant que libellé. |
| event_name | metadata.product_event_type | Mappé directement à partir du champ event_name dans les journaux CEF. |
| FileName | principal.process.file.full_path | Mappé directement à partir du champ FileName dans les journaux CEF. |
| fname | target.file.full_path | Mappé directement à partir du champ fname dans les journaux CEF. |
| HostName | principal.hostname | Mappage direct à partir du champ HostName lorsque desc contient "TE:". |
| licurl | about.url | Mappé directement à partir du champ licurl dans les journaux CEF. |
| log_level | security_result.severity | Mappé à partir du champ log_level. "Information" devient "INFORMATIONAL", "Warning" devient "MEDIUM", "Error" devient "ERROR", "Critical" devient "CRITICAL". |
| LogUser | principal.user.userid OU target.user.userid | Mappé sur principal.user.userid si event_type n'est pas vide et n'est pas "USER_LOGIN", et si principal_user est vide. Sinon, mappé sur target.user.userid. Également extrait du champ desc lorsqu'il commence par "Msg="User". |
| MD5 | target.file.md5 | Mappé directement à partir du champ MD5 dans les journaux CEF lorsqu'il n'est pas vide ni défini sur "Non disponible". |
| Message | security_result.description | Mappage direct à partir du champ Msg lorsque desc contient "TE:". Extrait du champ desc dans différents scénarios en fonction de category et d'autres champs. |
| NodeIp | target.ip | Mappage direct à partir du champ NodeIp lorsque desc contient "TE:". |
| NodeName | target.hostname | Mappage direct à partir du champ NodeName lorsque desc contient "TE:". |
| OS-Type | principal.platform | Mappé à partir du champ OS-Type. "WINDOWS" (sans distinction entre majuscules et minuscules) devient "WINDOWS", "Solaris" (sans distinction entre majuscules et minuscules) devient "LINUX". |
| principal_user | principal.user.userid OU target.user.userid | Extrait du champ message lorsqu'il contient "CN=". Traitement pour supprimer "CN=", les parenthèses et les espaces en fin de chaîne. Mappé sur principal.user.userid si event_type ne correspond pas à "USER_UNCATEGORIZED". Sinon, mappé sur target.user.userid. Également extrait du champ desc dans la catégorie "Événement d'audit". |
| principal_user | principal.user.group_identifiers | Extrait de principal_user lorsque ldap_details n'est pas vide et contient "OU=". |
| principal_user | principal.administrative_domain | La partie du domaine est extraite de principal_user lorsqu'elle correspond au format %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Mappage direct à partir du champ product_logid lorsque desc contient "TE:". |
| rt | metadata.event_timestamp | Analyse et conversion en code temporel à partir des formats "MMM dd aaaa HH:mm:ss" et "MM dd aaaa HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | La valeur après "Après=" est extraite du champ SHA-1 et mappée. |
| Taille | target.file.size | La valeur après "Après=" est extraite du champ Size, mappée et convertie en entier non signé. |
| software_update | target.resource.name | Mappé directement à partir du champ software_update lorsqu'il n'est pas vide. |
| source_hostname | principal.hostname | Mappage direct à partir du champ source_hostname lorsque desc contient "TE:". |
| source_ip | principal.ip | Mappage direct à partir du champ source_ip lorsque desc contient "TE:". |
| sproc | src.process.command_line | Mappé directement à partir du champ sproc dans les journaux CEF. |
| start | target.resource.attribute.creation_time | Analyse et conversion au format d'horodatage "MMM d aaaa HH:mm:ss". |
| target_hostname | target.hostname | Mappé directement à partir du champ target_hostname lorsqu'il est présent. |
| target_ip | target.ip | Mappé directement à partir du champ target_ip lorsqu'il est présent. |
| temps | metadata.event_timestamp | Analyse du champ temp_data au format "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| timezone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Mappé directement à partir des champs timezone et timezoneLabel dans les journaux CEF en tant que libellé. Objet about vide créé lorsque licurl est vide ou indique "Non disponible". Objet auth vide créé dans extensions lorsque event_type est "USER_LOGIN". La valeur par défaut est "STATUS_UNCATEGORIZED" si event_type n'est défini par aucune autre logique, ou si event_type est "NETWORK_CONNECTION" et que target_hostname et target_ip sont vides. Définissez-le sur "TRIPWIRE_FIM". Valeur par défaut définie sur "Surveillance de l'intégrité des fichiers", remplacée par device_product si elle est présente. Définissez-le sur "TRIPWIRE". Définissez la valeur par défaut sur "ALLOW". Défini sur "BLOCK" (BLOQUER) dans certains scénarios en fonction du contenu category et desc. |
Modifications
2023-06-21
- Ajout de gsub pour gérer les journaux au format CEF.
2023-06-07
- Ajout d'un modèle Grok pour gérer les journaux au format CEF.
2022-06-14
- Correction de bug: - Ajout d'un nouveau grok pour analyser les journaux de type "HKEY_" sans espace entre regestry_key et value.
- Ajout d'une vérification de validation pour target_hostname ou target_ip avant le mappage de event_type sur NETWORK_CONNECTION.
- Ajout d'une vérification de valeur nulle pour le nom d'utilisateur avant le mappage vers udm.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.