Tripwire-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die Tripwire-Logs mit einem Google Security Operations-Weiterleiter erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel TRIPWIRE_FIM.
Tripwire Enterprise konfigurieren
- Melden Sie sich mit Administratoranmeldedaten in der Tripwire Enterprise-Webkonsole an.
- Klicken Sie auf den Tab Einstellungen, um die Einstellungen für die Protokollverwaltung zu bearbeiten.
- Wählen Sie Tripwire > System > Logverwaltung aus.
- Gehen Sie im Fenster Einstellungen für die Protokollverwaltung so vor:
- Aktivieren Sie das Kästchen TE-Protokollmeldungen an syslog weiterleiten.
- Geben Sie im Feld TCP-Host die IP-Adresse oder den Hostnamen des Google Security Operations-Weiterleitungsservers ein.
- Geben Sie im Feld TCP-Port den Port ein, über den die Protokollmeldungen über TCP gesendet werden.
- Klicken Sie auf Verbindung testen, um die Konfiguration zu testen.
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
Google Security Operations-Weiterleiter für die Aufnahme von Tripwire-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Datensammlers einen Namen ein.
- Wählen Sie Tripwire als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll (TCP) an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter der bzw. dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und der syslog-Daten zuhört.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Übersicht: Dieser Parser extrahiert Felder aus syslog-Nachrichten von Tripwire File Integrity Manager (FIM) und normalisiert sie in das UDM-Format. Es verarbeitet verschiedene Protokollkategorien, einschließlich System-, Sicherheits-, Änderungs- und Prüfereignissen, und ordnet sie den entsprechenden UDM-Ereignistypen zu. Außerdem werden die Daten um Details wie Nutzerinformationen, betroffene Ressourcen und Sicherheitsergebnisse ergänzt.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AffectedHost | principal.hostname | Wird direkt aus dem Feld AffectedHost in CEF-Protokollen zugeordnet. |
| AffectedIP | principal.ip | Wird direkt aus dem Feld AffectedIP in CEF-Protokollen zugeordnet. |
| AppType | target.file.full_path | Wird direkt aus dem Feld AppType zugeordnet, wenn desc „HKEY“ enthält und AppType vorhanden ist. |
| ChangeType | target.resource.attribute.labels.key: Änderungstyp target.resource.attribute.labels.value: %{ChangeType} |
Wird direkt aus dem Feld ChangeType in CEF-Logs als Label zugeordnet. |
| ChangeType | sec_result.summary | Wird direkt aus dem Feld change_type zugeordnet, sofern dieses in den Protokollen vorhanden ist. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Wird direkt aus den cs1- und cs1Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Wird direkt aus den cs2- und cs2Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Wird direkt aus den cs3- und cs3Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Wird direkt aus den cs4- und cs4Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Wird direkt aus den cs5- und cs5Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Wird direkt aus den cs6- und cs6Label-Feldern in CEF-Protokollen als Label zugeordnet. |
| Datum/Uhrzeit | metadata.event_timestamp | Aus verschiedenen Formaten wie „TT.MM HH:mm:ss“ und „JJJJ-MM-TT HH:mm:ss“ geparst und in einen Zeitstempel umgewandelt. |
| device_event_class_id | principal.resource.product_object_id | Wird direkt aus dem Feld device_event_class_id in CEF-Protokollen zugeordnet. |
| device_product | metadata.product_name | Wird direkt aus dem Feld device_product in CEF-Protokollen zugeordnet. |
| device_vendor | metadata.vendor_name | Wird direkt aus dem Feld device_vendor in CEF-Protokollen zugeordnet. |
| device_version | metadata.product_version | Wird direkt aus dem Feld device_version in CEF-Protokollen zugeordnet. |
| dhost | target.hostname | Wird direkt aus dem Feld dhost in CEF-Protokollen zugeordnet. |
| duser | target.user.userid | Wird direkt aus dem Feld duser in CEF-Protokollen zugeordnet. |
| dvc | principal.ip | Wird direkt aus dem Feld dvc in CEF-Protokollen zugeordnet. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Wird direkt aus den elementOID- und elementOIDLabel-Feldern in CEF-Protokollen als Label zugeordnet. |
| event_name | metadata.product_event_type | Wird direkt aus dem Feld event_name in CEF-Protokollen zugeordnet. |
| FileName | principal.process.file.full_path | Wird direkt aus dem Feld FileName in CEF-Protokollen zugeordnet. |
| fname | target.file.full_path | Wird direkt aus dem Feld fname in CEF-Protokollen zugeordnet. |
| HostName | principal.hostname | Wird direkt aus dem Feld HostName zugeordnet, wenn desc „TE:“ enthält. |
| licurl | about.url | Wird direkt aus dem Feld licurl in CEF-Protokollen zugeordnet. |
| log_level | security_result.severity | Aus dem Feld log_level zugeordnet. „Informationen“ wird zu „INFORMATIONEN“, „Warnung“ zu „MITTEL“, „Fehler“ zu „FEHLER“ und „Kritisch“ zu „KRITISCH“. |
| LogUser | principal.user.userid ODER target.user.userid | Wird principal.user.userid zugeordnet, wenn event_type nicht leer und nicht „USER_LOGIN“ ist und principal_user leer ist. Andernfalls wird target.user.userid zugeordnet. Wird auch aus dem Feld desc extrahiert, wenn es mit „Msg="User" beginnt. |
| MD5 | target.file.md5 | Wird direkt aus dem Feld MD5 in CEF-Protokollen zugeordnet, wenn es nicht leer oder „Nicht verfügbar“ ist. |
| Msg | security_result.description | Wird direkt aus dem Feld Msg zugeordnet, wenn desc „TE:“ enthält. Wird aus dem Feld desc in verschiedenen Szenarien basierend auf category und anderen Feldern extrahiert. |
| NodeIp | target.ip | Wird direkt aus dem Feld NodeIp zugeordnet, wenn desc „TE:“ enthält. |
| NodeName | target.hostname | Wird direkt aus dem Feld NodeName zugeordnet, wenn desc „TE:“ enthält. |
| Betriebssystemtyp | principal.platform | Aus dem Feld OS-Type zugeordnet. „WINDOWS“ (ohne Berücksichtigung der Groß- und Kleinschreibung) wird zu „WINDOWS“ und „Solaris“ (ohne Berücksichtigung der Groß- und Kleinschreibung) zu „LINUX“. |
| principal_user | principal.user.userid ODER target.user.userid | Wird aus dem Feld message extrahiert, wenn es „CN=" enthält. „CN=", Klammern und nachfolgende Leerzeichen werden entfernt. Wird principal.user.userid zugeordnet, wenn event_type nicht „USER_UNCATEGORIZED“ ist. Andernfalls wird target.user.userid zugeordnet. Wird auch aus dem Feld desc in der Kategorie „Audit-Ereignis“ extrahiert. |
| principal_user | principal.user.group_identifiers | Wird aus principal_user extrahiert, wenn ldap_details nicht leer ist und „OU=" enthält. |
| principal_user | principal.administrative_domain | Der Domainteil wird aus principal_user extrahiert, wenn er mit dem Muster %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} übereinstimmt. |
| product_logid | metadata.product_log_id | Wird direkt aus dem Feld product_logid zugeordnet, wenn desc „TE:“ enthält. |
| rt | metadata.event_timestamp | Aus den Formaten „TT.MM.JJJJ HH:mm:ss“ und „MM.TT.JJJJ HH:mm:ss ZZZ“ geparst und in einen Zeitstempel umgewandelt. |
| SHA-1 | target.file.sha256 | Der Wert nach „Nach=“ wird aus dem Feld SHA-1 extrahiert und zugeordnet. |
| Größe | target.file.size | Der Wert nach „Nach=“ wird aus dem Feld Size extrahiert, zugeordnet und in eine unge signed Ganzzahl umgewandelt. |
| software_update | target.resource.name | Wird direkt aus dem Feld software_update zugeordnet, wenn es nicht leer ist. |
| source_hostname | principal.hostname | Wird direkt aus dem Feld source_hostname zugeordnet, wenn desc „TE:“ enthält. |
| source_ip | principal.ip | Wird direkt aus dem Feld source_ip zugeordnet, wenn desc „TE:“ enthält. |
| sproc | src.process.command_line | Wird direkt aus dem Feld sproc in CEF-Protokollen zugeordnet. |
| start | target.resource.attribute.creation_time | Aus dem Format „TT.MM.JJJJ HH:mm:ss“ geparst und in einen Zeitstempel konvertiert. |
| target_hostname | target.hostname | Wird direkt aus dem Feld target_hostname zugeordnet, sofern vorhanden. |
| target_ip | target.ip | Wird direkt aus dem Feld target_ip zugeordnet, sofern vorhanden. |
| Zeit | metadata.event_timestamp | Aus dem Feld temp_data im Format "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*" geparst. |
| Zeitzone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Wird direkt aus den timezone- und timezoneLabel-Feldern in CEF-Protokollen als Label zugeordnet. Leeres about-Objekt, das erstellt wird, wenn licurl leer oder „Nicht verfügbar“ ist. Leeres auth-Objekt, das in extensions erstellt wurde, wenn event_type „USER_LOGIN“ ist. Legen Sie „STATUS_UNCATEGORIZED“ als Standardwert fest, wenn event_type nicht durch eine andere Logik festgelegt wird oder wenn event_type „NETWORK_CONNECTION“ ist und sowohl target_hostname als auch target_ip leer sind. Legen Sie den Wert auf „TRIPWIRE_FIM“ fest. Als Standardwert wird „File Integrity Monitoring“ festgelegt, der von device_product überschrieben wird, falls vorhanden. Legen Sie diesen Wert auf „TRIPWIRE“ fest. Legen Sie als Standardwert „ALLOW“ fest. In bestimmten Fällen auf „BLOCKIEREN“ festlegen, basierend auf category- und desc-Inhalten. |
Änderungen
2023-06-21
- „gsub“ wurde hinzugefügt, um CEF-Format-Protokolle zu verarbeiten.
2023-06-07
- Es wurde ein Grok-Muster hinzugefügt, um CEF-formatierte Protokolle zu verarbeiten.
2022-06-14
- Fehlerkorrektur: – Neuer Grok zum Parsen von Protokollen vom Typ „HKEY_“ ohne Leerzeichen zwischen „registry_key“ und „value“ hinzugefügt.
- Vor der Zuordnung von „event_type“ zu „NETWORK_CONNECTION“ wurde eine Validierungsüberprüfung für „target_hostname“ oder „target_ip“ hinzugefügt.
- Es wurde eine Null-Prüfung für den Nutzernamen vor der Zuordnung zu UDm hinzugefügt.