Mengumpulkan log Tripwire
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Tripwire dengan menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer TRIPWIRE_FIM.
Mengonfigurasi Tripwire Enterprise
- Login ke konsol web Tripwire Enterprise menggunakan kredensial administrator.
- Untuk mengedit setelan Pengelolaan log, klik tab Setelan.
- Pilih Tripwire > System > Log management.
- Di jendela Log management preferences, lakukan tindakan berikut:
- Centang kotak Teruskan pesan log TE ke syslog.
- Di kolom TCP host, masukkan alamat IP atau nama host penerusan Google Security Operations.
- Di kolom TCP port, masukkan port tempat pesan log dikirim melalui TCP.
- Untuk menguji konfigurasi, klik Uji koneksi.
- Untuk menyimpan perubahan, klik Terapkan.
Mengonfigurasi forwarder Google Security Operations untuk menyerap log Tripwire
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Tripwire sebagai Jenis log.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protocol: menentukan protokol koneksi (TCP) yang digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang forwarder Google Security Operations, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Ringkasan: Parser ini mengekstrak kolom dari pesan syslog Tripwire File Integrity Manager (FIM), dan menormalisasinya ke dalam format UDM. Log ini menangani berbagai kategori log, termasuk peristiwa sistem, peristiwa keamanan, perubahan, dan audit, memetakan peristiwa tersebut ke jenis peristiwa UDM yang sesuai, serta memperkaya data dengan detail seperti informasi pengguna, resource yang terpengaruh, dan hasil keamanan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| AffectedHost | principal.hostname | Dipetakan langsung dari kolom AffectedHost dalam log CEF. |
| AffectedIP | principal.ip | Dipetakan langsung dari kolom AffectedIP dalam log CEF. |
| AppType | target.file.full_path | Dipetakan langsung dari kolom AppType jika desc berisi "HKEY" dan AppType ada. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Dipetakan langsung dari kolom ChangeType dalam log CEF sebagai label. |
| ChangeType | sec_result.summary | Dipetakan langsung dari kolom change_type jika ada dalam log. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Dipetakan langsung dari kolom cs1 dan cs1Label dalam log CEF sebagai label. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Dipetakan langsung dari kolom cs2 dan cs2Label dalam log CEF sebagai label. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Dipetakan langsung dari kolom cs3 dan cs3Label dalam log CEF sebagai label. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Dipetakan langsung dari kolom cs4 dan cs4Label dalam log CEF sebagai label. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Dipetakan langsung dari kolom cs5 dan cs5Label dalam log CEF sebagai label. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Dipetakan langsung dari kolom cs6 dan cs6Label dalam log CEF sebagai label. |
| datetime | metadata.event_timestamp | Diurai dan dikonversi menjadi stempel waktu dari berbagai format seperti "MMM d HH:mm:ss", "yyyy-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Dipetakan langsung dari kolom device_event_class_id dalam log CEF. |
| device_product | metadata.product_name | Dipetakan langsung dari kolom device_product dalam log CEF. |
| device_vendor | metadata.vendor_name | Dipetakan langsung dari kolom device_vendor dalam log CEF. |
| device_version | metadata.product_version | Dipetakan langsung dari kolom device_version dalam log CEF. |
| dhost | target.hostname | Dipetakan langsung dari kolom dhost dalam log CEF. |
| duser | target.user.userid | Dipetakan langsung dari kolom duser dalam log CEF. |
| dvc | principal.ip | Dipetakan langsung dari kolom dvc dalam log CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Dipetakan langsung dari kolom elementOID dan elementOIDLabel dalam log CEF sebagai label. |
| event_name | metadata.product_event_type | Dipetakan langsung dari kolom event_name dalam log CEF. |
| FileName | principal.process.file.full_path | Dipetakan langsung dari kolom FileName dalam log CEF. |
| fname | target.file.full_path | Dipetakan langsung dari kolom fname dalam log CEF. |
| HostName | principal.hostname | Dipetakan langsung dari kolom HostName saat desc berisi "TE:". |
| licurl | about.url | Dipetakan langsung dari kolom licurl dalam log CEF. |
| log_level | security_result.severity | Dipetakan dari kolom log_level. "Informasi" menjadi "INFORMATIONAL", "Peringatan" menjadi "MEDIUM", "Error" menjadi "ERROR", "Kritis" menjadi "CRITICAL". |
| LogUser | principal.user.userid ATAU target.user.userid | Dipetakan ke principal.user.userid jika event_type tidak kosong dan bukan "USER_LOGIN" dan principal_user kosong. Jika tidak, dipetakan ke target.user.userid. Juga diekstrak dari kolom desc jika diawali dengan "Msg="User". |
| MD5 | target.file.md5 | Dipetakan langsung dari kolom MD5 dalam log CEF jika tidak kosong atau "Tidak tersedia". |
| Msg | security_result.description | Dipetakan langsung dari kolom Msg saat desc berisi "TE:". Diekstrak dari kolom desc dalam berbagai skenario berdasarkan category dan kolom lainnya. |
| NodeIp | target.ip | Dipetakan langsung dari kolom NodeIp saat desc berisi "TE:". |
| NodeName | target.hostname | Dipetakan langsung dari kolom NodeName saat desc berisi "TE:". |
| Jenis OS | principal.platform | Dipetakan dari kolom OS-Type. "WINDOWS" (tidak peka huruf besar/kecil) menjadi "WINDOWS", "Solaris" (tidak peka huruf besar/kecil) menjadi "LINUX". |
| principal_user | principal.user.userid ATAU target.user.userid | Diekstrak dari kolom message jika berisi "CN=". Diproses untuk menghapus "CN=", tanda kurung, dan spasi di akhir. Dipetakan ke principal.user.userid jika event_type bukan "USER_UNCATEGORIZED". Jika tidak, dipetakan ke target.user.userid. Juga diekstrak dari kolom desc di kategori "Peristiwa Audit". |
| principal_user | principal.user.group_identifiers | Diekstrak dari principal_user jika ldap_details tidak kosong dan berisi "OU=". |
| principal_user | principal.administrative_domain | Bagian domain diekstrak dari principal_user jika cocok dengan pola %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Dipetakan langsung dari kolom product_logid saat desc berisi "TE:". |
| rt | metadata.event_timestamp | Diurai dan dikonversi menjadi stempel waktu dari format "MMM dd yyyy HH:mm:ss" dan "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | Nilai setelah "After=" diekstrak dari kolom SHA-1 dan dipetakan. |
| Ukuran | target.file.size | Nilai setelah "After=" diekstrak dari kolom Size, dipetakan, dan dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| software_update | target.resource.name | Dipetakan langsung dari kolom software_update jika tidak kosong. |
| source_hostname | principal.hostname | Dipetakan langsung dari kolom source_hostname saat desc berisi "TE:". |
| source_ip | principal.ip | Dipetakan langsung dari kolom source_ip saat desc berisi "TE:". |
| sproc | src.process.command_line | Dipetakan langsung dari kolom sproc dalam log CEF. |
| mulai | target.resource.attribute.creation_time | Diurai dan dikonversi menjadi stempel waktu dari format "MMM d yyyy HH:mm:ss". |
| target_hostname | target.hostname | Dipetakan langsung dari kolom target_hostname jika ada. |
| target_ip | target.ip | Dipetakan langsung dari kolom target_ip jika ada. |
| waktu | metadata.event_timestamp | Diurai dari kolom temp_data menggunakan format "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| zona waktu | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Dipetakan langsung dari kolom timezone dan timezoneLabel dalam log CEF sebagai label. Objek about kosong yang dibuat saat licurl kosong atau "Tidak tersedia". Objek auth kosong yang dibuat dalam extensions jika event_type adalah "USER_LOGIN". Tetapkan ke "STATUS_UNCATEGORIZED" sebagai nilai default jika event_type tidak ditetapkan oleh logika lain, atau jika event_type adalah "NETWORK_CONNECTION" dan target_hostname serta target_ip kosong. Tetapkan ke "TRIPWIRE_FIM". Tetapkan ke "File Integrity Monitoring" sebagai nilai default, yang diganti oleh device_product jika ada. Tetapkan ke "TRIPWIRE". Tetapkan ke "ALLOW" sebagai nilai default. Tetapkan ke "BLOCK" dalam skenario tertentu berdasarkan konten category dan desc. |
Perubahan
2023-06-21
- Menambahkan gsub untuk menangani log format CEF.
2023-06-07
- Menambahkan pola Grok untuk menangani log berformat CEF.
2022-06-14
- Perbaikan Bug: - Menambahkan grok baru untuk mengurai log jenis "HKEY_" tanpa spasi di antara regestry_key dan value.
- Menambahkan pemeriksaan validasi untuk target_hostname atau target_ip sebelum pemetaan event_type ke NETWORK_CONNECTION.
- Menambahkan pemeriksaan null untuk nama pengguna sebelum memetakan ke udm.