Raccogliere i log di Tripwire
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log di Tripwire utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione TRIPWIRE_FIM.
Configurare Tripwire Enterprise
- Accedi alla console web di Tripwire Enterprise utilizzando le credenziali di amministratore.
- Per modificare le impostazioni di Gestione log, fai clic sulla scheda Impostazioni.
- Seleziona Tripwire > Sistema > Gestione log.
- Nella finestra Preferenze di gestione dei log:
- Seleziona la casella di controllo Inoltra i messaggi di log TE a syslog.
- Nel campo Host TCP, inserisci l'indirizzo IP o il nome host del forwarder di Google Security Operations.
- Nel campo Porta TCP, inserisci la porta su cui vengono inviati i messaggi di log tramite TCP.
- Per testare la configurazione, fai clic su Prova connessione.
- Per salvare le modifiche, fai clic su Applica.
Configura il forwarder di Google Security Operations per importare i log di Tripwire
- Vai a Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Digita un nome nel campo Nome del raccoglitore.
- Seleziona Soglia di guardia come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione (TCP) utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Panoramica: questo parser estrae i campi dai messaggi syslog di Tripwire File Integrity Manager (FIM), normalizzandoli nel formato UDM. Gestisce varie categorie di log, tra cui eventi di sistema, eventi di sicurezza, modifiche e controlli, mappandoli ai tipi di eventi UDM corrispondenti e arricchendo i dati con dettagli come informazioni utente, risorse interessate e risultati di sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
| AffectedHost | principal.hostname | Mappato direttamente dal campo AffectedHost nei log CEF. |
| AffectedIP | principal.ip | Mappato direttamente dal campo AffectedIP nei log CEF. |
| AppType | target.file.full_path | Mappato direttamente dal campo AppType quando desc contiene "HKEY" e AppType è presente. |
| ChangeType | target.resource.attribute.labels.key: Tipo di modifica target.resource.attribute.labels.value: %{ChangeType} |
Mappato direttamente dal campo ChangeType nei log CEF come etichetta. |
| ChangeType | sec_result.summary | Mappato direttamente dal campo change_type, se presente nei log. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Mappato direttamente dai campi cs1 e cs1Label nei log CEF come etichetta. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Mappato direttamente dai campi cs2 e cs2Label nei log CEF come etichetta. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Mappato direttamente dai campi cs3 e cs3Label nei log CEF come etichetta. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Mappato direttamente dai campi cs4 e cs4Label nei log CEF come etichetta. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Mappato direttamente dai campi cs5 e cs5Label nei log CEF come etichetta. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Mappato direttamente dai campi cs6 e cs6Label nei log CEF come etichetta. |
| dataora | metadata.event_timestamp | Analizzati e convertiti in timestamp da vari formati come "MMM d HH:mm:ss", "yyyy-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Mappato direttamente dal campo device_event_class_id nei log CEF. |
| device_product | metadata.product_name | Mappato direttamente dal campo device_product nei log CEF. |
| device_vendor | metadata.vendor_name | Mappato direttamente dal campo device_vendor nei log CEF. |
| device_version | metadata.product_version | Mappato direttamente dal campo device_version nei log CEF. |
| dhost | target.hostname | Mappato direttamente dal campo dhost nei log CEF. |
| duser | target.user.userid | Mappato direttamente dal campo duser nei log CEF. |
| dvc | principal.ip | Mappato direttamente dal campo dvc nei log CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Mappato direttamente dai campi elementOID e elementOIDLabel nei log CEF come etichetta. |
| event_name | metadata.product_event_type | Mappato direttamente dal campo event_name nei log CEF. |
| FileName | principal.process.file.full_path | Mappato direttamente dal campo FileName nei log CEF. |
| fname | target.file.full_path | Mappato direttamente dal campo fname nei log CEF. |
| HostName | principal.hostname | Mappato direttamente dal campo HostName quando desc contiene "TE:". |
| licurl | about.url | Mappato direttamente dal campo licurl nei log CEF. |
| log_level | security_result.severity | Mappato dal campo log_level. "Informazioni" diventa "INFORMATIONAL", "Avviso" diventa "MEDIUM", "Errore" diventa "ERROR", "Critico" diventa "CRITICAL". |
| LogUser | principal.user.userid OPPURE target.user.userid | Mappato a principal.user.userid se event_type non è vuoto e non è "USER_LOGIN" e principal_user è vuoto. In caso contrario, viene mappato a target.user.userid. Viene estratto anche dal campo desc quando inizia con "Msg="User". |
| MD5 | target.file.md5 | Mappato direttamente dal campo MD5 nei log CEF quando non è vuoto o "Non disponibile". |
| Msg | security_result.description | Mappato direttamente dal campo Msg quando desc contiene "TE:". Estratto dal campo desc in vari scenari in base a category e ad altri campi. |
| NodeIp | target.ip | Mappato direttamente dal campo NodeIp quando desc contiene "TE:". |
| NodeName | target.hostname | Mappato direttamente dal campo NodeName quando desc contiene "TE:". |
| OS-Type | principal.platform | Mappato dal campo OS-Type. "WINDOWS" (senza distinzione tra maiuscole e minuscole) diventa "WINDOWS", "Solaris" (senza distinzione tra maiuscole e minuscole) diventa "LINUX". |
| principal_user | principal.user.userid OPPURE target.user.userid | Estratto dal campo message quando contiene "CN=". Viene elaborato per rimuovere "CN=", le parentesi e gli spazi finali. Mappato a principal.user.userid se event_type non è "USER_UNCATEGORIZED". In caso contrario, viene mappato a target.user.userid. Estratto anche dal campo desc nella categoria "Evento di controllo". |
| principal_user | principal.user.group_identifiers | Estratto da principal_user quando ldap_details non è vuoto e contiene "OU=". |
| principal_user | principal.administrative_domain | La parte del dominio viene estratta da principal_user quando corrisponde al pattern %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Mappato direttamente dal campo product_logid quando desc contiene "TE:". |
| rt | metadata.event_timestamp | Analizzati e convertiti in timestamp dai formati "MMM dd yyyy HH:mm:ss" e "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | Il valore dopo "Dopo=" viene estratto dal campo SHA-1 e mappato. |
| Dimensioni | target.file.size | Il valore dopo "Dopo=" viene estratto dal campo Size, mappato e convertito in un numero intero non firmato. |
| software_update | target.resource.name | Mappato direttamente dal campo software_update quando non è vuoto. |
| source_hostname | principal.hostname | Mappato direttamente dal campo source_hostname quando desc contiene "TE:". |
| source_ip | principal.ip | Mappato direttamente dal campo source_ip quando desc contiene "TE:". |
| sproc | src.process.command_line | Mappato direttamente dal campo sproc nei log CEF. |
| start | target.resource.attribute.creation_time | Analizzata e convertita in timestamp dal formato "MMM d yyyy HH:mm:ss". |
| target_hostname | target.hostname | Se presente, viene mappato direttamente dal campo target_hostname. |
| target_ip | target.ip | Se presente, viene mappato direttamente dal campo target_ip. |
| tempo | metadata.event_timestamp | Analizzata dal campo temp_data utilizzando il formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| fuso orario | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Mappato direttamente dai campi timezone e timezoneLabel nei log CEF come etichetta. Oggetto about vuoto creato quando licurl è vuoto o "Non disponibile". Oggetto auth vuoto creato in extensions quando event_type è "USER_LOGIN". Impostato su "STATUS_UNCATEGORIZED" come valore predefinito se event_type non è impostato da nessun'altra logica o se event_type è "NETWORK_CONNECTION" e sia target_hostname sia target_ip sono vuoti. Impostato su "TRIPWIRE_FIM". Impostato su "Monitoraggio dell'integrità dei file" come valore predefinito, sostituito da device_product se presente. Imposta su "TRIPWIRE". Imposta "ALLOW" come valore predefinito. Impostato su "BLOCCA" in determinati scenari in base ai contenuti di category e desc. |
Modifiche
2023-06-21
- È stata aggiunta la funzione gsub per gestire i log nel formato CEF.
2023-06-07
- È stato aggiunto un pattern Grok per gestire i log con formato CEF.
2022-06-14
- Correzione di bug: - È stato aggiunto un nuovo grok per analizzare i log di tipo "HKEY_" senza spazi tra regestry_key e value.
- È stato aggiunto il controllo di convalida per target_hostname o target_ip prima della mappatura di event_type a NETWORK_CONNECTION.
- È stato aggiunto il controllo null per il nome utente prima della mappatura a ADM.