Tripwire ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Tripwire ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル TRIPWIRE_FIM が付加されたパーサーに適用されます。
Tripwire Enterprise を構成する
- 管理者認証情報を使用して Tripwire Enterprise ウェブ コンソールにログインします。
- [ログ管理] の設定を編集するには、[設定] タブをクリックします。
- [Tripwire] > [システム] > [ログ管理] を選択します。
- [ログ管理の設定] ウィンドウで、次の操作を行います。
- [TE ログ メッセージを syslog に転送] チェックボックスをオンにします。
- [TCP host] フィールドに、Google Security Operations フォワーダの IP アドレスまたはホスト名を入力します。
- [TCP port] フィールドに、TCP 経由でログ メッセージが送信されるポートを入力します。
- 構成をテストするには、[接続をテスト] をクリックします。
- [Apply] をクリックして、変更を保存します。
Tripwire ログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [Tripwire] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコル(TCP)を指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
概要: このパーサーは、Tripwire File Integrity Manager(FIM)の syslog メッセージからフィールドを抽出し、UDM 形式に正規化します。システム イベント、セキュリティ イベント、変更、監査など、さまざまなログカテゴリを処理し、対応する UDM イベントタイプにマッピングし、ユーザー情報、影響を受けるリソース、セキュリティの結果などの詳細でデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| AffectedHost | principal.hostname | CEF ログの AffectedHost フィールドから直接マッピングされます。 |
| AffectedIP | principal.ip | CEF ログの AffectedIP フィールドから直接マッピングされます。 |
| AppType | target.file.full_path | desc に「HKEY」が含まれ、AppType が存在する場合、AppType フィールドから直接マッピングされます。 |
| ChangeType | target.resource.attribute.labels.key: 変更タイプ target.resource.attribute.labels.value: %{ChangeType} |
CEF ログの ChangeType フィールドからラベルとして直接マッピングされます。 |
| ChangeType | sec_result.summary | ログに存在する場合は、change_type フィールドから直接マッピングされます。 |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
CEF ログの cs1 フィールドと cs1Label フィールドからラベルとして直接マッピングされます。 |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
CEF ログの cs2 フィールドと cs2Label フィールドからラベルとして直接マッピングされます。 |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
CEF ログの cs3 フィールドと cs3Label フィールドからラベルとして直接マッピングされます。 |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
CEF ログの cs4 フィールドと cs4Label フィールドからラベルとして直接マッピングされます。 |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
CEF ログの cs5 フィールドと cs5Label フィールドからラベルとして直接マッピングされます。 |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
CEF ログの cs6 フィールドと cs6Label フィールドからラベルとして直接マッピングされます。 |
| datetime | metadata.event_timestamp | 「MMM d HH:mm:ss」、「yyyy-MM-dd HH:mm:ss」などのさまざまな形式から解析され、タイムスタンプに変換されます。 |
| device_event_class_id | principal.resource.product_object_id | CEF ログの device_event_class_id フィールドから直接マッピングされます。 |
| device_product | metadata.product_name | CEF ログの device_product フィールドから直接マッピングされます。 |
| device_vendor | metadata.vendor_name | CEF ログの device_vendor フィールドから直接マッピングされます。 |
| device_version | metadata.product_version | CEF ログの device_version フィールドから直接マッピングされます。 |
| dhost | target.hostname | CEF ログの dhost フィールドから直接マッピングされます。 |
| duser | target.user.userid | CEF ログの duser フィールドから直接マッピングされます。 |
| dvc | principal.ip | CEF ログの dvc フィールドから直接マッピングされます。 |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
CEF ログの elementOID フィールドと elementOIDLabel フィールドからラベルとして直接マッピングされます。 |
| event_name | metadata.product_event_type | CEF ログの event_name フィールドから直接マッピングされます。 |
| FileName | principal.process.file.full_path | CEF ログの FileName フィールドから直接マッピングされます。 |
| fname | target.file.full_path | CEF ログの fname フィールドから直接マッピングされます。 |
| HostName | principal.hostname | desc に「TE:」が含まれている場合は、HostName フィールドから直接マッピングされます。 |
| licurl | about.url | CEF ログの licurl フィールドから直接マッピングされます。 |
| log_level | security_result.severity | log_level フィールドからマッピングされます。「情報」は「INFORMATIONAL」に、「警告」は「MEDIUM」に、「エラー」は「ERROR」に、「重大」は「CRITICAL」に変更されます。 |
| LogUser | principal.user.userid または target.user.userid | event_type が空でないか「USER_LOGIN」でないか、principal_user が空の場合、principal.user.userid にマッピングされます。それ以外の場合は、target.user.userid にマッピングされます。また、desc フィールドが「Msg="User"」で始まる場合は、このフィールドからも抽出されます。 |
| MD5 | target.file.md5 | CEF ログの MD5 フィールドから直接マッピングされます(空でないか「利用不可」でない場合)。 |
| Msg | security_result.description | desc に「TE:」が含まれている場合は、Msg フィールドから直接マッピングされます。category フィールドや他のフィールドに基づいて、さまざまなシナリオで desc フィールドから抽出されます。 |
| NodeIp | target.ip | desc に「TE:」が含まれている場合は、NodeIp フィールドから直接マッピングされます。 |
| NodeName | target.hostname | desc に「TE:」が含まれている場合は、NodeName フィールドから直接マッピングされます。 |
| OS-Type | principal.platform | OS-Type フィールドからマッピングされます。「WINDOWS」(大文字と小文字は区別されません)は「WINDOWS」に、「Solaris」(大文字と小文字は区別されません)は「LINUX」に変更されます。 |
| principal_user | principal.user.userid または target.user.userid | 「CN="」が含まれている場合は message フィールドから抽出されます。処理により、「CN="」、かっこ、末尾のスペースが削除されます。event_type が「USER_UNCATEGORIZED」でない場合、principal.user.userid にマッピングされます。それ以外の場合は target.user.userid にマッピングされます。[Audit Event] カテゴリの desc フィールドからも抽出されます。 |
| principal_user | principal.user.group_identifiers | ldap_details が空ではなく、「OU="」が含まれている場合は、principal_user から抽出されます。 |
| principal_user | principal.administrative_domain | ドメイン部分は、パターン %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} と一致する場合に principal_user から抽出されます。 |
| product_logid | metadata.product_log_id | desc に「TE:」が含まれている場合は、product_logid フィールドから直接マッピングされます。 |
| rt | metadata.event_timestamp | 「MMM dd yyyy HH:mm:ss」形式と「MM dd yyyy HH:mm:ss ZZZ」形式から解析され、タイムスタンプに変換されます。 |
| SHA-1 | target.file.sha256 | 「After=" の後の値は SHA-1 フィールドから抽出され、マッピングされます。 |
| サイズ | target.file.size | 「After=" の後の値は Size フィールドから抽出され、マッピングされて、符号なし整数に変換されます。 |
| software_update | target.resource.name | software_update フィールドが空でない場合、software_update フィールドから直接マッピングされます。 |
| source_hostname | principal.hostname | desc に「TE:」が含まれている場合は、source_hostname フィールドから直接マッピングされます。 |
| source_ip | principal.ip | desc に「TE:」が含まれている場合は、source_ip フィールドから直接マッピングされます。 |
| sproc | src.process.command_line | CEF ログの sproc フィールドから直接マッピングされます。 |
| 開始 | target.resource.attribute.creation_time | 「MMM d yyyy HH:mm:ss」形式で解析され、タイムスタンプに変換されます。 |
| target_hostname | target.hostname | target_hostname フィールドから直接マッピングされます(存在する場合)。 |
| target_ip | target.ip | target_ip フィールドから直接マッピングされます(存在する場合)。 |
| 時間 | metadata.event_timestamp | temp_data フィールドから「<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*」の形式で解析されます。 |
| タイムゾーン | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
CEF ログの timezone フィールドと timezoneLabel フィールドからラベルとして直接マッピングされます。licurl が空または「利用不可」の場合に作成される空の about オブジェクト。event_type が「USER_LOGIN」の場合に extensions 内に作成される空の auth オブジェクト。event_type が他のロジックで設定されていない場合、または event_type が「NETWORK_CONNECTION」で、target_hostname と target_ip の両方が空の場合、デフォルト値として「STATUS_UNCATEGORIZED」に設定します。「TRIPWIRE_FIM」に設定します。デフォルト値として「File Integrity Monitoring」に設定されます。存在する場合は device_product によってオーバーライドされます。「TRIPWIRE」に設定します。デフォルト値として「ALLOW」に設定します。category と desc のコンテンツに基づいて、特定のシナリオで「ブロック」に設定します。 |
変更点
2023-06-21
- CEF 形式のログを処理する gsub を追加しました。
2023-06-07
- CEF 形式のログを処理するための Grok パターンを追加しました。
2022-06-14
- バグの修正: - regestry_key と値の間にスペースのない「HKEY_」タイプのログを解析する新しい Grok を追加しました。
- event_type を NETWORK_CONNECTION にマッピングする前に、target_hostname または target_ip の検証チェックを追加しました。
- udm にマッピングする前にユーザー名の null チェックを追加しました。