Recolha registos do Tripwire
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher os registos do Tripwire através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento TRIPWIRE_FIM.
Configure o Tripwire Enterprise
- Inicie sessão na consola Web do Tripwire Enterprise com as credenciais de administrador.
- Para editar as definições de Gestão de registos, clique no separador Definições.
- Selecione Tripwire > Sistema > Gestão de registos.
- Na janela Preferências de gestão de registos, faça o seguinte:
- Selecione a caixa de verificação Encaminhar mensagens de registo de TE para syslog.
- No campo Anfitrião TCP, introduza o endereço IP ou o nome de anfitrião do encaminhador do Google Security Operations.
- No campo Porta TCP, introduza a porta na qual as mensagens de registo são enviadas através de TCP.
- Para testar a configuração, clique em Testar associação.
- Para guardar as alterações, clique em Aplicar.
Configure o encaminhador do Google Security Operations para carregar registos do Tripwire
- Aceda a Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome.
- Selecione Tripwire como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação (TCP) que o coletor usa para ouvir dados de syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.
Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Vista geral: este analisador extrai campos de mensagens syslog do Tripwire File Integrity Manager (FIM), normalizando-os para o formato UDM. Processa várias categorias de registos, incluindo eventos do sistema, eventos de segurança, alterações e auditorias, mapeando-os para os tipos de eventos da UDM correspondentes e enriquecendo os dados com detalhes como informações do utilizador, recursos afetados e resultados de segurança.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| AffectedHost | principal.hostname | Mapeado diretamente a partir do campo AffectedHost nos registos CEF. |
| AffectedIP | principal.ip | Mapeado diretamente a partir do campo AffectedIP nos registos CEF. |
| AppType | target.file.full_path | Mapeado diretamente a partir do campo AppType quando desc contém "HKEY" e AppType está presente. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Mapeado diretamente a partir do campo ChangeType nos registos CEF como uma etiqueta. |
| ChangeType | sec_result.summary | Mapeado diretamente a partir do campo change_type quando presente nos registos. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Mapeado diretamente a partir dos campos cs1 e cs1Label nos registos CEF como uma etiqueta. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Mapeado diretamente a partir dos campos cs2 e cs2Label nos registos CEF como uma etiqueta. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Mapeado diretamente a partir dos campos cs3 e cs3Label nos registos CEF como uma etiqueta. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Mapeado diretamente a partir dos campos cs4 e cs4Label nos registos CEF como uma etiqueta. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Mapeado diretamente a partir dos campos cs5 e cs5Label nos registos CEF como uma etiqueta. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Mapeado diretamente a partir dos campos cs6 e cs6Label nos registos CEF como uma etiqueta. |
| datetime | metadata.event_timestamp | Analisado e convertido no formato de data/hora a partir de vários formatos, como "MMM d HH:mm:ss" e "aaaa-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Mapeado diretamente a partir do campo device_event_class_id nos registos CEF. |
| device_product | metadata.product_name | Mapeado diretamente a partir do campo device_product nos registos CEF. |
| device_vendor | metadata.vendor_name | Mapeado diretamente a partir do campo device_vendor nos registos CEF. |
| device_version | metadata.product_version | Mapeado diretamente a partir do campo device_version nos registos CEF. |
| dhost | target.hostname | Mapeado diretamente a partir do campo dhost nos registos CEF. |
| duser | target.user.userid | Mapeado diretamente a partir do campo duser nos registos CEF. |
| dvc | principal.ip | Mapeado diretamente a partir do campo dvc nos registos CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Mapeado diretamente a partir dos campos elementOID e elementOIDLabel nos registos CEF como uma etiqueta. |
| event_name | metadata.product_event_type | Mapeado diretamente a partir do campo event_name nos registos CEF. |
| FileName | principal.process.file.full_path | Mapeado diretamente a partir do campo FileName nos registos CEF. |
| fname | target.file.full_path | Mapeado diretamente a partir do campo fname nos registos CEF. |
| HostName | principal.hostname | Mapeado diretamente a partir do campo HostName quando desc contém "TE:". |
| licurl | about.url | Mapeado diretamente a partir do campo licurl nos registos CEF. |
| log_level | security_result.severity | Mapeado a partir do campo log_level. "Information" passa a "INFORMATIONAL", "Warning" passa a "MEDIUM", "Error" passa a "ERROR" e "Critical" passa a "CRITICAL". |
| LogUser | principal.user.userid OU target.user.userid | Mapeado para principal.user.userid se event_type não estiver vazio e não for "USER_LOGIN" e principal_user estiver vazio. Caso contrário, é mapeado para target.user.userid. Também extraído do campo desc quando começa com "Msg="User". |
| MD5 | target.file.md5 | Mapeado diretamente a partir do campo MD5 nos registos CEF quando não está vazio ou é "Não disponível". |
| Msg | security_result.description | Mapeado diretamente a partir do campo Msg quando desc contém "TE:". Extraído do campo desc em vários cenários com base em category e outros campos. |
| NodeIp | target.ip | Mapeado diretamente a partir do campo NodeIp quando desc contém "TE:". |
| NodeName | target.hostname | Mapeado diretamente a partir do campo NodeName quando desc contém "TE:". |
| OS-Type | principal.platform | Mapeado a partir do campo OS-Type. "WINDOWS" (sem distinção entre maiúsculas e minúsculas) torna-se "WINDOWS", "Solaris" (sem distinção entre maiúsculas e minúsculas) torna-se "LINUX". |
| principal_user | principal.user.userid OU target.user.userid | Extraído do campo message quando contém "CN=". Processado para remover "CN=", parênteses e espaços finais. Mapeado para principal.user.userid se event_type não for "USER_UNCATEGORIZED". Caso contrário, é mapeado para target.user.userid. Também extraído do campo desc na categoria "Evento de auditoria". |
| principal_user | principal.user.group_identifiers | Extraído de principal_user quando ldap_details não está vazio e contém "OU=". |
| principal_user | principal.administrative_domain | A parte do domínio é extraída de principal_user quando corresponde ao padrão %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Mapeado diretamente a partir do campo product_logid quando desc contém "TE:". |
| rt | metadata.event_timestamp | Analisado e convertido em indicação de tempo a partir dos formatos "MMM dd yyyy HH:mm:ss" e "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | O valor após "After=" é extraído do campo SHA-1 e mapeado. |
| Tamanho | target.file.size | O valor após "After=" é extraído do campo Size, mapeado e convertido num número inteiro sem sinal. |
| software_update | target.resource.name | Mapeado diretamente a partir do campo software_update quando não está vazio. |
| source_hostname | principal.hostname | Mapeado diretamente a partir do campo source_hostname quando desc contém "TE:". |
| source_ip | principal.ip | Mapeado diretamente a partir do campo source_ip quando desc contém "TE:". |
| sproc | src.process.command_line | Mapeado diretamente a partir do campo sproc nos registos CEF. |
| iniciar | target.resource.attribute.creation_time | Analisado e convertido em indicação de tempo a partir do formato "MMM d aaaa HH:mm:ss". |
| target_hostname | target.hostname | Mapeado diretamente a partir do campo target_hostname quando presente. |
| target_ip | target.ip | Mapeado diretamente a partir do campo target_ip quando presente. |
| tempo | metadata.event_timestamp | Analisado a partir do campo temp_data com o formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| fuso horário | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Mapeado diretamente a partir dos campos timezone e timezoneLabel nos registos CEF como uma etiqueta. Objeto about vazio criado quando licurl está vazio ou "Não disponível". Objeto auth vazio criado em extensions quando event_type é "USER_LOGIN". Definido como "STATUS_UNCATEGORIZED" como valor predefinido se event_type não for definido por nenhuma outra lógica ou se event_type for "NETWORK_CONNECTION" e target_hostname e target_ip estiverem vazios. Definido como "TRIPWIRE_FIM". Definido como "Monitorização da integridade de ficheiros" como valor predefinido, substituído por device_product, se presente. Definido como "TRIPWIRE". Definido como "ALLOW" (PERMITIR) como valor predefinido. Definido como "BLOQUEAR" em determinados cenários com base no conteúdo category e desc. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.