Coletar registros do Tripwire

Compatível com:

Este documento descreve como coletar os registros do Tripwire usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência TRIPWIRE_FIM.

Configurar o Tripwire Enterprise

  1. Faça login no console da Web do Tripwire Enterprise usando as credenciais de administrador.
  2. Para editar as configurações de Gerenciamento de registros, clique na guia Configurações.
  3. Selecione Tripwire > Sistema > Gerenciamento de registros.
  4. Na janela Preferências de gerenciamento de registros, faça o seguinte:
    1. Marque a caixa de seleção Forward TE log messages to syslog.
    2. No campo Host TCP, insira o endereço IP ou o nome do host do encaminhador de operações de segurança do Google.
    3. No campo Porta TCP, digite a porta em que as mensagens de registro são enviadas pelo TCP.
    4. Para testar a configuração, clique em Testar conexão.
  5. Para salvar as mudanças, clique em Aplicar.

Configurar o forwarder do Google Security Operations para processar registros do Tripwire

  1. Acesse Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo.
  4. Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
  5. No campo Nome do coletor, digite um nome.
  6. Selecione Tripwire como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão (TCP) que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte de operações de segurança do Google.

Referência do mapeamento de campo

Visão geral: esse analisador extrai campos das mensagens de syslog do Tripwire File Integrity Manager (FIM) e as normaliza no formato UDM. Ele processa várias categorias de registros, incluindo eventos do sistema, de segurança, mudanças e auditorias, mapeando-as para os tipos de eventos do UDM correspondentes e enriquecendo os dados com detalhes como informações do usuário, recursos afetados e resultados de segurança.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
AffectedHost principal.hostname Mapeado diretamente do campo AffectedHost nos registros do CEF.
AffectedIP principal.ip Mapeado diretamente do campo AffectedIP nos registros do CEF.
AppType target.file.full_path Mapeado diretamente do campo AppType quando desc contém "HKEY" e AppType está presente.
ChangeType target.resource.attribute.labels.key: Change Type
target.resource.attribute.labels.value: %{ChangeType}
Mapeado diretamente do campo ChangeType nos registros do CEF como um rótulo.
ChangeType sec_result.summary Mapeado diretamente do campo change_type quando presente nos registros.
cs1 target.resource.attribute.labels.key: cs1Label
target.resource.attribute.labels.value: cs1
Mapeado diretamente dos campos cs1 e cs1Label nos registros do CEF como um rótulo.
cs2 target.resource.attribute.labels.key: cs2Label
target.resource.attribute.labels.value: cs2
Mapeado diretamente dos campos cs2 e cs2Label nos registros do CEF como um rótulo.
cs3 target.resource.attribute.labels.key: cs3Label
target.resource.attribute.labels.value: cs3
Mapeado diretamente dos campos cs3 e cs3Label nos registros do CEF como um rótulo.
cs4 target.resource.attribute.labels.key: cs4Label
target.resource.attribute.labels.value: cs4
Mapeado diretamente dos campos cs4 e cs4Label nos registros do CEF como um rótulo.
cs5 target.resource.attribute.labels.key: cs5Label
target.resource.attribute.labels.value: cs5
Mapeado diretamente dos campos cs5 e cs5Label nos registros do CEF como um rótulo.
cs6 target.resource.attribute.labels.key: cs6Label
target.resource.attribute.labels.value: cs6
Mapeado diretamente dos campos cs6 e cs6Label nos registros do CEF como um rótulo.
datetime metadata.event_timestamp Analisado e convertido em carimbo de data/hora de vários formatos, como "MMM d HH:mm:ss" e "aaaa-MM-dd HH:mm:ss".
device_event_class_id principal.resource.product_object_id Mapeado diretamente do campo device_event_class_id nos registros do CEF.
device_product metadata.product_name Mapeado diretamente do campo device_product nos registros do CEF.
device_vendor metadata.vendor_name Mapeado diretamente do campo device_vendor nos registros do CEF.
device_version metadata.product_version Mapeado diretamente do campo device_version nos registros do CEF.
dhost target.hostname Mapeado diretamente do campo dhost nos registros do CEF.
duser target.user.userid Mapeado diretamente do campo duser nos registros do CEF.
dvc principal.ip Mapeado diretamente do campo dvc nos registros do CEF.
elementOID target.resource.attribute.labels.key: elementOIDLabel
target.resource.attribute.labels.value: elementOID
Mapeado diretamente dos campos elementOID e elementOIDLabel nos registros do CEF como um rótulo.
event_name metadata.product_event_type Mapeado diretamente do campo event_name nos registros do CEF.
FileName principal.process.file.full_path Mapeado diretamente do campo FileName nos registros do CEF.
fname target.file.full_path Mapeado diretamente do campo fname nos registros do CEF.
HostName principal.hostname Mapeado diretamente do campo HostName quando desc contém "TE:".
licurl about.url Mapeado diretamente do campo licurl nos registros do CEF.
log_level security_result.severity Mapeado do campo log_level. "Informação" se torna "INFORMATIONAL", "Aviso" se torna "MEDIUM", "Erro" se torna "ERROR" e "Crítico" se torna "CRITICAL".
LogUser principal.user.userid OU target.user.userid É associado a principal.user.userid se event_type não estiver vazio e não for "USER_LOGIN" e principal_user estiver vazio. Caso contrário, será mapeado para target.user.userid. Também extraído do campo desc quando ele começa com "Msg="User".
MD5 target.file.md5 Mapeado diretamente do campo MD5 nos registros do CEF quando não está vazio ou "Não disponível".
Msg security_result.description Mapeado diretamente do campo Msg quando desc contém "TE:". Extraídos do campo desc em vários cenários com base em category e outros campos.
NodeIp target.ip Mapeado diretamente do campo NodeIp quando desc contém "TE:".
NodeName target.hostname Mapeado diretamente do campo NodeName quando desc contém "TE:".
Tipo de SO principal.platform Mapeado do campo OS-Type. "WINDOWS" (sem distinção entre maiúsculas e minúsculas) se torna "WINDOWS", e "Solaris" (sem distinção entre maiúsculas e minúsculas) se torna "LINUX".
principal_user principal.user.userid OU target.user.userid Extraídos do campo message quando ele contém "CN=". Processado para remover "CN=", parênteses e espaços finais. É mapeado para principal.user.userid se event_type não for "USER_UNCATEGORIZED". Caso contrário, será mapeado para target.user.userid. Também extraído do campo desc na categoria "Evento de auditoria".
principal_user principal.user.group_identifiers Extraídos de principal_user quando ldap_details não está vazio e contém "OU=".
principal_user principal.administrative_domain A parte do domínio é extraída de principal_user quando corresponde ao padrão %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}.
product_logid metadata.product_log_id Mapeado diretamente do campo product_logid quando desc contém "TE:".
rt metadata.event_timestamp Analisado e convertido em carimbo de data/hora dos formatos "MMM dd yyyy HH:mm:ss" e "MM dd yyyy HH:mm:ss ZZZ".
SHA-1 target.file.sha256 O valor após "After=" é extraído do campo SHA-1 e mapeado.
Tamanho target.file.size O valor após "After=" é extraído do campo Size, mapeado e convertido em um número inteiro sem sinal.
software_update target.resource.name Mapeado diretamente do campo software_update quando não está vazio.
source_hostname principal.hostname Mapeado diretamente do campo source_hostname quando desc contém "TE:".
source_ip principal.ip Mapeado diretamente do campo source_ip quando desc contém "TE:".
sproc src.process.command_line Mapeado diretamente do campo sproc nos registros do CEF.
start target.resource.attribute.creation_time Analisado e convertido em carimbo de data/hora do formato "MMM d yyyy HH:mm:ss".
target_hostname target.hostname Mapeado diretamente do campo target_hostname, quando presente.
target_ip target.ip Mapeado diretamente do campo target_ip, quando presente.
tempo metadata.event_timestamp Analisado do campo temp_data usando o formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*".
timezone target.resource.attribute.labels.key: timezoneLabel
target.resource.attribute.labels.value: timezone
Mapeado diretamente dos campos timezone e timezoneLabel nos registros do CEF como um rótulo. Objeto about vazio criado quando licurl está vazio ou "Indisponível". Objeto auth vazio criado em extensions quando event_type é "USER_LOGIN". Definir como "STATUS_UNCATEGORIZED" como um valor padrão se event_type não for definido por nenhuma outra lógica ou se event_type for "NETWORK_CONNECTION" e target_hostname e target_ip estiverem vazios. Definido como "TRIPWIRE_FIM". Definido como "Monitoramento de integridade de arquivos" como um valor padrão, substituído por device_product, se presente. Defina como "TRIPWIRE". Defina como "PERMITIR" como um valor padrão. "BLOCK" em determinados cenários com base no conteúdo category e desc.

Alterações

2023-06-21

  • Adição de gsub para processar registros de formato CEF.

2023-06-07

  • Adicionamos um padrão Grok para processar registros formatados CEF.

2022-06-14

  • Correção de bugs: - Adicionamos um novo grok para analisar logs do tipo "HKEY_" sem espaço entre regestry_key e value.
  • Adição de uma verificação de validação para target_hostname ou target_ip antes do mapeamento de event_type para NETWORK_CONNECTION.
  • Adição de verificação de nulos para o nome de usuário antes do mapeamento para o UDM.