Coletar registros do Tripwire
Este documento descreve como coletar os registros do Tripwire usando um forwarder de operações de segurança do Google.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência TRIPWIRE_FIM
.
Configurar o Tripwire Enterprise
- Faça login no console da Web do Tripwire Enterprise usando as credenciais de administrador.
- Para editar as configurações de Gerenciamento de registros, clique na guia Configurações.
- Selecione Tripwire > Sistema > Gerenciamento de registros.
- Na janela Preferências de gerenciamento de registros, faça o seguinte:
- Marque a caixa de seleção Forward TE log messages to syslog.
- No campo Host TCP, insira o endereço IP ou o nome do host do encaminhador de operações de segurança do Google.
- No campo Porta TCP, digite a porta em que as mensagens de registro são enviadas pelo TCP.
- Para testar a configuração, clique em Testar conexão.
- Para salvar as mudanças, clique em Aplicar.
Configurar o forwarder do Google Security Operations para processar registros do Tripwire
- Acesse Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo.
- Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
- No campo Nome do coletor, digite um nome.
- Selecione Tripwire como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão (TCP) que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte de operações de segurança do Google.
Referência do mapeamento de campo
Visão geral: esse analisador extrai campos das mensagens de syslog do Tripwire File Integrity Manager (FIM) e as normaliza no formato UDM. Ele processa várias categorias de registros, incluindo eventos do sistema, de segurança, mudanças e auditorias, mapeando-as para os tipos de eventos do UDM correspondentes e enriquecendo os dados com detalhes como informações do usuário, recursos afetados e resultados de segurança.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
AffectedHost | principal.hostname | Mapeado diretamente do campo AffectedHost nos registros do CEF. |
AffectedIP | principal.ip | Mapeado diretamente do campo AffectedIP nos registros do CEF. |
AppType | target.file.full_path | Mapeado diretamente do campo AppType quando desc contém "HKEY" e AppType está presente. |
ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Mapeado diretamente do campo ChangeType nos registros do CEF como um rótulo. |
ChangeType | sec_result.summary | Mapeado diretamente do campo change_type quando presente nos registros. |
cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Mapeado diretamente dos campos cs1 e cs1Label nos registros do CEF como um rótulo. |
cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Mapeado diretamente dos campos cs2 e cs2Label nos registros do CEF como um rótulo. |
cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Mapeado diretamente dos campos cs3 e cs3Label nos registros do CEF como um rótulo. |
cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Mapeado diretamente dos campos cs4 e cs4Label nos registros do CEF como um rótulo. |
cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Mapeado diretamente dos campos cs5 e cs5Label nos registros do CEF como um rótulo. |
cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Mapeado diretamente dos campos cs6 e cs6Label nos registros do CEF como um rótulo. |
datetime | metadata.event_timestamp | Analisado e convertido em carimbo de data/hora de vários formatos, como "MMM d HH:mm:ss" e "aaaa-MM-dd HH:mm:ss". |
device_event_class_id | principal.resource.product_object_id | Mapeado diretamente do campo device_event_class_id nos registros do CEF. |
device_product | metadata.product_name | Mapeado diretamente do campo device_product nos registros do CEF. |
device_vendor | metadata.vendor_name | Mapeado diretamente do campo device_vendor nos registros do CEF. |
device_version | metadata.product_version | Mapeado diretamente do campo device_version nos registros do CEF. |
dhost | target.hostname | Mapeado diretamente do campo dhost nos registros do CEF. |
duser | target.user.userid | Mapeado diretamente do campo duser nos registros do CEF. |
dvc | principal.ip | Mapeado diretamente do campo dvc nos registros do CEF. |
elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Mapeado diretamente dos campos elementOID e elementOIDLabel nos registros do CEF como um rótulo. |
event_name | metadata.product_event_type | Mapeado diretamente do campo event_name nos registros do CEF. |
FileName | principal.process.file.full_path | Mapeado diretamente do campo FileName nos registros do CEF. |
fname | target.file.full_path | Mapeado diretamente do campo fname nos registros do CEF. |
HostName | principal.hostname | Mapeado diretamente do campo HostName quando desc contém "TE:". |
licurl | about.url | Mapeado diretamente do campo licurl nos registros do CEF. |
log_level | security_result.severity | Mapeado do campo log_level . "Informação" se torna "INFORMATIONAL", "Aviso" se torna "MEDIUM", "Erro" se torna "ERROR" e "Crítico" se torna "CRITICAL". |
LogUser | principal.user.userid OU target.user.userid | É associado a principal.user.userid se event_type não estiver vazio e não for "USER_LOGIN" e principal_user estiver vazio. Caso contrário, será mapeado para target.user.userid . Também extraído do campo desc quando ele começa com "Msg="User". |
MD5 | target.file.md5 | Mapeado diretamente do campo MD5 nos registros do CEF quando não está vazio ou "Não disponível". |
Msg | security_result.description | Mapeado diretamente do campo Msg quando desc contém "TE:". Extraídos do campo desc em vários cenários com base em category e outros campos. |
NodeIp | target.ip | Mapeado diretamente do campo NodeIp quando desc contém "TE:". |
NodeName | target.hostname | Mapeado diretamente do campo NodeName quando desc contém "TE:". |
Tipo de SO | principal.platform | Mapeado do campo OS-Type . "WINDOWS" (sem distinção entre maiúsculas e minúsculas) se torna "WINDOWS", e "Solaris" (sem distinção entre maiúsculas e minúsculas) se torna "LINUX". |
principal_user | principal.user.userid OU target.user.userid | Extraídos do campo message quando ele contém "CN=". Processado para remover "CN=", parênteses e espaços finais. É mapeado para principal.user.userid se event_type não for "USER_UNCATEGORIZED". Caso contrário, será mapeado para target.user.userid . Também extraído do campo desc na categoria "Evento de auditoria". |
principal_user | principal.user.group_identifiers | Extraídos de principal_user quando ldap_details não está vazio e contém "OU=". |
principal_user | principal.administrative_domain | A parte do domínio é extraída de principal_user quando corresponde ao padrão %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} . |
product_logid | metadata.product_log_id | Mapeado diretamente do campo product_logid quando desc contém "TE:". |
rt | metadata.event_timestamp | Analisado e convertido em carimbo de data/hora dos formatos "MMM dd yyyy HH:mm:ss" e "MM dd yyyy HH:mm:ss ZZZ". |
SHA-1 | target.file.sha256 | O valor após "After=" é extraído do campo SHA-1 e mapeado. |
Tamanho | target.file.size | O valor após "After=" é extraído do campo Size , mapeado e convertido em um número inteiro sem sinal. |
software_update | target.resource.name | Mapeado diretamente do campo software_update quando não está vazio. |
source_hostname | principal.hostname | Mapeado diretamente do campo source_hostname quando desc contém "TE:". |
source_ip | principal.ip | Mapeado diretamente do campo source_ip quando desc contém "TE:". |
sproc | src.process.command_line | Mapeado diretamente do campo sproc nos registros do CEF. |
start | target.resource.attribute.creation_time | Analisado e convertido em carimbo de data/hora do formato "MMM d yyyy HH:mm:ss". |
target_hostname | target.hostname | Mapeado diretamente do campo target_hostname , quando presente. |
target_ip | target.ip | Mapeado diretamente do campo target_ip , quando presente. |
tempo | metadata.event_timestamp | Analisado do campo temp_data usando o formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
timezone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Mapeado diretamente dos campos timezone e timezoneLabel nos registros do CEF como um rótulo. Objeto about vazio criado quando licurl está vazio ou "Indisponível". Objeto auth vazio criado em extensions quando event_type é "USER_LOGIN". Definir como "STATUS_UNCATEGORIZED" como um valor padrão se event_type não for definido por nenhuma outra lógica ou se event_type for "NETWORK_CONNECTION" e target_hostname e target_ip estiverem vazios. Definido como "TRIPWIRE_FIM". Definido como "Monitoramento de integridade de arquivos" como um valor padrão, substituído por device_product , se presente. Defina como "TRIPWIRE". Defina como "PERMITIR" como um valor padrão. "BLOCK" em determinados cenários com base no conteúdo category e desc . |
Alterações
2023-06-21
- Adição de gsub para processar registros de formato CEF.
2023-06-07
- Adicionamos um padrão Grok para processar registros formatados CEF.
2022-06-14
- Correção de bugs: - Adicionamos um novo grok para analisar logs do tipo "HKEY_" sem espaço entre regestry_key e value.
- Adição de uma verificação de validação para target_hostname ou target_ip antes do mapeamento de event_type para NETWORK_CONNECTION.
- Adição de verificação de nulos para o nome de usuário antes do mapeamento para o UDM.