收集 Tripwire 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Tripwire 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 TRIPWIRE_FIM 注入标签的解析器。
配置 Tripwire Enterprise
- 使用管理员凭据登录 Tripwire Enterprise 网站控制台。
- 如需修改日志管理设置,请点击设置标签页。
- 依次选择 Tripwire > System > Log management。
- 在日志管理偏好设置窗口中,执行以下操作:
- 选中将 TE 日志消息转发到 syslog 复选框。
- 在 TCP 主机字段中,输入 Google 安全运营转发器的 IP 地址或主机名。
- 在 TCP 端口字段中,输入用于通过 TCP 发送日志消息的端口。
- 如需测试配置,请点击测试连接。
- 如需保存更改,请点击应用。
配置 Google Security Operations 转发器以提取 Tripwire 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一的名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择触发器作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议 (TCP)。
- 地址:指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
概览:此解析器会从 Tripwire 文件完整性管理器 (FIM) syslog 消息中提取字段,并将其标准化为 UDM 格式。它可处理各种日志类别,包括系统事件、安全事件、更改和审核,并将其映射到相应的 UDM 事件类型,还会使用用户信息、受影响的资源和安全结果等详细信息来丰富数据。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AffectedHost | principal.hostname | 直接从 CEF 日志中的 AffectedHost 字段映射。 |
| AffectedIP | principal.ip | 直接从 CEF 日志中的 AffectedIP 字段映射。 |
| AppType | target.file.full_path | 如果 desc 包含“HKEY”且存在 AppType,则直接从 AppType 字段映射。 |
| ChangeType | target.resource.attribute.labels.key:更改类型 target.resource.attribute.labels.value:%{ChangeType} |
直接从 CEF 日志中的 ChangeType 字段作为标签进行映射。 |
| ChangeType | sec_result.summary | 直接从日志中的 change_type 字段映射。 |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
直接从 CEF 日志中的 cs1 和 cs1Label 字段作为标签进行映射。 |
| cs2 | target.resource.attribute.labels.key:cs2Label target.resource.attribute.labels.value:cs2 |
直接从 CEF 日志中的 cs2 和 cs2Label 字段作为标签进行映射。 |
| cs3 | target.resource.attribute.labels.key:cs3Label target.resource.attribute.labels.value:cs3 |
直接从 CEF 日志中的 cs3 和 cs3Label 字段作为标签进行映射。 |
| cs4 | target.resource.attribute.labels.key:cs4Label target.resource.attribute.labels.value:cs4 |
直接从 CEF 日志中的 cs4 和 cs4Label 字段作为标签进行映射。 |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
直接从 CEF 日志中的 cs5 和 cs5Label 字段作为标签进行映射。 |
| cs6 | target.resource.attribute.labels.key:cs6Label target.resource.attribute.labels.value:cs6 |
直接从 CEF 日志中的 cs6 和 cs6Label 字段作为标签进行映射。 |
| datetime | metadata.event_timestamp | 解析并将各种格式(例如“MMM d HH:mm:ss”“yyyy-MM-dd HH:mm:ss”)转换为时间戳。 |
| device_event_class_id | principal.resource.product_object_id | 直接从 CEF 日志中的 device_event_class_id 字段映射。 |
| device_product | metadata.product_name | 直接从 CEF 日志中的 device_product 字段映射。 |
| device_vendor | metadata.vendor_name | 直接从 CEF 日志中的 device_vendor 字段映射。 |
| device_version | metadata.product_version | 直接从 CEF 日志中的 device_version 字段映射。 |
| dhost | target.hostname | 直接从 CEF 日志中的 dhost 字段映射。 |
| duser | target.user.userid | 直接从 CEF 日志中的 duser 字段映射。 |
| dvc | principal.ip | 直接从 CEF 日志中的 dvc 字段映射。 |
| elementOID | target.resource.attribute.labels.key:elementOIDLabel target.resource.attribute.labels.value:elementOID |
直接从 CEF 日志中的 elementOID 和 elementOIDLabel 字段作为标签进行映射。 |
| event_name | metadata.product_event_type | 直接从 CEF 日志中的 event_name 字段映射。 |
| FileName | principal.process.file.full_path | 直接从 CEF 日志中的 FileName 字段映射。 |
| fname | target.file.full_path | 直接从 CEF 日志中的 fname 字段映射。 |
| HostName | principal.hostname | 当 desc 包含“TE:”时,直接从 HostName 字段映射。 |
| licurl | about.url | 直接从 CEF 日志中的 licurl 字段映射。 |
| log_level | security_result.severity | 从 log_level 字段映射而来。“信息”变为“INFORMATIONAL”“警告”变为“MEDIUM”“错误”变为“ERROR”“严重”变为“CRITICAL”。 |
| LogUser | principal.user.userid 或 target.user.userid | 如果 event_type 不为空且不为“USER_LOGIN”,并且 principal_user 为空,则映射到 principal.user.userid。否则,映射到 target.user.userid。如果 desc 字段以“Msg="User"”开头,系统也会从中提取用户 ID。 |
| MD5 | target.file.md5 | 直接从 CEF 日志中的 MD5 字段映射(前提是该字段不为空或不为“Not available”)。 |
| Msg | security_result.description | 当 desc 包含“TE:”时,直接从 Msg 字段映射。根据 category 和其他字段,在各种场景中从 desc 字段中提取。 |
| NodeIp | target.ip | 当 desc 包含“TE:”时,直接从 NodeIp 字段映射。 |
| NodeName | target.hostname | 当 desc 包含“TE:”时,直接从 NodeName 字段映射。 |
| OS-Type | principal.platform | 从 OS-Type 字段映射而来。“WINDOWS”(不区分大小写)会变为“WINDOWS”,“Solaris”(不区分大小写)会变为“LINUX”。 |
| principal_user | principal.user.userid 或 target.user.userid | 从包含“CN=" 的 message 字段中提取。经过处理,移除了“CN="、圆括号和尾随空格。如果 event_type 不是“USER_UNCATEGORIZED”,则映射到 principal.user.userid。否则,映射到 target.user.userid。还会从“审核事件”类别中的 desc 字段中提取。 |
| principal_user | principal.user.group_identifiers | 如果 ldap_details 不为空且包含“OU=",则从 principal_user 中提取。 |
| principal_user | principal.administrative_domain | 当 principal_user 与模式 %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} 匹配时,系统会从中提取域名部分。 |
| product_logid | metadata.product_log_id | 当 desc 包含“TE:”时,直接从 product_logid 字段映射。 |
| rt | metadata.event_timestamp | 解析并将格式为“MMM dd yyyy HH:mm:ss”和“MM dd yyyy HH:mm:ss ZZZ”的时间戳转换为时间戳。 |
| SHA-1 | target.file.sha256 | 系统会从 SHA-1 字段中提取“After=”后面的值并进行映射。 |
| 大小 | target.file.size | 系统会从 Size 字段中提取“After=”后面的值,进行映射并转换为无符号整数。 |
| software_update | target.resource.name | 直接从 software_update 字段映射(如果该字段不为空)。 |
| source_hostname | principal.hostname | 当 desc 包含“TE:”时,直接从 source_hostname 字段映射。 |
| source_ip | principal.ip | 当 desc 包含“TE:”时,直接从 source_ip 字段映射。 |
| sproc | src.process.command_line | 直接从 CEF 日志中的 sproc 字段映射。 |
| start | target.resource.attribute.creation_time | 解析并转换为格式为“MMM d yyyy HH:mm:ss”的时间戳。 |
| target_hostname | target.hostname | 直接从 target_hostname 字段(如果存在)映射。 |
| target_ip | target.ip | 直接从 target_ip 字段(如果存在)映射。 |
| 时间 | metadata.event_timestamp | 使用以下格式从 temp_data 字段解析出:<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*。 |
| timezone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
直接从 CEF 日志中的 timezone 和 timezoneLabel 字段作为标签进行映射。当 licurl 为空或为“不可用”时创建的空 about 对象。当 event_type 为“USER_LOGIN”时,在 extensions 中创建的空 auth 对象。如果未通过任何其他逻辑设置 event_type,或者 event_type 为“NETWORK_CONNECTION”且 target_hostname 和 target_ip 均为空,则将其设置为“STATUS_UNCATEGORIZED”作为默认值。设置为“TRIPWIRE_FIM”。默认值设为“文件完整性监控”,会被 device_product(如果存在)替换。设置为“TRIPWIRE”。默认值设为“允许”。在某些情况下,根据 category 和 desc 内容设置为“屏蔽”。 |
变化
2023-06-21
- 添加了 gsub 来处理 CEF 格式日志。
2023-06-07
- 添加了 Grok 模式来处理 CEF 格式的日志。
2022-06-14
- bug 修复:- 添加了新的 Grok 来解析“HKEY_”类型日志,其中 regestry_key 和 value 之间没有空格。
- 在将 event_type 映射到 NETWORK_CONNECTION 之前,添加了对 target_hostname 或 target_ip 的验证检查。
- 在映射到 udm 之前,添加了对用户名的 null 检查。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。