Collecter les journaux Tailscale

Compatible avec :

Ce document explique comment ingérer des journaux Tailscale dans Google Security Operations à l'aide de la fonctionnalité native de diffusion de journaux Amazon S3 de Tailscale. Tailscale génère des données opérationnelles sous forme de journaux d'audit de configuration et de journaux de flux réseau. Cette intégration utilise la fonctionnalité de diffusion S3 intégrée de Tailscale pour envoyer automatiquement ces journaux à Google SecOps à des fins d'analyse et de surveillance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à la console d'administration Tailscale (rôle de propriétaire, d'administrateur, d'administrateur réseau ou d'administrateur informatique)
  • Accès privilégié à AWS (S3, IAM)

Collecter les prérequis Tailscale (informations sur le tailnet)

  1. Connectez-vous à la console d'administration Tailscale.
  2. Notez le nom de votre tailnet (par exemple, example.com ou le nom de votre organisation).
  3. Assurez-vous de disposer du forfait requis :
    • Diffusion de journaux d'audit de configuration : disponible avec les forfaits Personal, Personal Plus et Enterprise.
    • Diffusion de journaux de flux réseau : disponible uniquement avec le forfait Enterprise.

Configurer le bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, tailscale-logs).
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Security credentials (Identifiants de sécurité).
  6. Cliquez sur Create Access Key (Créer une clé d'accès) dans la section Access Keys (Clés d'accès).
  7. Sélectionnez Third-party service (Service tiers) comme Use case (Cas d'utilisation).
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Create access key (Créer une clé d'accès).
  11. Cliquez sur Download CSV file (Télécharger le fichier CSV) pour enregistrer la clé d'accès et la clé d'accès secrète en vue d'une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Permissions (Autorisations).
  14. Cliquez sur Add permissions (Ajouter des autorisations) dans la section Permissions policies (Règles d'autorisation).
  15. Sélectionnez Add permissions (Ajouter des autorisations).
  16. Sélectionnez Attach policies directly (Joindre directement des règles).
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Add permissions (Ajouter des autorisations).

Configurer la règle et le rôle IAM pour les importations S3

  1. Dans la console AWS, accédez à IAM > Policies > Create policy > JSON tab (IAM > Règles > Créer une règle > Onglet JSON).

  2. Saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • Remplacez tailscale-logs si vous avez saisi un autre nom de bucket.

  3. Cliquez sur Next > Create policy (Suivant > Créer une règle).

  4. Accédez à IAM > Roles > Create role > Custom trust policy (IAM > Rôles > Créer un rôle > Règle d'approbation personnalisée).

  5. Saisissez la règle d'approbation suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • Remplacez YOUR_TAILNET_NAME par le nom réel de votre tailnet.

  6. Cliquez sur Suivant.

  7. Joignez la règle créée à l'étape 1.

  8. Nommez le rôle TailscaleS3StreamingRole, puis cliquez sur Create role (Créer un rôle).

  9. Copiez l'ARN du rôle pour l'utiliser dans la configuration Tailscale.

Configurer la diffusion native de journaux S3 de Tailscale

Configurer la diffusion de journaux d'audit de configuration

  1. Dans la console d'administration Tailscale, accédez à Logs > Configuration logs (Journaux > Journaux de configuration).
  2. Cliquez sur Start streaming (Démarrer la diffusion).
  3. Sélectionnez Amazon S3 comme destination.
  4. Fournissez les détails de configuration suivants :
    • AWS Account ID (ID de compte AWS) : votre ID de compte AWS.
    • S3 Bucket Name (Nom du bucket S3) : tailscale-logs.
    • Role ARN (ARN du rôle) : ARN du rôle IAM que vous avez créé.
    • S3 Key Prefix (Préfixe de clé S3) : tailscale/configuration/ (facultatif).
  5. Cliquez sur Start streaming (Démarrer la diffusion).
  6. Vérifiez que l'état indique Active (Actif).

Configurer la diffusion de journaux de flux réseau (forfait Enterprise uniquement)

  1. Si ce n'est pas déjà fait, accédez à Settings > Network flow logs (Paramètres > Journaux de flux réseau) et activez les journaux de flux réseau pour votre tailnet.
  2. Accédez à Logs > Network flow logs (Journaux > Journaux de flux réseau).
  3. Cliquez sur Start streaming (Démarrer la diffusion).
  4. Sélectionnez Amazon S3 comme destination.
  5. Fournissez les détails de configuration suivants :
    • AWS Account ID (ID de compte AWS) : votre ID de compte AWS.
    • S3 Bucket Name (Nom du bucket S3) : tailscale-logs.
    • Role ARN (ARN du rôle) : ARN du rôle IAM que vous avez créé.
    • S3 Key Prefix (Préfixe de clé S3) : tailscale/network/ (facultatif).
  6. Cliquez sur Start streaming (Démarrer la diffusion).
  7. Vérifiez que l'état indique Active (Actif).

Facultatif : Créer un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Dans la console AWS , accédez à IAM > Users > Add users (IAM > Utilisateurs > Ajouter des utilisateurs).
  2. Cliquez sur Add users (Ajouter des utilisateurs).
  3. Fournissez les détails de configuration suivants :
    • User (Utilisateur) : secops-reader
    • Access type (Type d'accès) : Access key — Programmatic access (Clé d'accès – Accès automatisé)
  4. Cliquez sur Create user (Créer un utilisateur).
  5. Joignez une règle de lecture minimale (personnalisée) : Users > secops-reader > Permissions > Add permissions > Attach policies directly > Create policy (Utilisateurs > secops-reader > Autorisations > Ajouter des autorisations > Joindre directement des règles > Créer une règle).

  6. Dans l'éditeur JSON, saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. Définissez le nom sur secops-reader-policy.

  8. Accédez à Create policy > search/select > Next > Add permissions (Créer une règle > Rechercher/sélectionner > Suivant > Ajouter des autorisations).

  9. Accédez à Security credentials > Access keys > Create access key (Identifiants de sécurité > Clés d'accès > Créer une clé d'accès).

  10. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux Tailscale

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur + Add New Feed (+ Ajouter un flux).
  3. Dans le champ Feed name (Nom du flux), saisissez un nom pour le flux (par exemple, Tailscale logs).
  4. Sélectionnez Amazon S3 V2 comme Source type (Type de source).
  5. Sélectionnez Tailscale comme Log type (Type de journal).
  6. Cliquez sur Suivant.
  7. Spécifiez des valeurs pour les paramètres d'entrée suivants :
    • S3 URI (URI S3) : s3://tailscale-logs/tailscale/
    • Source deletion options (Options de suppression de la source) : sélectionnez l'option de suppression de votre choix.
    • Maximum File Age (Ancienneté maximale des fichiers) : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Access Key ID (ID de clé d'accès) : clé d'accès utilisateur avec accès au bucket S3.
    • Secret Access Key (Clé d'accès secrète) : clé secrète utilisateur avec accès au bucket S3.
    • Asset namespace (Espace de noms de l'élément) : l'espace de noms de l'élément.
    • Ingestion labels (Libellés d'ingestion) : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finalize (Finaliser), puis cliquez sur Submit (Envoyer).

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.