收集 Tanium Integrity Monitor 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Tanium Connect 的原生 AWS S3 导出功能将 Tanium Integrity Monitor 日志注入到 Google Security Operations。Tanium Integrity Monitor 以 JSON 格式生成文件和注册表完整性监控事件,这些事件可使用 Tanium Connect 直接导出到 S3,而无需自定义 Lambda 函数。解析器首先使用模式匹配从 Tanium Integrity Monitor JSON 日志的“message”字段中提取“computer_name”“process_path”和“change_type”等字段。然后,它将这些提取的字段和一些直接解析的 JSON 字段构建为统一数据模型 (UDM) 格式,同时处理单值字段和多值字段。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 对安装了 Integrity Monitor 和 Connect 模块的 Tanium 控制台的特权访问权限
- 对 AWS (S3、IAM) 的特权访问权限
收集 Tanium Integrity Monitor 前提条件
- 以管理员身份登录 Tanium Console。
- 依次前往管理 > 权限 > 用户。
- 创建或确定具有以下角色的服务账号用户:
- 完整性监控服务账号角色。
- 连接用户角色权限。
- 对受监控的计算机群组的访问权限(建议:所有计算机群组)。
为 Google SecOps 配置 AWS S3 存储桶和 IAM
- 按照以下用户指南创建 Amazon S3 存储桶:创建存储桶
- 保存存储桶名称和区域以供日后参考(例如
tanium-integrity-monitor-logs)。 - 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 在访问密钥部分中,点击创建访问密钥。
- 选择第三方服务作为使用情形。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击下载 CSV 文件,保存访问密钥和不公开的访问密钥以供日后使用。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策
- 搜索并选择 AmazonS3FullAccess 政策。
- 点击下一步。
- 点击添加权限。
配置 Tanium Connect AWS S3 目标
- 登录 Tanium 控制台。
- 依次前往模块 > 连接。
- 点击 Create Connection。
- 提供以下配置详细信息:
- 名称:输入一个描述性名称(例如
Integrity Monitor to S3 for SecOps)。 - 说明:可选说明(例如
Export IM events to AWS S3 for Google SecOps ingestion)。 - 启用:选择此选项可启用连接,以便按计划运行。
- 名称:输入一个描述性名称(例如
- 点击下一步。
配置连接来源
- 选择完整性监控事件作为来源类型。
- 提供以下配置详细信息:
- 来源:选择 Integrity Monitor - Monitor Events。
- 服务账号:连接将使用在 Integrity Monitor 设置中配置的 Tanium Connect 服务账号。
- 监控器:选择所有监控器或选择要导出的特定监控器。
- 活动类型:选择要纳入的活动类型:
- 文件事件:包括文件创建、修改、删除事件。
- 注册表事件:包括注册表项更改(仅限 Windows)。
- 权限事件:包括文件权限更改。
- 包含带标签的活动:选择此选项可包含带标签的活动。
- 包含未添加标签的活动:选择此项可包含未添加标签的活动。
- 点击下一步。
配置 AWS S3 目标位置
- 选择 AWS S3 作为目标类型。
- 提供以下配置详细信息:
- 目标名称:输入一个唯一名称(例如
Google SecOps S3 Destination)。 - AWS 访问密钥:输入上一步中的 AWS 访问密钥。
- AWS 私有访问密钥:输入上一步中的 AWS 私有访问密钥。
- 存储桶名称:输入您的 S3 存储桶名称(例如
tanium-integrity-monitor-logs)。 - 区域:选择您的 S3 存储桶所在的 AWS 区域。
- 键前缀:输入 S3 对象的前缀(例如
tanium/integrity-monitor/)。 - 高级设置:
- 文件命名:选择基于日期和时间的命名。
- 文件格式:选择 JSON Lines,以便 Google SecOps 能够以最佳方式提取数据。
- 压缩:选择 Gzip 可降低存储费用。
- 目标名称:输入一个唯一名称(例如
- 点击下一步。
可选:配置过滤条件
- 根据需要配置数据过滤器:
- 仅限新项目:选择此选项可仅发送自上次导出以来的新活动。
- 活动过滤条件:如果需要进行特定过滤,请根据活动属性添加过滤条件。
- 计算机组过滤条件:根据需要选择特定的计算机组。
- 点击下一步。
为 AWS S3 设置数据格式
- 配置数据格式:
- 格式:选择 JSON。
- 包含标题:取消选择可避免在 JSON 输出中包含标题。
- 字段映射:使用默认字段映射或根据需要进行自定义。
- 时间戳格式:选择 ISO 8601 格式,以确保时间表示形式一致。
- 点击下一步。
安排连接
- 在时间表部分,配置导出时间表:
- 启用时间表:选择此选项可启用自动定时导出。
- 安排类型:选择周期性。
- 频率:选择每小时以定期导出数据。
- 开始时间:为首次导出设置适当的开始时间。
- 点击下一步。
保存并验证连接
- 查看摘要屏幕中的连接配置。
- 点击保存以创建连接。
- 点击测试连接以验证配置。
- 如果测试成功,请点击立即运行以执行初始导出。
- 在论坛概览页面中监控连接状态。
在 Google SecOps 中配置 Feed 以注入 Tanium Integrity Monitor 日志
- 依次前往 SIEM 设置 > Feed。
- 点击 + 添加新 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Tanium Integrity Monitor logs)。 - 选择 Amazon S3 V2 作为来源类型。
- 选择 Tanium Integrity Monitor 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- S3 URI:
s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/ - 源删除选项:根据您的偏好选择删除选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
- 私有访问密钥:有权访问 S3 存储桶的用户私有密钥。
- 资产命名空间:资产命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- S3 URI:
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 计算机名称 | principal.hostname | 直接从原始日志中的“计算机名称”字段映射。 |
| 计数 | additional.fields.value.string_value | 直接从原始日志中的“Count”字段映射。 |
| CreateNewFile | security_result.category_details | 当原始日志中的“更改类型”字段的值为“CreateNewFile”时,直接从该字段映射。 |
| 哈希 | target.file.sha256 | 直接从原始日志中的“Hash”字段映射。 |
| “没有与过滤条件相符的活动” | security_result.about.labels.value | 当原始日志中的“ID”字段的值为“No events matched the filters”时,直接从该字段映射。 |
| additional.fields.key | 由解析器硬编码为“Count”。 | |
| metadata.event_timestamp | 使用原始日志中的 create_time 字段填充。 |
|
| metadata.event_type | 当成功提取“principal_hostname”字段时,由解析器逻辑设置为“STATUS_UPDATE”。 | |
| metadata.log_type | 由解析器硬编码为“TANIUM_INTEGRITY_MONITOR”。 | |
| metadata.product_name | 由解析器硬编码为“Tanium Integrity Monitor”。 | |
| metadata.vendor_name | 由解析器硬编码为“Tanium Integrity Monitor”。 | |
| security_result.about.labels.key | 由解析器硬编码为“ID”。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。