Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Tanium Insight 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Tanium Insight 記錄擷取至 Google Security Operations。

Tanium Insight 是端點可視性和事件應變模組，可針對端點事件、檔案完整性監控、程序執行、網路連線和登錄檔變更產生系統記錄訊息。剖析器會從 Syslog 格式的鍵/值記錄檔中擷取欄位，並將這些欄位對應至統合式資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Tanium Console 之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Tanium Console 的管理員權限

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/tanium_insight:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: TANIUM_INSIGHT
        raw_log_field: body

service:
    pipelines:
        logs/tanium_insight_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/tanium_insight

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Tanium Insight 上設定系統記錄轉送功能

以管理員權限登入 Tanium Console。
依序前往「模組」>「連結」>「總覽」。
選取「建立連線」。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google SecOps Insight Integration)。
- 說明：這項連線的選填說明。
- 來源：選取 Tanium Insight 來源 (例如 Insight 模組中儲存的報表)。
- 目的地：選取「Socket (SIEM) / Syslog」。
- 主機：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號 (例如 514)。
- 傳輸：選取「UDP」。
- 格式：選取「Syslog RFC 5424」(KV 格式)。
- 時區：選取世界標準時間時區，確保全球一致性。
建議：在「設定輸出」>「欄」中，新增洞察欄位並將其格式設為 key=value 配對。
按一下「儲存」即可開始轉寄。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`timestamp`	`metadata.event_timestamp`	已剖析為 `ISO8601`
`Question`	`metadata.product_name`	已對應：`Chronicle-Patch-Applicability` → `Patch`
`product_name`	`metadata.product_name`	直接對應
`Question`	`metadata.vendor_name`	已對應：`Chronicle-Patch-Applicability` → `Tanium Patch`
`Question`	`security_result`	對應：`Chronicle-Patch-Applicability` → `title`、`Chronicle-Patch-Applicability` → `last_r...
`cves`	`security_result`	已合併
`knowledge_base`	`security_result`	已合併
`last_reboot`	`security_result`	已合併
`title`	`security_result`	已合併
`category`	`security_result.category`	已合併
`Computer-Name`	`target.hostname`	直接對應
`group_name`	`target.user.group_identifiers`	已合併
`userid`	`target.user.userid`	直接對應
不適用	`metadata.event_type`	常數：`SCAN_HOST`
不適用	`metadata.product_name`	常數：`Patch`
不適用	`metadata.vendor_name`	常數：`Tanium Patch`

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。