Coletar registros do Tanium Integrity Monitor

Este documento explica como ingerir registros do Tanium Integrity Monitor no Google Security Operations usando a funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Integrity Monitor produz eventos de monitoramento de integridade de arquivos e registros no formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. O analisador primeiro extrai campos como "computer_name", "process_path" e "change_type" do campo "message" dos registros JSON do Tanium Integrity Monitor usando a correspondência de padrões. Em seguida, ele estrutura esses campos extraídos e alguns campos JSON analisados diretamente no formato do modelo de dados unificado (UDM), processando campos de valor único e múltiplo.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Acesso privilegiado ao Tanium Console com os módulos Integrity Monitor e Connect instalados
• Acesso privilegiado à AWS (S3, IAM)

Coletar pré-requisitos do Tanium Integrity Monitor

1. Faça login no Tanium Console como administrador.
2. Acesse Administration > Permissions > Users.
3. Crie ou identifique um usuário da conta de serviço com os seguintes papéis:
   • Papel de conta de serviço do Integrity Monitor.
   • Privilégio de papel de usuário do Connect.
   • Acesso a grupos de computadores monitorados (recomendado: grupo Todos os computadores).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

1. Crie o bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket
2. Salve o nome e a região do bucket para referência futura (por exemplo, tanium-integrity-monitor-logs).
3. Crie um usuário seguindo este guia do usuário: Criar um usuário do IAM.
4. Selecione o usuário criado.
5. Selecione a guia Credenciais de segurança.
6. Clique em Criar chave de acesso na seção Chaves de acesso.
7. Selecione Serviço de terceiros como o caso de uso.
8. Clique em Próxima.
9. Opcional: adicione uma tag de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para uso posterior.
12. Clique em Concluído.
13. Selecione a guia Permissões.
14. Clique em Adicionar permissões na seção Políticas de permissões.
15. Selecione Adicionar permissões.
16. Selecione Anexar políticas diretamente.
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clique em Próxima.
19. Clique em Adicionar permissões.

Configurar o destino do AWS S3 do Tanium Connect

1. Faça login no Tanium Console.
2. Acesse Modules > Connect.
3. Clique em Criar conexão.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo (por exemplo, Integrity Monitor to S3 for SecOps).
   • Descrição: descrição opcional (por exemplo, Export IM events to AWS S3 for Google SecOps ingestion).
   • Ativar: selecione para ativar a conexão para execução programada.
5. Clique em Próxima.

Configurar a origem da conexão

1. Selecione Eventos do Integrity Monitor como o tipo de origem.
2. Informe os seguintes detalhes de configuração:
   • Origem: selecione Integrity Monitor - Monitor Events.
   • Conta de serviço: a conexão vai usar a conta de serviço do Tanium Connect configurada nas configurações do Integrity Monitor.
   • Monitor: selecione Todos os monitores ou escolha monitores específicos para exportar.
   • Tipos de evento: selecione os tipos de evento a serem incluídos:
     • Eventos de arquivo: inclui eventos de criação, modificação e exclusão de arquivos.
     • Eventos de registro: inclui alterações de chave de registro (somente no Windows).
     • Eventos de permissão: inclui alterações de permissão de arquivo.
   • Incluir eventos marcados: selecione para incluir eventos com marcadores.
   • Incluir eventos não marcados: selecione para incluir eventos sem marcadores.
3. Clique em Próxima.

Configurar o destino do AWS S3

1. Selecione AWS S3 como o tipo de destino.
2. Informe os seguintes detalhes de configuração:
   • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps S3 Destination).
   • Chave de acesso da AWS: insira a chave de acesso da AWS da etapa anterior.
   • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS da etapa anterior.
   • Nome do bucket: insira o nome do bucket S3 (por exemplo, tanium-integrity-monitor-logs).
   • Região: selecione a região da AWS em que o bucket S3 está localizado.
   • Prefixo da chave: insira um prefixo para os objetos S3 (por exemplo, tanium/integrity-monitor/).
   • Configurações avançadas:
     • Nomeação de arquivos: selecione Nomeação baseada em data e hora.
     • Formato do arquivo: selecione Linhas JSON para ingestão ideal do Google SecOps.
     • Compactação: selecione Gzip para reduzir os custos de armazenamento.
3. Clique em Próxima.

Opcional: configurar filtros

1. Configure filtros de dados, se necessário:
   • Somente novos itens: selecione para enviar apenas novos eventos desde a última exportação.
   • Filtros de eventos: adicione filtros com base em atributos de eventos se uma filtragem específica for necessária.
   • Filtros de grupo de computadores: selecione grupos de computadores específicos, se necessário.
2. Clique em Próxima.

Formatar dados para o AWS S3

1. Configure o formato de dados:
   • Formato: selecione JSON.
   • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
   • Mapeamentos de campo: use mapeamentos de campo padrão ou personalize conforme necessário.
   • Formato de carimbo de data/hora: selecione o formato ISO 8601 para representação de tempo consistente.
2. Clique em Próxima.

Programar a conexão

1. Na seção Programação, configure a programação de exportação:
   • Ativar programação: selecione para ativar exportações programadas automáticas.
   • Tipo de programação: selecione Recorrente.
   • Frequência: selecione Por hora para exportação de dados regular.
   • Horário de início: defina o horário de início adequado para a primeira exportação.
2. Clique em Próxima.

Salvar e verificar a conexão

1. Revise a configuração da conexão na tela de resumo.
2. Clique em Salvar para criar a conexão.
3. Clique em Testar conexão para verificar a configuração.
4. Se o teste for bem-sucedido, clique em Executar agora para realizar uma exportação inicial.
5. Monitore o status da conexão na página Visão geral do Connect.

Configurar um feed no Google SecOps para ingerir registros do Tanium Integrity Monitor

1. Acesse Configurações do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Tanium Integrity Monitor logs).
4. Selecione Amazon S3 V2 como o tipo de origem.
5. Selecione Tanium Integrity Monitor como o tipo de registro.
6. Clique em Próxima.
7. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: s3://tanium-integrity-monitor-logs/tanium/integrity-monitor/
   • Opções de exclusão de origem: selecione a opção de exclusão de acordo com sua preferência.
   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é 180 dias.
   • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket S3.
   • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket S3.
   • Namespace do recurso: o namespace do recurso.
   • Marcadores de ingestão: o marcador aplicado aos eventos desse feed.
8. Clique em Próxima.
9. Revise a nova configuração de feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.