Raccogliere i log di Tanium Patch

Supportato in:

Questo documento spiega come importare i log di Tanium Patch in Google Security Operations utilizzando la funzionalità di esportazione AWS S3 nativa di Tanium Connect. Tanium Patch produce dati di deployment delle patch, conformità e vulnerabilità in formato JSON, che possono essere esportati direttamente in S3 utilizzando Tanium Connect senza richiedere funzioni Lambda personalizzate. Il parser trasforma i dati JSON di valutazione nel modello UDM (Unified Data Model) di Google SecOps. Innanzitutto, normalizza i nomi delle chiavi, estrae i dati dalla struttura JSON e poi mappa i campi pertinenti agli attributi UDM, inclusi i dettagli delle vulnerabilità, le informazioni sui risultati di sicurezza e i dettagli degli asset come il nome host e il sistema operativo.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Tanium Core Platform 7.0 o versioni successive
  • Modulo Tanium Patch installato e configurato
  • Modulo Tanium Connect installato con licenza valida
  • Accesso privilegiato alla Tanium Console con diritti di amministratore
  • Accesso privilegiato ad AWS (S3, IAM)

Configurare il account di servizio di Tanium Patch

  1. Accedi alla Tanium Console.
  2. Vai a Modules > Patch.
  3. Fai clic su Settings (Impostazioni) in alto a destra.
  4. Nella sezione Service Account (Service account), configura quanto segue:
    • Service Account User (Utente service account): seleziona un utente con le autorizzazioni Patch appropriate.
    • Verifica che l'account disponga del privilegio del ruolo Utente Connect.
  5. Fai clic su Save (Salva) per applicare la configurazione del account di servizio.

Raccogliere i prerequisiti di Tanium Patch

  1. Accedi alla Tanium Console come amministratore.
  2. Vai a Administration > Permissions > Users (Amministrazione > Autorizzazioni > Utenti).

  3. Crea o identifica un utente del account di servizio con i seguenti ruoli:

    • Ruolo Patch Administrator (Amministratore patch) o Patch Read Only User (Utente con accesso in sola lettura alle patch).
    • Privilegio del ruolo Connect User (Utente Connect).
    • Accesso ai gruppi di computer monitorati (consigliato: gruppo All Computers (Tutti i computer)).

Configurare il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creare un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, tanium-patch-logs).
  3. Crea un utente seguendo questa guida utente: Creare un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Security credentials (Credenziali di sicurezza).
  6. Fai clic su Create Access Key (Crea chiave di accesso) nella sezione Access Keys (Chiavi di accesso).
  7. Seleziona Third-party service (Servizio di terze parti) come Use case (Caso d'uso).
  8. Fai clic su Next (Avanti).
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Create access key (Crea chiave di accesso).
  11. Fai clic su Download CSV file (Scarica file CSV) per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo futuro.
  12. Fai clic su Done (Fine).
  13. Seleziona la scheda Permissions (Autorizzazioni).
  14. Fai clic su Add permissions (Aggiungi autorizzazioni) nella sezione Permissions policies (Criteri di autorizzazione).
  15. Seleziona Add permissions (Aggiungi autorizzazioni).
  16. Seleziona Attach policies directly (Collega i criteri direttamente).
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Next (Avanti).
  19. Fai clic su Add permissions (Aggiungi autorizzazioni).

Configurare la destinazione AWS S3 di Tanium Connect

  1. Accedi alla Tanium Console.
  2. Vai a Modules > Connect.
  3. Fai clic su Create Connection (Crea connessione).
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Patch Data to S3 for SecOps).
    • Description (Descrizione): descrizione facoltativa (ad esempio, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Enable (Attiva): seleziona questa opzione per consentire l'esecuzione della connessione in base alla pianificazione.
  5. Fai clic su Next (Avanti).

Configurare l'origine della connessione

  1. Nella sezione Source (Origine), fornisci i seguenti dettagli di configurazione:
    • Source Type (Tipo di origine): seleziona Saved Question (Domanda salvata).
    • Saved Question (Domanda salvata): seleziona una delle seguenti domande salvate relative alle patch:
      • Patch - Deployment Results (Patch - Risultati del deployment) per lo stato del deployment delle patch.
      • Patch - Missing Patches (Patch - Patch mancanti) per i dati di conformità delle vulnerabilità.
      • Patch - Installed Patches (Patch - Patch installate) per l'inventario delle patch installate.
      • Patch - Patch List (Patch - Elenco patch) per lo stato completo delle patch.
    • Computer Group (Gruppo di computer): seleziona All Computers (Tutti i computer) o gruppi di computer specifici da monitorare.
    • Refresh Interval (Intervallo di aggiornamento): imposta un intervallo appropriato per la raccolta dei dati (ad esempio, 1 hour (1 ora)).
  2. Fai clic su Next (Avanti).

Configurare la destinazione AWS S3

  1. Nella sezione Destination (Destinazione), fornisci i seguenti dettagli di configurazione:
    • Destination Type (Tipo di destinazione): seleziona AWS S3.
    • Destination Name (Nome della destinazione): inserisci un nome univoco (ad esempio, Google SecOps Patch S3 Destination).
    • Chiave di accesso AWS: inserisci la chiave di accesso AWS dal file CSV scaricato nel passaggio di configurazione di AWS S3.
    • Chiave di accesso segreta AWS: inserisci la chiave di accesso segreta AWS dal file CSV scaricato nel passaggio di configurazione di AWS S3.
    • Bucket Name (Nome del bucket): inserisci il nome del bucket S3 (ad esempio, tanium-patch-logs).
    • Region (Regione): seleziona la regione AWS in cui si trova il bucket S3.
    • Key Prefix (Prefisso della chiave): inserisci un prefisso per gli oggetti S3 (ad esempio, tanium/patch/).
  2. Fai clic su Next (Avanti).

Configurare i filtri

  1. Nella sezione Filters (Filtri), configura le opzioni di filtro dei dati:
    • Send new items only (Invia solo i nuovi elementi): seleziona questa opzione per inviare solo i nuovi risultati dall'ultima esportazione.
    • Column filters (Filtri delle colonne): se necessario, aggiungi filtri in base ad attributi di patch specifici (ad esempio, filtra in base alla gravità della patch, allo stato del deployment).
  2. Fai clic su Next (Avanti).

Formattare i dati per AWS S3

  1. Nella sezione Format (Formato), configura il formato dei dati:
    • Format (Formato): seleziona JSON.
    • Options (Opzioni):
      • Include headers (Includi intestazioni): deseleziona questa opzione per evitare le intestazioni nell'output JSON.
      • Include empty cells (Includi celle vuote): seleziona questa opzione in base alle tue preferenze.
    • Advanced Options (Opzioni avanzate):
      • File naming (Denominazione dei file): utilizza la denominazione predefinita basata sul timestamp.
      • Compression (Compressione): seleziona Gzip per ridurre i costi di archiviazione e il tempo di trasferimento.
  2. Fai clic su Next (Avanti).

Pianificare la connessione

  1. Nella sezione Schedule (Pianificazione), configura la pianificazione dell'esportazione:
    • Enable schedule (Attiva pianificazione): seleziona questa opzione per attivare le esportazioni automatiche pianificate.
    • Schedule type (Tipo di pianificazione): seleziona Recurring (Ricorrente).
    • Frequency (Frequenza): seleziona Hourly (Ogni ora) per l'esportazione regolare dei dati delle patch.
    • Start time (Ora di inizio): imposta un'ora di inizio appropriata per la prima esportazione.
  2. Fai clic su Next (Avanti).

Salvare e verificare la connessione

  1. Esamina la configurazione della connessione nella schermata di riepilogo.
  2. Fai clic su Save (Salva) per creare la connessione.
  3. Fai clic su Test Connection (Verifica connessione) per verificare la configurazione.
  4. Se il test ha esito positivo, fai clic su Run Now (Esegui ora) per eseguire un'esportazione iniziale.
  5. Monitora lo stato della connessione nella pagina Connect Overview (Panoramica di Connect).

Configurare un feed in Google SecOps per importare i log di Tanium Patch

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Add New Feed (+ Aggiungi nuovo feed).
  3. Nel campo Feed name (Nome del feed), inserisci un nome per il feed (ad esempio, Tanium Patch logs).
  4. Seleziona Amazon S3 V2 come Source type (Tipo di origine).
  5. Seleziona Tanium Patch come Log type (Tipo di log).
  6. Fai clic su Next (Avanti).
  7. Specifica i valori per i seguenti parametri di input:
    • S3 URI: s3://tanium-patch-logs/tanium/patch/
    • Source deletion options (Opzioni di eliminazione dell'origine): seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Maximum File Age (Età massima del file): includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • Access Key ID (ID chiave di accesso): chiave di accesso utente con accesso al bucket S3.
    • Secret Access Key (Chiave di accesso segreta): chiave segreta utente con accesso al bucket S3.
    • Asset namespace (Spazio dei nomi dell'asset): lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Next (Avanti).
  9. Esamina la nuova configurazione del feed nella schermata Finalize (Finalizza) e poi fai clic su Submit (Invia).

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
Bollettini principal.asset.vulnerabilities.vendor_vulnerability_id Il valore viene ricavato dal campo "Bollettini" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è "Nessuno", il campo non viene mappato.
ComputerName principal.hostname Il valore viene ricavato dal campo "ComputerName" nel log non elaborato.
ComputerName principal.asset.hostname Il valore viene ricavato dal campo "ComputerName" nel log non elaborato.
CVEIDs principal.asset.vulnerabilities.cve_id Il valore viene ricavato dal campo "CVEIDs" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è "Nessuno", il campo non viene mappato.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id Il valore viene ricavato dal campo "KBArticles" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è vuoto, il campo non viene mappato.
KBArticles security_result.summary Il valore viene ricavato dal campo "KBArticles" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è vuoto, il campo non viene mappato.
OSType principal.asset.platform_software.platform Se il valore contiene "Windows", la piattaforma viene impostata su "WINDOWS". Se il valore contiene "Linux", la piattaforma viene impostata su "LINUX". Se il valore contiene "Mac", la piattaforma viene impostata su "MAC".
Severity principal.asset.vulnerabilities.severity Il valore viene ricavato dal campo "Severity" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è "Critico", la gravità viene impostata su "ALTA". Se il valore è "Importante", la gravità viene impostata su "MEDIA". In caso contrario, la gravità viene impostata su "UNKNOWN_SEVERITY".
Severity principal.asset.vulnerabilities.severity_details Il valore viene ricavato dal campo "Severity" nel log non elaborato, per l'indice corrispondente del campo "Titolo". Se il valore è "Critico" o "Importante", i dettagli della gravità vengono impostati sul valore del log non elaborato.
Title principal.asset.vulnerabilities.name Il valore viene ricavato dal campo "Titolo" nel log non elaborato.
Title security_result.description Il valore viene ricavato dal campo "Titolo" nel log non elaborato, per l'indice corrispondente del campo "InstallStatus". Se il valore di "InstallStatus" non è "Installed", la descrizione viene impostata sul valore del log non elaborato.
- metadata.event_timestamp Il valore viene ricavato dal campo "create_time" nel log non elaborato.
- metadata.event_type Il valore viene impostato su "SCAN_HOST".
- metadata.log_type Il valore viene ricavato dal campo "log_type" nel log non elaborato.
- metadata.product_name Il valore viene impostato su "Patch".
- metadata.vendor_name Il valore viene impostato su "Tanium".
- principal.asset.vulnerabilities.vendor Il valore viene impostato su "Tanium".
- security_result.category Il valore viene impostato su "DATA_AT_REST".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.