Coletar registros do Tanium Patch

Compatível com:

Este documento explica como ingerir registros do Tanium Patch no Google Security Operations usando a funcionalidade de exportação nativa do AWS S3 do Tanium Connect. O Tanium Patch produz dados de implantação, conformidade e vulnerabilidade de patches no formato JSON, que podem ser exportados diretamente para o S3 usando o Tanium Connect sem exigir funções Lambda personalizadas. O analisador transforma os dados JSON de avaliação no modelo de dados unificado (UDM) do Google SecOps. Primeiro, ele normaliza os nomes das chaves, extrai dados da estrutura JSON e, em seguida, mapeia os campos relevantes para atributos do UDM, incluindo detalhes de vulnerabilidade, informações de resultados de segurança e detalhes de recursos, como nome do host e sistema operacional.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Tanium Core Platform 7.0 ou mais recente
  • Módulo Tanium Patch instalado e configurado
  • Módulo Tanium Connect instalado com licença válida
  • Acesso privilegiado ao Tanium Console com direitos administrativos
  • Acesso privilegiado à AWS (S3, IAM)

Configurar a conta de serviço do Tanium Patch

  1. Faça login no Tanium Console.
  2. Acesse Modules > Patch.
  3. Clique em Settings no canto superior direito.
  4. Na seção Service Account, configure o seguinte:
    • Service Account User: selecione um usuário com as permissões de patch adequadas.
    • Verifique se a conta tem o privilégio de função de usuário do Connect.
  5. Clique em Save para aplicar a configuração da conta de serviço.

Coletar pré-requisitos do Tanium Patch

  1. Faça login no Tanium Console como administrador.
  2. Acesse Administration > Permissions > Users.

  3. Crie ou identifique um usuário da conta de serviço com as seguintes funções:

    • Função Patch Administrator ou Patch Read Only User.
    • Privilégio de função de usuário do Connect.
    • Acesso a grupos de computadores monitorados (recomendado: grupo All Computers).

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

  1. Crie o bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket
  2. Salve o nome e a região do bucket para referência futura (por exemplo, tanium-patch-logs).
  3. Crie um usuário seguindo este guia do usuário: Criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Security credentials.
  6. Clique em Create Access Key na seção Access Keys.
  7. Selecione Third-party service como o Use case.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Download CSV file para salvar a Access Key e a Secret Access Key para uso posterior.
  12. Clique em Concluído.
  13. Selecione a guia Permissions.
  14. Clique em Add permissions na seção Permissions policies.
  15. Selecione Add permissions.
  16. Selecione Attach policies directly
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões.

Configurar o destino do AWS S3 do Tanium Connect

  1. Faça login no Tanium Console.
  2. Acesse Modules > Connect.
  3. Clique em Criar conexão.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo (por exemplo, Patch Data to S3 for SecOps).
    • Descrição: descrição opcional (por exemplo, Export Patch compliance and deployment data to AWS S3 for Google SecOps ingestion).
    • Habilitar: selecione para ativar a conexão para execução programada.
  5. Clique em Próxima.

Configurar a origem da conexão

  1. Na seção Source, forneça os seguintes detalhes de configuração:
    • Source Type: selecione Saved Question.
    • Pergunta salva: selecione uma das seguintes perguntas salvas relacionadas ao patch:
      • Patch - Deployment Results para o status de implantação do patch.
      • Patch - Missing Patches para dados de conformidade de vulnerabilidade.
      • Patch - Installed Patches para inventário de patches instalados.
      • Patch - Patch List para status abrangente do patch.
    • Computer Group: selecione All Computers ou grupos de computadores específicos para monitorar.
    • Intervalo de atualização: defina o intervalo adequado para a coleta de dados (por exemplo, 1 hora).
  2. Clique em Próxima.

Configurar o destino do AWS S3

  1. Na seção Destination, forneça os seguintes detalhes de configuração:
    • Destination Type: selecione AWS S3.
    • Nome do destino: insira um nome exclusivo (por exemplo, Google SecOps Patch S3 Destination).
    • Chave de acesso da AWS: insira a chave de acesso da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Chave de acesso secreta da AWS: insira a chave de acesso secreta da AWS do arquivo CSV baixado na etapa de configuração do AWS S3.
    • Nome do bucket: insira o nome do bucket S3 (por exemplo, tanium-patch-logs).
    • Região: selecione a região da AWS em que o bucket S3 está localizado.
    • Prefixo da chave: insira um prefixo para os objetos S3 (por exemplo, tanium/patch/).
  2. Clique em Próxima.

Configurar filtros

  1. Na seção Filters, configure as opções de filtragem de dados:
    • Enviar apenas novos itens: selecione essa opção para enviar apenas os novos resultados desde a última exportação.
    • Filtros de coluna: adicione filtros com base em atributos de patch específicos, se necessário (por exemplo, filtre por gravidade do patch, status de implantação).
  2. Clique em Próxima.

Formatar dados para o AWS S3

  1. Na seção Format, configure o formato dos dados:
    • Formato: selecione JSON.
    • Options:
      • Incluir cabeçalhos: desmarque para evitar cabeçalhos na saída JSON.
      • Incluir células vazias: selecione com base na sua preferência.
    • Advanced Options:
      • Nomenclatura de arquivo: use a nomenclatura padrão baseada em carimbo de data/hora.
      • Compressão: selecione Gzip para reduzir os custos de armazenamento e o tempo de transferência.
  2. Clique em Próxima.

Programar a conexão

  1. Na seção Schedule, configure a programação de exportação:
    • Enable schedule: selecione para ativar as exportações programadas automáticas.
    • Schedule type: selecione Recurring.
    • Frequência: selecione Hourly para exportação regular de dados de patch.
    • Horário de início: defina o horário de início adequado para a primeira exportação.
  2. Clique em Próxima.

Salvar e verificar a conexão

  1. Revise a configuração da conexão na tela de resumo.
  2. Clique em Salvar para criar a conexão.
  3. Clique em Test Connection para verificar a configuração.
  4. Se o teste for bem-sucedido, clique em Run Now para realizar uma exportação inicial.
  5. Monitore o status da conexão na página Connect Overview.

Configurar um feed no Google SecOps para ingerir registros do Tanium Patch

  1. Acesse SIEM Settings > Feeds.
  2. Clique em + Add New Feed.
  3. No campo Feed name, insira um nome para o feed (por exemplo, Tanium Patch logs).
  4. Selecione Amazon S3 V2 como o Source type.
  5. Selecione Tanium Patch como o Log type.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • S3 URI: s3://tanium-patch-logs/tanium/patch/
    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com sua preferência.
    • Maximum File Age: inclua arquivos modificados no último número de dias. O padrão é 180 dias.
    • Access Key ID: chave de acesso do usuário com acesso ao bucket S3.
    • Secret Access Key: chave secreta do usuário com acesso ao bucket S3.
    • Asset namespace: O namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a nova configuração de feed na tela Finalize e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Bulletins principal.asset.vulnerabilities.vendor_vulnerability_id O valor é extraído do campo "Bulletins" no registro bruto, para o índice correspondente do campo "Title". Se o valor for "None", o campo não será mapeado.
ComputerName principal.hostname O valor é extraído do campo "ComputerName" no registro bruto.
ComputerName principal.asset.hostname O valor é extraído do campo "ComputerName" no registro bruto.
CVEIDs principal.asset.vulnerabilities.cve_id O valor é extraído do campo "CVEIDs" no registro bruto, para o índice correspondente do campo "Title". Se o valor for "None", o campo não será mapeado.
KBArticles principal.asset.vulnerabilities.vendor_knowledge_base_article_id O valor é extraído do campo "KBArticles" no registro bruto, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não será mapeado.
KBArticles security_result.summary O valor é extraído do campo "KBArticles" no registro bruto, para o índice correspondente do campo "Title". Se o valor estiver vazio, o campo não será mapeado.
OSType principal.asset.platform_software.platform Se o valor contiver "Windows", a plataforma será definida como "WINDOWS". Se o valor contiver "Linux", a plataforma será definida como "LINUX". Se o valor contiver "Mac", a plataforma será definida como "MAC".
Severity principal.asset.vulnerabilities.severity O valor é extraído do campo "Severity" no registro bruto, para o índice correspondente do campo "Title". Se o valor for "Critical", a gravidade será definida como "HIGH". Se o valor for "Important", a gravidade será definida como "MEDIUM". Caso contrário, a gravidade será definida como "UNKNOWN_SEVERITY".
Severity principal.asset.vulnerabilities.severity_details O valor é extraído do campo "Severity" no registro bruto, para o índice correspondente do campo "Title". Se o valor for "Critical" ou "Important", os detalhes de gravidade serão definidos como o valor do registro bruto.
Title principal.asset.vulnerabilities.name O valor é extraído do campo "Title" no registro bruto.
Title security_result.description O valor é extraído do campo "Title" no registro bruto, para o índice correspondente do campo "InstallStatus". Se o valor "InstallStatus" não for "Installed", a descrição será definida como o valor do registro bruto.
- metadata.event_timestamp O valor é extraído do campo "create_time" no registro bruto.
- metadata.event_type O valor é definido como "SCAN_HOST".
- metadata.log_type O valor é extraído do campo "log_type" no registro bruto.
- metadata.product_name O valor é definido como "Patch".
- metadata.vendor_name O valor é definido como "Tanium".
- principal.asset.vulnerabilities.vendor O valor é definido como "Tanium".
- security_result.category O valor é definido como "DATA_AT_REST".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.