Collecter les journaux Tanium Question

Compatible avec :

Ce document explique comment ingérer les journaux Tanium Question dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Les journaux Tanium Question contiennent des métadonnées d'exécution de requêtes, des informations d'audit et des données de résultats de questions au format JSON, qui peuvent être exportées directement vers S3 à l'aide de Tanium Connect sans nécessiter de fonctions Lambda personnalisées.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Tanium Core Platform 7.0 ou version ultérieure
  • Module Tanium Interact pour la gestion des questions
  • Module Tanium Connect installé avec une licence valide
  • Accès privilégié à la console Tanium avec droits d'administrateur
  • Accès privilégié à AWS (S3, IAM)

Configurer le compte de service d'audit des questions Tanium

  1. Connectez-vous à la console Tanium.
  2. Accédez à Administration > Global Settings (Administration > Paramètres globaux).
  3. Accédez aux paramètres Question Audit (Audit des questions).
  4. Configurez la journalisation d'audit pour capturer les métadonnées d'exécution des questions.
  5. Assurez-vous que le compte de service dispose des autorisations d'accès d'audit appropriées.

Collecter les prérequis de Tanium Question

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Permissions > Users (Administration > Autorisations > Utilisateurs).

  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :

    • Rôle Question Author (Auteur de questions) ou Administrator (Administrateur) pour l'accès aux questions
    • Privilège de rôle Connect User (Utilisateur Connect)
    • Autorisation Read Saved Question (Lire la question enregistrée) pour les ensembles de contenu d'audit
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe All Computers (Tous les ordinateurs))

Configurer le bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, tanium-question-logs).
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Security credentials (Identifiants de sécurité).
  6. Cliquez sur Create Access Key (Créer une clé d'accès) dans la section Access Keys (Clés d'accès).
  7. Sélectionnez Third-party service (Service tiers) comme Use case (Cas d'utilisation).
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Create access key (Créer une clé d'accès).
  11. Cliquez sur Download CSV file (Télécharger le fichier CSV) pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Add permissions (Ajouter des autorisations) dans la section Permissions policies (Règles d'autorisation).
  15. Sélectionnez Add permissions (Ajouter des autorisations).
  16. Sélectionnez Attach policies directly (Joindre directement des règles).
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Add permissions (Ajouter des autorisations).

Configurer la destination AWS S3 de Tanium Connect

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Name (Nom) : saisissez un nom descriptif (par exemple, Question Audit to S3 for SecOps).
    • Description : description facultative (par exemple, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
    • Enable (Activer) : sélectionnez cette option pour que la connexion s'exécute selon une planification.
  5. Cliquez sur Suivant.

Configurer la source de la connexion

  1. Dans la section Source, fournissez les informations de configuration suivantes :
    • Source Type (Type de source) : sélectionnez Saved Question (Question enregistrée).
    • Saved Question (Question enregistrée) : sélectionnez l'une des questions enregistrées liées à l'audit des questions suivantes :
      • Question Log (Journal des questions) pour l'historique d'exécution des questions
      • Action History (Historique des actions) pour les actions administratives et le déploiement des questions
      • User Activity (Activité de l'utilisateur) pour l'interaction de l'utilisateur avec les questions
      • System Status (État du système) pour les métriques de performances de la plate-forme
    • Computer Group (Groupe d'ordinateurs) : sélectionnez All Computers (Tous les ordinateurs) ou des groupes d'ordinateurs spécifiques à surveiller.
    • Refresh Interval (Intervalle d'actualisation) : définissez l'intervalle approprié pour la collecte de données (par exemple, 30 minutes).
  2. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Dans la section Destination, fournissez les informations de configuration suivantes :
    • Destination Type (Type de destination) : sélectionnez AWS S3.
    • Destination Name (Nom de la destination) : saisissez un nom unique (par exemple, Google SecOps Question S3 Destination).
    • AWS Access Key (Clé d'accès AWS) : saisissez la clé d'accès AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • AWS Secret Access Key (Clé d'accès secrète AWS) : saisissez la clé d'accès secrète AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Bucket Name (Nom du bucket) : saisissez le nom de votre bucket S3 (par exemple, tanium-question-logs).
    • Region (Région) : sélectionnez la région AWS dans laquelle se trouve votre bucket S3.
    • Key Prefix (Préfixe de clé) : saisissez un préfixe pour les objets S3 (par exemple, tanium/question/).
  2. Cliquez sur Suivant.

Configurer les filtres

  1. Dans la section Filters (Filtres), configurez les options de filtrage des données :
    • Send new items only (Envoyer uniquement les nouveaux éléments) : sélectionnez cette option pour n'envoyer que les nouvelles données de questions depuis la dernière exportation.
    • Column filters (Filtres de colonnes) : ajoutez des filtres basés sur des attributs de questions spécifiques si nécessaire (par exemple, filtrez par type de question, utilisateur ou état d'exécution).
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Dans la section Format, configurez le format des données :
    • Format : sélectionnez JSON.
    • Options:
      • Include headers (Inclure les en-têtes) : désélectionnez cette option pour éviter les en-têtes dans la sortie JSON.
      • Include empty cells (Inclure les cellules vides) : sélectionnez cette option selon vos préférences.
    • Advanced Options (Options avancées)
      • File naming (Nommage des fichiers) : utilisez le nommage par défaut basé sur l'horodatage.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage et le temps de transfert.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Schedule (Planification), configurez la planification de l'exportation :
    • Enable schedule (Activer la planification) : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Schedule type (Type de planification) : sélectionnez Recurring (Récurrente).
    • Frequency (Fréquence) : sélectionnez Every 30 minutes (Toutes les 30 minutes) pour l'exportation régulière des données d'audit des questions.
    • Start time (Heure de début) : définissez l'heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et vérifier la connexion

  1. Vérifiez la configuration de la connexion dans l'écran de résumé.
  2. Cliquez sur Save (Enregistrer) pour créer la connexion.
  3. Cliquez sur Test Connection (Tester la connexion) pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Run Now (Exécuter maintenant) pour effectuer une exportation initiale.
  5. Surveillez l'état de la connexion sur la page Connect Overview (Présentation de Connect).

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Question

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur + Add New Feed (+ Ajouter un flux).
  3. Dans le champ Feed name (Nom du flux), saisissez un nom pour le flux (par exemple, Tanium Question logs).
  4. Sélectionnez Amazon S3 V2 comme Source type (Type de source).
  5. Sélectionnez Tanium Question comme Log type (Type de journal).
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • S3 URI: s3://tanium-question-logs/tanium/question/
    • Source deletion options (Options de suppression de la source) : sélectionnez l'option de suppression de votre choix.
    • Maximum File Age (Âge maximal du fichier) : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Access Key ID (ID de clé d'accès) : clé d'accès de l'utilisateur avec accès au bucket S3.
    • Secret Access Key (Clé d'accès secrète) : clé secrète de l'utilisateur avec accès au bucket S3.
    • Asset namespace (Espace de noms de l'élément) : l'espace de noms de l'élément.
    • Ingestion labels (Libellés d'ingestion) : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finalize (Finaliser), puis cliquez sur Submit (Envoyer).

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.