Collecter les journaux Tanium Question

Compatible avec :

Ce document explique comment ingérer les journaux Tanium Question dans Google Security Operations à l'aide de la fonctionnalité d'exportation AWS S3 native de Tanium Connect. Les journaux Tanium Question contiennent des métadonnées d'exécution de requêtes, des informations d'audit et des données de résultats de questions au format JSON, qui peuvent être exportées directement vers S3 à l'aide de Tanium Connect sans nécessiter de fonctions Lambda personnalisées.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Plate-forme Tanium Core 7.0 ou version ultérieure
  • Module Tanium Interact pour la gestion des questions
  • Module Tanium Connect installé avec une licence valide
  • Accès privilégié à la console Tanium avec droits d'administrateur
  • Accès privilégié à AWS (S3, IAM)

Configurer le compte de service d'audit des questions Tanium

  1. Connectez-vous à la console Tanium.
  2. Accédez à Administration > Paramètres généraux.
  3. Accédez aux paramètres Audit des questions.
  4. Configurez la journalisation d'audit pour capturer les métadonnées d'exécution des questions.
  5. Assurez-vous que le compte de service dispose des autorisations d'accès d'audit appropriées.

Collecter les prérequis de Tanium Question

  1. Connectez-vous à la console Tanium en tant qu'administrateur.
  2. Accédez à Administration > Autorisations > Utilisateurs.

  3. Créez ou identifiez un utilisateur de compte de service avec les rôles suivants :

    • Rôle Auteur de la question ou Administrateur pour l'accès aux questions
    • Privilège de rôle Utilisateur Connect
    • Autorisation Lire la question enregistrée pour les ensembles de contenu d'audit
    • Accès aux groupes d'ordinateurs surveillés (recommandé : groupe Tous les ordinateurs)

Configurer le bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, tanium-question-logs).
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Identifiants de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la destination AWS S3 de Tanium Connect

  1. Connectez-vous à la console Tanium.
  2. Accédez à Modules > Connect.
  3. Cliquez sur Créer une connexion.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Question Audit to S3 for SecOps).
    • Description : description facultative (par exemple, Export question execution and audit data to AWS S3 for Google SecOps ingestion).
    • Activer : sélectionnez cette option pour que la connexion s'exécute selon une planification.
  5. Cliquez sur Suivant.

Configurer la source de la connexion

  1. Dans la section Source, fournissez les informations de configuration suivantes :
    • Type de source : sélectionnez Question enregistrée.
    • Question enregistrée : sélectionnez l'une des questions enregistrées liées à l'audit des questions suivantes :
      • Journal des questions pour l'historique d'exécution des questions
      • Historique des actions pour les actions administratives et le déploiement des questions
      • Activité de l'utilisateur pour l'interaction de l'utilisateur avec les questions
      • État du système pour les métriques de performances de la plate-forme
    • Groupe d'ordinateurs : sélectionnez Tous les ordinateurs ou des groupes d'ordinateurs spécifiques à surveiller.
    • Intervalle d'actualisation : définissez l'intervalle approprié pour la collecte de données (par exemple, 30 minutes).
  2. Cliquez sur Suivant.

Configurer la destination AWS S3

  1. Dans la section Destination, fournissez les informations de configuration suivantes :
    • Type de destination : sélectionnez AWS S3.
    • Nom de la destination : saisissez un nom unique (par exemple, Google SecOps Question S3 Destination).
    • Clé d'accès AWS : saisissez la clé d'accès AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Clé d'accès secrète AWS : saisissez la clé d'accès secrète AWS à partir du fichier CSV téléchargé lors de l'étape de configuration d'AWS S3.
    • Nom du bucket : saisissez le nom de votre bucket S3 (par exemple, tanium-question-logs).
    • Région : sélectionnez la région AWS dans laquelle se trouve votre bucket S3.
    • Préfixe de clé : saisissez un préfixe pour les objets S3 (par exemple, tanium/question/).
  2. Cliquez sur Suivant.

Configurer les filtres

  1. Dans la section Filtres, configurez les options de filtrage des données :
    • Envoyer uniquement les nouveaux éléments : sélectionnez cette option pour n'envoyer que les nouvelles données de questions depuis la dernière exportation.
    • Filtres de colonnes : ajoutez des filtres basés sur des attributs de questions spécifiques si nécessaire (par exemple, filtrez par type de question, utilisateur ou état d'exécution).
  2. Cliquez sur Suivant.

Mettre en forme les données pour AWS S3

  1. Dans la section Format, configurez le format des données :
    • Format : sélectionnez JSON.
    • Options:
      • Inclure les en-têtes : désélectionnez cette option pour éviter les en-têtes dans la sortie JSON.
      • Inclure les cellules vides : sélectionnez cette option selon vos préférences.
    • Options avancées:
      • Nommage des fichiers : utilisez le nommage par défaut basé sur l'horodatage.
      • Compression : sélectionnez Gzip pour réduire les coûts de stockage et le temps de transfert.
  2. Cliquez sur Suivant.

Planifier la connexion

  1. Dans la section Planification, configurez la planification de l'exportation :
    • Activer la planification : sélectionnez cette option pour activer les exportations automatiques planifiées.
    • Type de planification : sélectionnez Récurrente.
    • Fréquence : sélectionnez Toutes les 30 minutes pour l'exportation régulière des données d'audit des questions.
    • Heure de début : définissez l'heure de début appropriée pour la première exportation.
  2. Cliquez sur Suivant.

Enregistrer et vérifier la connexion

  1. Vérifiez la configuration de la connexion dans l'écran de résumé.
  2. Cliquez sur Enregistrer pour créer la connexion.
  3. Cliquez sur Tester la connexion pour vérifier la configuration.
  4. Si le test réussit, cliquez sur Exécuter maintenant pour effectuer une exportation initiale.
  5. Surveillez l'état de la connexion sur la page Présentation de Connect.

Configurer un flux dans Google SecOps pour ingérer les journaux Tanium Question

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Tanium Question logs).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Tanium Question comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3: s3://tanium-question-logs/tanium/question/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal du fichier : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur avec accès au bucket S3.
    • Clé d'accès secrète : clé secrète utilisateur avec accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Journal des modifications

Consulter le journal des modifications de ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.