Tanium Question のログを収集する

以下でサポートされています。

このドキュメントでは、Tanium Connect のネイティブ AWS S3 エクスポート機能を使用して、Tanium Question ログを Google Security Operations に取り込む方法について説明します。Tanium Question ログには、クエリ実行メタデータ、監査情報、質問結果データが JSON 形式で含まれています。Tanium Connect を使用して、カスタム Lambda 関数を必要とせずに S3 に直接エクスポートできます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Tanium Core Platform 7.0 以降
  • 質問管理用の Tanium Interact モジュール
  • 有効なライセンスでインストールされた Tanium Connect モジュール
  • 管理者権限を持つ Tanium Console への特権アクセス
  • AWS(S3、IAM)への特権アクセス。

Tanium question audit サービス アカウントを構成する

  1. Tanium Console にログインします。
  2. [Administration> Global Settings] に移動します。
  3. [質問監査] 設定に移動します。
  4. 質問の実行メタデータをキャプチャするように監査ロギングを構成します。
  5. サービス アカウントに適切な監査アクセス権限があることを確認します。

Tanium Question の前提条件を収集する

  1. 管理者として Tanium Console にログインします。
  2. [管理> 権限 > ユーザー] に移動します。

  3. 次のロールを持つサービス アカウント ユーザーを作成または特定します。

    • 質問にアクセスするには、質問作成者または管理者のロールが必要です。
    • Connect User ロールの権限。
    • 監査コンテンツ セットの保存済み質問の読み取り権限。
    • 監視対象のパソコン グループへのアクセス(推奨: [すべてのパソコン] グループ)。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: tanium-question-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Tanium Connect の AWS S3 の宛先を構成する

  1. Tanium Console にログインします。
  2. [モジュール] > [接続] に移動します。
  3. [接続を作成] をクリックします。
  4. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Question Audit to S3 for SecOps)。
    • 説明: 省略可能な説明(例: Export question execution and audit data to AWS S3 for Google SecOps ingestion)。
    • 有効: スケジュールどおりに接続を実行するには、このオプションを選択します。
  5. [次へ] をクリックします。

接続元を構成する

  1. [ソース] セクションで、次の構成の詳細を指定します。
    • Source Type: [Saved Question] を選択します。
    • 保存された質問: 次の質問監査関連の保存された質問のいずれかを選択します。
      • 質問の実行履歴の Question Log
      • 管理操作と質問の展開の操作履歴
      • 質問に対するユーザーの操作に関するユーザー アクティビティ
      • プラットフォームのパフォーマンス指標の [システム ステータス]。
    • コンピュータ グループ: 監視する [すべてのコンピュータ] または特定のコンピュータ グループを選択します。
    • 更新間隔: データ収集に適した間隔(30 分など)を設定します。
  2. [次へ] をクリックします。

AWS S3 の宛先を構成する

  1. [送信先] セクションで、次の構成の詳細を指定します。
    • 宛先の種類: [AWS S3] を選択します。
    • 宛先名: 一意の名前(Google SecOps Question S3 Destination など)を入力します。
    • AWS アクセスキー: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS アクセスキーを入力します。
    • AWS Secret Access Key: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS シークレット アクセスキーを入力します。
    • バケット名: S3 バケット名(tanium-question-logs など)を入力します。
    • リージョン: S3 バケットが配置されている AWS リージョンを選択します。
    • キー接頭辞: S3 オブジェクトの接頭辞(tanium/question/ など)を入力します。
  2. [次へ] をクリックします。

フィルタを構成する

  1. [フィルタ] セクションで、データ フィルタリング オプションを構成します。
    • 新しいアイテムのみを送信: このオプションを選択すると、前回のエクスポート以降の新しい質問データのみが送信されます。
    • 列フィルタ: 必要に応じて、特定の質問属性に基づいてフィルタを追加します(質問タイプ、ユーザー、実行ステータスなどでフィルタします)。
  2. [次へ] をクリックします。

AWS S3 用にデータをフォーマットする

  1. [形式] セクションで、データ形式を構成します。
    • 形式: [JSON] を選択します。
    • オプション:
      • ヘッダーを含める: JSON 出力にヘッダーを含めない場合は、選択を解除します。
      • 空白のセルを含める: 必要に応じて選択します。
    • 詳細オプション:
      • ファイル命名: デフォルトのタイムスタンプ ベースの命名を使用します。
      • 圧縮: ストレージ コストと転送時間を削減するには、[Gzip] を選択します。
  2. [次へ] をクリックします。

接続をスケジュールする

  1. [スケジュール] セクションで、エクスポート スケジュールを構成します。
    • スケジュールを有効にする: 自動スケジュール設定エクスポートを有効にする場合に選択します。
    • スケジュール タイプ: [繰り返し] を選択します。
    • 頻度: 定期的な質問監査データのエクスポートには、[30 分ごと] を選択します。
    • 開始時間: 最初のエクスポートの適切な開始時間を設定します。
  2. [次へ] をクリックします。

接続を保存して検証する

  1. 概要画面で接続構成を確認します。
  2. [Save] をクリックして接続を作成します。
  3. [接続をテスト] をクリックして、構成を確認します。
  4. テストが成功したら、[今すぐ実行] をクリックして初回のエクスポートを実行します。
  5. [Connect の概要] ページで接続ステータスをモニタリングします。

Tanium Question のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tanium Question logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Tanium Question] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tanium-question-logs/tanium/question/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。