收集 Tripwire 記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 Google Security Operations 轉送器收集 Tripwire 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 TRIPWIRE_FIM 攝入標籤的剖析器。
設定 Tripwire Enterprise
- 使用管理員憑證登入 Tripwire Enterprise 網路控制台。
- 如要編輯「記錄管理」設定,請按一下「設定」分頁標籤。
- 依序選取「Tripwire」>「系統」>「記錄管理」。
- 在「Log management preferences」視窗中執行下列操作:
- 勾選「將 TE 記錄訊息轉送至 syslog」核取方塊。
- 在「TCP 主機」欄位中輸入 Google 安全作業轉送器的 IP 位址或主機名稱。
- 在「TCP 通訊埠」欄位中,輸入透過 TCP 傳送記錄訊息的通訊埠。
- 如要測試設定,請按一下「測試連線」。
- 如要儲存變更,請按一下「套用」。
設定 Google Security Operations 轉送器,以便擷取 Tripwire 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉介者名稱」欄位中,輸入轉介者的專屬名稱。
- 按一下「提交」。系統會新增轉送器,並顯示「Add collector configuration」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Tripwire」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- Protocol:指定收集器用來監聽 syslog 資料的連線通訊協定 (TCP)。
- Address:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽 Syslog 資料。
- Port:指定收集器所在位置,並監聽 syslog 資料。
- 點選「提交」。
如要進一步瞭解 Google Security Operations 轉送程式,請參閱「透過 Google Security Operations UI 管理轉送程式設定」。
如果在建立轉送器時遇到問題,請與 Google 安全作業支援團隊聯絡。
欄位對應參考資料
簡介:這個剖析器會從 Tripwire 檔案完整性管理工具 (FIM) syslog 訊息中擷取欄位,並將這些欄位正規化為 UDM 格式。它會處理各種記錄類別,包括系統事件、安全性事件、變更和稽核,並將這些項目對應至相應的 UDM 事件類型,並透過使用者資訊、受影響的資源和安全性結果等詳細資料,強化資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| AffectedHost | principal.hostname | 直接從 CEF 記錄中的 AffectedHost 欄位對應。 |
| AffectedIP | principal.ip | 直接從 CEF 記錄中的 AffectedIP 欄位對應。 |
| AppType | target.file.full_path | 當 desc 包含「HKEY」且 AppType 存在時,直接從 AppType 欄位對應。 |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
直接從 CEF 記錄中的 ChangeType 欄位,以標籤形式進行對應。 |
| ChangeType | sec_result.summary | 直接從記錄中的 change_type 欄位對應。 |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
直接從 CEF 記錄中的 cs1 和 cs1Label 欄位,以標籤形式進行對應。 |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
直接從 CEF 記錄中的 cs2 和 cs2Label 欄位,以標籤形式進行對應。 |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
直接從 CEF 記錄中的 cs3 和 cs3Label 欄位,以標籤形式進行對應。 |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
直接從 CEF 記錄中的 cs4 和 cs4Label 欄位,以標籤形式進行對應。 |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
直接從 CEF 記錄中的 cs5 和 cs5Label 欄位,以標籤形式進行對應。 |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
直接從 CEF 記錄中的 cs6 和 cs6Label 欄位,以標籤形式進行對應。 |
| 日期時間 | metadata.event_timestamp | 剖析並將各種格式 (例如「MMM d HH:mm:ss」、「yyyy-MM-dd HH:mm:ss」) 轉換為時間戳記。 |
| device_event_class_id | principal.resource.product_object_id | 直接從 CEF 記錄中的 device_event_class_id 欄位對應。 |
| device_product | metadata.product_name | 直接從 CEF 記錄中的 device_product 欄位對應。 |
| device_vendor | metadata.vendor_name | 直接從 CEF 記錄中的 device_vendor 欄位對應。 |
| device_version | metadata.product_version | 直接從 CEF 記錄中的 device_version 欄位對應。 |
| dhost | target.hostname | 直接從 CEF 記錄中的 dhost 欄位對應。 |
| duser | target.user.userid | 直接從 CEF 記錄中的 duser 欄位對應。 |
| dvc | principal.ip | 直接從 CEF 記錄中的 dvc 欄位對應。 |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
直接從 CEF 記錄中的 elementOID 和 elementOIDLabel 欄位,以標籤形式進行對應。 |
| event_name | metadata.product_event_type | 直接從 CEF 記錄中的 event_name 欄位對應。 |
| FileName | principal.process.file.full_path | 直接從 CEF 記錄中的 FileName 欄位對應。 |
| fname | target.file.full_path | 直接從 CEF 記錄中的 fname 欄位對應。 |
| HostName | principal.hostname | 當 desc 包含「TE:」時,直接從 HostName 欄位對應。 |
| licurl | about.url | 直接從 CEF 記錄中的 licurl 欄位對應。 |
| log_level | security_result.severity | 已從 log_level 欄位對應。「資訊」變成「INFORMATIONAL」、「警告」變成「MEDIUM」、「錯誤」變成「ERROR」、「重大」變成「CRITICAL」。 |
| LogUser | principal.user.userid OR target.user.userid | 如果 event_type 非空白且不是「USER_LOGIN」,且 principal_user 為空白,則會對應至 principal.user.userid。否則會對應至 target.user.userid。當 desc 欄位開頭為「Msg="User"」時,也會從該欄位擷取。 |
| MD5 | target.file.md5 | 在 CEF 記錄中,如果 MD5 欄位不為空白或「Not available」,則直接對應該欄位。 |
| Msg | security_result.description | 當 desc 包含「TE:」時,直接從 Msg 欄位對應。根據 category 和其他欄位,在各種情境下從 desc 欄位擷取。 |
| NodeIp | target.ip | 當 desc 包含「TE:」時,直接從 NodeIp 欄位對應。 |
| NodeName | target.hostname | 當 desc 包含「TE:」時,直接從 NodeName 欄位對應。 |
| OS 類型 | principal.platform | 已從 OS-Type 欄位對應。「WINDOWS」(大小寫不拘) 會變成「WINDOWS」,「Solaris」(大小寫不拘) 會變成「LINUX」。 |
| principal_user | principal.user.userid OR target.user.userid | 當 message 欄位包含「CN="」時,系統會從該欄位擷取值。處理後會移除「CN="」、括號和結尾空格。如果 event_type 不是「USER_UNCATEGORIZED」,則會對應至 principal.user.userid。否則會對應至 target.user.userid。也從「Audit Event」類別的 desc 欄位中擷取。 |
| principal_user | principal.user.group_identifiers | 當 ldap_details 不為空白且包含「OU="」時,會從 principal_user 中擷取。 |
| principal_user | principal.administrative_domain | 當 principal_user 符合模式 %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} 時,系統會從中擷取網域部分。 |
| product_logid | metadata.product_log_id | 當 desc 包含「TE:」時,直接從 product_logid 欄位對應。 |
| rt | metadata.event_timestamp | 已剖析並從「MMM dd yyyy HH:mm:ss」和「MM dd yyyy HH:mm:ss ZZZ」格式轉換為時間戳記。 |
| SHA-1 | target.file.sha256 | 系統會從 SHA-1 欄位中擷取「After=" 後面的值並進行對應。 |
| 大小 | target.file.size | 系統會從 Size 欄位擷取「After=" 後方的值,進行對應並轉換為無正負號整數。 |
| software_update | target.resource.name | 直接從 software_update 欄位對應 (如果該欄位不為空白)。 |
| source_hostname | principal.hostname | 當 desc 包含「TE:」時,直接從 source_hostname 欄位對應。 |
| source_ip | principal.ip | 當 desc 包含「TE:」時,直接從 source_ip 欄位對應。 |
| sproc | src.process.command_line | 直接從 CEF 記錄中的 sproc 欄位對應。 |
| 開始 | target.resource.attribute.creation_time | 已剖析並從格式「MMM d yyyy HH:mm:ss」轉換為時間戳記。 |
| target_hostname | target.hostname | 直接從 target_hostname 欄位對應 (如果有)。 |
| target_ip | target.ip | 直接從 target_ip 欄位對應 (如果有)。 |
| 時間 | metadata.event_timestamp | 使用以下格式從 temp_data 欄位剖析:"<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*"。 |
| timezone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
直接從 CEF 記錄中的 timezone 和 timezoneLabel 欄位,以標籤形式進行對應。當 licurl 為空白或「Not available」時,系統會建立空白 about 物件。當 event_type 為「USER_LOGIN」時,在 extensions 中建立的空白 auth 物件。如果 event_type 並未由任何其他邏輯設定,或是 event_type 為「NETWORK_CONNECTION」,且 target_hostname 和 target_ip 皆為空白,則將預設值設為「STATUS_UNCATEGORIZED」。設為「TRIPWIRE_FIM」。將其設為「File Integrity Monitoring」(檔案完整性監控) 做為預設值,如果有 device_product,則會由其覆寫。設為「TRIPWIRE」。將預設值設為「ALLOW」。根據 category 和 desc 內容,在特定情況下設為「BLOCK」。 |
異動
2023-06-21
- 新增 gsub 來處理 CEF 格式記錄。
2023-06-07
- 新增 Grok 模式,以便處理 CEF 格式的記錄。
2022-06-14
- 錯誤修正:- 新增 grok 來剖析「HKEY_」類型的記錄,其中 registry_key 和 value 之間沒有空格。
- 在將 event_type 對應至 NETWORK_CONNECTION 之前,新增對 target_hostname 或 target_ip 的驗證檢查。
- 在對應至 udm 之前,新增使用者名稱的空值檢查。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。