Tripwire-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die Tripwire-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label TRIPWIRE_FIM.
Tripwire Enterprise konfigurieren
- Melden Sie sich mit Administratoranmeldedaten in der Tripwire Enterprise-Webkonsole an.
- Wenn Sie die Einstellungen für die Log-Verwaltung bearbeiten möchten, klicken Sie auf den Tab Einstellungen.
- Wählen Sie Tripwire > System > Log management (Tripwire > System > Logverwaltung) aus.
- Führen Sie im Fenster Einstellungen für die Logverwaltung die folgenden Schritte aus:
- Aktivieren Sie das Kästchen Forward TE log messages to syslog (TE-Logmeldungen an Syslog weiterleiten).
- Geben Sie im Feld TCP-Host die IP-Adresse oder den Hostnamen des Google Security Operations-Forwarders ein.
- Geben Sie im Feld TCP-Port den Port ein, über den die Log-Nachrichten über TCP gesendet werden.
- Klicken Sie auf Verbindung testen, um die Konfiguration zu testen.
- Klicken Sie auf Anwenden, um die Änderungen zu speichern.
Google Security Operations-Forwarder zum Erfassen von Tripwire-Logs konfigurieren
- Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie Tripwire als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll (TCP) an, das der Collector verwendet, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Übersicht: Dieser Parser extrahiert Felder aus Syslog-Nachrichten von Tripwire File Integrity Manager (FIM) und normalisiert sie in das UDM-Format. Es verarbeitet verschiedene Protokollkategorien, darunter Systemereignisse, Sicherheitsereignisse, Änderungen und Audits, ordnet sie entsprechenden UDM-Ereignistypen zu und reichert die Daten mit Details wie Nutzerinformationen, betroffenen Ressourcen und Sicherheitsergebnissen an.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AffectedHost | principal.hostname | Direkt aus dem AffectedHost-Feld in CEF-Logs zugeordnet. |
| AffectedIP | principal.ip | Direkt aus dem AffectedIP-Feld in CEF-Logs zugeordnet. |
| AppType | target.file.full_path | Direkt aus dem Feld AppType zugeordnet, wenn desc „HKEY“ enthält und AppType vorhanden ist. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Direkt aus dem Feld ChangeType in CEF-Protokollen als Label zugeordnet. |
| ChangeType | sec_result.summary | Direkt aus dem Feld change_type zugeordnet, sofern in den Logs vorhanden. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Direkt aus den Feldern cs1 und cs1Label in CEF-Logs als Label zugeordnet. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Direkt aus den Feldern cs2 und cs2Label in CEF-Logs als Label zugeordnet. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Direkt aus den Feldern cs3 und cs3Label in CEF-Logs als Label zugeordnet. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Direkt aus den Feldern cs4 und cs4Label in CEF-Logs als Label zugeordnet. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Direkt aus den Feldern cs5 und cs5Label in CEF-Logs als Label zugeordnet. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Direkt aus den Feldern cs6 und cs6Label in CEF-Logs als Label zugeordnet. |
| Datum/Uhrzeit | metadata.event_timestamp | Geprüft und in einen Zeitstempel aus verschiedenen Formaten wie „MMM d HH:mm:ss“ und „yyyy-MM-dd HH:mm:ss“ konvertiert. |
| device_event_class_id | principal.resource.product_object_id | Direkt aus dem device_event_class_id-Feld in CEF-Logs zugeordnet. |
| device_product | metadata.product_name | Direkt aus dem device_product-Feld in CEF-Logs zugeordnet. |
| device_vendor | metadata.vendor_name | Direkt aus dem device_vendor-Feld in CEF-Logs zugeordnet. |
| device_version | metadata.product_version | Direkt aus dem device_version-Feld in CEF-Logs zugeordnet. |
| dhost | target.hostname | Direkt aus dem dhost-Feld in CEF-Logs zugeordnet. |
| duser | target.user.userid | Direkt aus dem duser-Feld in CEF-Logs zugeordnet. |
| dvc | principal.ip | Direkt aus dem dvc-Feld in CEF-Logs zugeordnet. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Direkt aus den Feldern elementOID und elementOIDLabel in CEF-Logs als Label zugeordnet. |
| event_name | metadata.product_event_type | Direkt aus dem event_name-Feld in CEF-Logs zugeordnet. |
| FileName | principal.process.file.full_path | Direkt aus dem FileName-Feld in CEF-Logs zugeordnet. |
| fname | target.file.full_path | Direkt aus dem fname-Feld in CEF-Logs zugeordnet. |
| HostName | principal.hostname | Direkt aus dem Feld HostName zugeordnet, wenn desc „TE:“ enthält. |
| licurl | about.url | Direkt aus dem licurl-Feld in CEF-Logs zugeordnet. |
| log_level | security_result.severity | Zugeordnet aus dem Feld „log_level“. „Information“ wird zu „INFORMATIONAL“, „Warning“ zu „MEDIUM“, „Error“ zu „ERROR“ und „Critical“ zu „CRITICAL“. |
| LogUser | principal.user.userid ODER target.user.userid | Wird principal.user.userid zugeordnet, wenn event_type nicht leer und nicht „USER_LOGIN“ ist und principal_user leer ist. Andernfalls wird target.user.userid zugeordnet. Wird auch aus dem Feld desc extrahiert, wenn es mit „Msg=User“ beginnt. |
| MD5 | target.file.md5 | Direkt aus dem Feld MD5 in CEF-Logs zugeordnet, wenn es nicht leer oder „Nicht verfügbar“ ist. |
| Msg | security_result.description | Direkt aus dem Feld Msg zugeordnet, wenn desc „TE:“ enthält. Wird in verschiedenen Szenarien basierend auf category und anderen Feldern aus dem Feld desc extrahiert. |
| NodeIp | target.ip | Direkt aus dem Feld NodeIp zugeordnet, wenn desc „TE:“ enthält. |
| NodeName | target.hostname | Direkt aus dem Feld NodeName zugeordnet, wenn desc „TE:“ enthält. |
| Betriebssystemtyp | principal.platform | Zugeordnet aus dem Feld „OS-Type“. „WINDOWS“ (unabhängig von der Groß-/Kleinschreibung) wird zu „WINDOWS“, „Solaris“ (unabhängig von der Groß-/Kleinschreibung) wird zu „LINUX“. |
| principal_user | principal.user.userid ODER target.user.userid | Wird aus dem Feld message extrahiert, wenn es „CN=“ enthält. Es wird verarbeitet, um „CN=“, Klammern und nachfolgende Leerzeichen zu entfernen. Wird principal.user.userid zugeordnet, wenn event_type nicht „USER_UNCATEGORIZED“ ist. Andernfalls wird target.user.userid zugeordnet. Auch aus dem Feld „desc“ in der Kategorie „Audit-Ereignis“ extrahiert. |
| principal_user | principal.user.group_identifiers | Wird aus principal_user extrahiert, wenn ldap_details nicht leer ist und „OU=“ enthält. |
| principal_user | principal.administrative_domain | Der Domainteil wird aus principal_user extrahiert, wenn er dem Muster %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} entspricht. |
| product_logid | metadata.product_log_id | Direkt aus dem Feld product_logid zugeordnet, wenn desc „TE:“ enthält. |
| rt | metadata.event_timestamp | Geprüft und in einen Zeitstempel aus den Formaten „MMM dd yyyy HH:mm:ss“ und „MM dd yyyy HH:mm:ss ZZZ“ konvertiert. |
| SHA-1 | target.file.sha256 | Der Wert nach „After=“ wird aus dem Feld SHA-1 extrahiert und zugeordnet. |
| Größe | target.file.size | Der Wert nach „After=“ wird aus dem Feld Size extrahiert, zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. |
| software_update | target.resource.name | Direkt aus dem Feld software_update zugeordnet, wenn es nicht leer ist. |
| source_hostname | principal.hostname | Direkt aus dem Feld source_hostname zugeordnet, wenn desc „TE:“ enthält. |
| source_ip | principal.ip | Direkt aus dem Feld source_ip zugeordnet, wenn desc „TE:“ enthält. |
| sproc | src.process.command_line | Direkt aus dem sproc-Feld in CEF-Logs zugeordnet. |
| start | target.resource.attribute.creation_time | Geparsed und in einen Zeitstempel im Format „MMM d yyyy HH:mm:ss“ konvertiert. |
| target_hostname | target.hostname | Direkt aus dem Feld target_hostname zugeordnet, sofern vorhanden. |
| target_ip | target.ip | Direkt aus dem Feld target_ip zugeordnet, sofern vorhanden. |
| Zeit | metadata.event_timestamp | Aus dem Feld temp_data geparst mit dem Format „<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*“. |
| Zeitzone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Direkt aus den Feldern timezone und timezoneLabel in CEF-Logs als Label zugeordnet. Leeres about-Objekt wird erstellt, wenn licurl leer oder „Nicht verfügbar“ ist. Leeres auth-Objekt, das in extensions erstellt wird, wenn event_type „USER_LOGIN“ ist. Wird standardmäßig auf „STATUS_UNCATEGORIZED“ gesetzt, wenn event_type nicht durch eine andere Logik festgelegt wird oder wenn event_type „NETWORK_CONNECTION“ ist und sowohl target_hostname als auch target_ip leer sind. Legen Sie diesen Wert auf „TRIPWIRE_FIM“ fest. Standardmäßig auf „File Integrity Monitoring“ festgelegt. Wird durch device_product überschrieben, falls vorhanden. Legen Sie diesen Wert auf „TRIPWIRE“ fest. Standardmäßig auf „ALLOW“ festgelegt. In bestimmten Szenarien basierend auf category- und desc-Inhalten auf „BLOCK“ festgelegt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten