Recopilar registros de Tripwire
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger los registros de Tripwire mediante un reenviador de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión TRIPWIRE_FIM.
Configurar Tripwire Enterprise
- Inicia sesión en la consola web de Tripwire Enterprise con las credenciales de administrador.
- Para editar los ajustes de Gestión de registros, haga clic en la pestaña Configuración.
- Selecciona Tripwire > Sistema > Gestión de registros.
- En la ventana Preferencias de gestión de registros, haz lo siguiente:
- Selecciona la casilla Reenviar mensajes de registro de TE a syslog.
- En el campo Host TCP, introduce la dirección IP o el nombre de host del reenviador de Google Security Operations.
- En el campo Puerto TCP, introduce el puerto a través del cual se envían los mensajes de registro mediante TCP.
- Para probar la configuración, haz clic en Probar conexión.
- Para guardar los cambios, haz clic en Aplicar.
Configurar el reenviador de Google Security Operations para ingerir registros de Tripwire
- Ve a Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, escribe un nombre.
- Seleccione Tripwire como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada obligatorios:
- Protocolo: especifica el protocolo de conexión (TCP) que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifique la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: especifique el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Resumen: este analizador extrae campos de los mensajes syslog de Tripwire File Integrity Manager (FIM) y los normaliza en el formato UDM. Gestiona varias categorías de registros, como eventos del sistema, eventos de seguridad, cambios y auditorías, y los asigna a los tipos de eventos de UDM correspondientes. Además, enriquece los datos con detalles como información del usuario, recursos afectados y resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AffectedHost | principal.hostname | Se asigna directamente desde el campo AffectedHost de los registros CEF. |
| AffectedIP | principal.ip | Se asigna directamente desde el campo AffectedIP de los registros CEF. |
| AppType | target.file.full_path | Se asigna directamente desde el campo AppType cuando desc contiene "HKEY" y AppType está presente. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Se asigna directamente desde el campo ChangeType de los registros CEF como etiqueta. |
| ChangeType | sec_result.summary | Se asigna directamente desde el campo change_type cuando está presente en los registros. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Se asigna directamente desde los campos cs1 y cs1Label de los registros CEF como etiqueta. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Se asigna directamente desde los campos cs2 y cs2Label de los registros CEF como etiqueta. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Se asigna directamente desde los campos cs3 y cs3Label de los registros CEF como etiqueta. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Se asigna directamente desde los campos cs4 y cs4Label de los registros CEF como etiqueta. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Se asigna directamente desde los campos cs5 y cs5Label de los registros CEF como etiqueta. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Se asigna directamente desde los campos cs6 y cs6Label de los registros CEF como etiqueta. |
| datetime | metadata.event_timestamp | Analiza y convierte a marca de tiempo desde varios formatos, como "MMM d HH:mm:ss" y "yyyy-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Se asigna directamente desde el campo device_event_class_id de los registros CEF. |
| device_product | metadata.product_name | Se asigna directamente desde el campo device_product de los registros CEF. |
| device_vendor | metadata.vendor_name | Se asigna directamente desde el campo device_vendor de los registros CEF. |
| device_version | metadata.product_version | Se asigna directamente desde el campo device_version de los registros CEF. |
| dhost | target.hostname | Se asigna directamente desde el campo dhost de los registros CEF. |
| duser | target.user.userid | Se asigna directamente desde el campo duser de los registros CEF. |
| dvc | principal.ip | Se asigna directamente desde el campo dvc de los registros CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Se asigna directamente desde los campos elementOID y elementOIDLabel de los registros CEF como etiqueta. |
| event_name | metadata.product_event_type | Se asigna directamente desde el campo event_name de los registros CEF. |
| FileName | principal.process.file.full_path | Se asigna directamente desde el campo FileName de los registros CEF. |
| fname | target.file.full_path | Se asigna directamente desde el campo fname de los registros CEF. |
| HostName | principal.hostname | Se asigna directamente desde el campo HostName cuando desc contiene "TE:". |
| licurl | about.url | Se asigna directamente desde el campo licurl de los registros CEF. |
| log_level | security_result.severity | Asignado desde el campo log_level. "Information" se convierte en "INFORMATIONAL", "Warning" en "MEDIUM", "Error" en "ERROR" y "Critical" en "CRITICAL". |
| LogUser | principal.user.userid OR target.user.userid | Se asigna a principal.user.userid si event_type no está vacío, no es "USER_LOGIN" y principal_user está vacío. De lo contrario, se asigna a target.user.userid. También se extrae del campo desc cuando empieza por "Msg="User". |
| MD5 | target.file.md5 | Se asigna directamente desde el campo MD5 de los registros CEF cuando no está vacío o no tiene el valor "Not available". |
| Msg | security_result.description | Se asigna directamente desde el campo Msg cuando desc contiene "TE:". Se extrae del campo desc en varios casos en función de category y otros campos. |
| NodeIp | target.ip | Se asigna directamente desde el campo NodeIp cuando desc contiene "TE:". |
| NodeName | target.hostname | Se asigna directamente desde el campo NodeName cuando desc contiene "TE:". |
| OS-Type | principal.platform | Asignado desde el campo OS-Type. "WINDOWS" (sin distinción entre mayúsculas y minúsculas) se convierte en "WINDOWS", mientras que "Solaris" (sin distinción entre mayúsculas y minúsculas) se convierte en "LINUX". |
| principal_user | principal.user.userid OR target.user.userid | Se extrae del campo message cuando contiene "CN=". Se procesa para eliminar "CN=", los paréntesis y los espacios finales. Se asigna a principal.user.userid si event_type no es "USER_UNCATEGORIZED". De lo contrario, se asigna a target.user.userid. También se extrae del campo desc de la categoría "Evento de auditoría". |
| principal_user | principal.user.group_identifiers | Se extrae de principal_user cuando ldap_details no está vacío y contiene "OU=". |
| principal_user | principal.administrative_domain | La parte del dominio se extrae de principal_user cuando coincide con el patrón %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Se asigna directamente desde el campo product_logid cuando desc contiene "TE:". |
| rt | metadata.event_timestamp | Se ha analizado y convertido a una marca de tiempo a partir de los formatos "MMM dd yyyy HH:mm:ss" y "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | El valor que aparece después de "After=" se extrae del campo SHA-1 y se asigna. |
| Tamaño | target.file.size | El valor que aparece después de "After=" se extrae del campo Size, se asigna y se convierte en un entero sin signo. |
| software_update | target.resource.name | Se asigna directamente desde el campo software_update cuando no está vacío. |
| source_hostname | principal.hostname | Se asigna directamente desde el campo source_hostname cuando desc contiene "TE:". |
| source_ip | principal.ip | Se asigna directamente desde el campo source_ip cuando desc contiene "TE:". |
| sproc | src.process.command_line | Se asigna directamente desde el campo sproc de los registros CEF. |
| start | target.resource.attribute.creation_time | Se ha analizado y convertido a una marca de tiempo con el formato "MMM d aaaa HH:mm:ss". |
| target_hostname | target.hostname | Se asigna directamente desde el campo target_hostname cuando está presente. |
| target_ip | target.ip | Se asigna directamente desde el campo target_ip cuando está presente. |
| Tiempo | metadata.event_timestamp | Se ha analizado del campo temp_data con el formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| timezone | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Se asigna directamente desde los campos timezone y timezoneLabel de los registros CEF como etiqueta. Se ha creado un objeto about vacío porque licurl está vacío o tiene el valor "Not available". Se ha creado un objeto auth vacío en extensions cuando event_type es "USER_LOGIN". Se asigna el valor "STATUS_UNCATEGORIZED" de forma predeterminada si event_type no se ha definido con ninguna otra lógica o si event_type es "NETWORK_CONNECTION" y tanto target_hostname como target_ip están vacíos. Asigna el valor "TRIPWIRE_FIM". Se define como "Monitorización de la integridad de los archivos" de forma predeterminada. device_product lo anula si está presente. Asigna el valor "TRIPWIRE". Se asigna el valor "ALLOW" de forma predeterminada. Se establece en "BLOQUEAR" en determinadas situaciones en función del contenido category y desc. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.