Recopila registros de Tripwire
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo recopilar los registros de Tripwire con un reenvío de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia TRIPWIRE_FIM.
Configura Tripwire Enterprise
- Accede a la consola web de Tripwire Enterprise con credenciales de administrador.
- Para editar la configuración de Administración de registros, haz clic en la pestaña Configuración.
- Selecciona Tripwire > System > Log management.
- En la ventana Preferencias de administración de registros, haz lo siguiente:
- Selecciona la casilla de verificación Forward TE log messages to syslog.
- En el campo Host TCP, ingresa la dirección IP o el nombre de host del reenviador de Google Security Operations.
- En el campo Puerto TCP, ingresa el puerto a través del cual se envían los mensajes de registro a través de TCP.
- Para probar la configuración, haz clic en Probar conexión.
- Para guardar los cambios, haz clic en Aplicar.
Configura el reenvío de Google Security Operations para transferir registros de Tripwire
- Ve a Configuración del SIEM > Reenviadores.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Tripwire como el Tipo de registro.
- Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión (TCP) que usa el recopilador para escuchar los datos de Syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Descripción general: Este analizador extrae campos de los mensajes syslog del Administrador de integridad de archivos (FIM) de Tripwire y los normaliza en el formato del UDM. Maneja varias categorías de registros, incluidos los eventos del sistema, los eventos de seguridad, los cambios y las auditorías, y los asigna a los tipos de eventos del UDM correspondientes, además de enriquecer los datos con detalles como la información del usuario, los recursos afectados y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AffectedHost | principal.hostname | Se asigna directamente desde el campo AffectedHost en los registros de CEF. |
| AffectedIP | principal.ip | Se asigna directamente desde el campo AffectedIP en los registros de CEF. |
| AppType | target.file.full_path | Se asigna directamente desde el campo AppType cuando desc contiene "HKEY" y AppType está presente. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Se asigna directamente desde el campo ChangeType en los registros de CEF como una etiqueta. |
| ChangeType | sec_result.summary | Se asigna directamente desde el campo change_type cuando está presente en los registros. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Se asigna directamente desde los campos cs1 y cs1Label en los registros de CEF como una etiqueta. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Se asigna directamente desde los campos cs2 y cs2Label en los registros de CEF como una etiqueta. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Se asigna directamente desde los campos cs3 y cs3Label en los registros de CEF como una etiqueta. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Se asigna directamente desde los campos cs4 y cs4Label en los registros de CEF como una etiqueta. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Se asigna directamente desde los campos cs5 y cs5Label en los registros de CEF como una etiqueta. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Se asigna directamente desde los campos cs6 y cs6Label en los registros de CEF como una etiqueta. |
| fecha y hora | metadata.event_timestamp | Se analiza y convierte a marca de tiempo desde varios formatos, como "MMM d HH:mm:ss" y "aaaa-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Se asigna directamente desde el campo device_event_class_id en los registros de CEF. |
| device_product | metadata.product_name | Se asigna directamente desde el campo device_product en los registros de CEF. |
| device_vendor | metadata.vendor_name | Se asigna directamente desde el campo device_vendor en los registros de CEF. |
| device_version | metadata.product_version | Se asigna directamente desde el campo device_version en los registros de CEF. |
| dhost | target.hostname | Se asigna directamente desde el campo dhost en los registros de CEF. |
| duser | target.user.userid | Se asigna directamente desde el campo duser en los registros de CEF. |
| dvc | principal.ip | Se asigna directamente desde el campo dvc en los registros de CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Se asigna directamente desde los campos elementOID y elementOIDLabel en los registros de CEF como una etiqueta. |
| event_name | metadata.product_event_type | Se asigna directamente desde el campo event_name en los registros de CEF. |
| Nombre del archivo | principal.process.file.full_path | Se asigna directamente desde el campo FileName en los registros de CEF. |
| fname | target.file.full_path | Se asigna directamente desde el campo fname en los registros de CEF. |
| HostName | principal.hostname | Se asigna directamente desde el campo HostName cuando desc contiene "TE:". |
| licurl | about.url | Se asigna directamente desde el campo licurl en los registros de CEF. |
| log_level | security_result.severity | Se asignó desde el campo log_level. "Information" se convierte en "INFORMATIONAL", "Warning" se convierte en "MEDIUM", "Error" se convierte en "ERROR" y "Critical" se convierte en "CRITICAL". |
| LogUser | principal.user.userid O target.user.userid | Se asigna a principal.user.userid si event_type no está vacío y no es "USER_LOGIN", y principal_user está vacío. De lo contrario, se asigna a target.user.userid. También se extrae del campo desc cuando comienza con "Msg="User". |
| MD5 | target.file.md5 | Se asigna directamente desde el campo MD5 en los registros de CEF cuando no está vacío o es "Not available". |
| Msje. | security_result.description | Se asigna directamente desde el campo Msg cuando desc contiene "TE:". Se extrae del campo desc en varias situaciones según category y otros campos. |
| NodeIp | target.ip | Se asigna directamente desde el campo NodeIp cuando desc contiene "TE:". |
| NodeName | target.hostname | Se asigna directamente desde el campo NodeName cuando desc contiene "TE:". |
| OS-Type | principal.platform | Se asignó desde el campo OS-Type. "WINDOWS" (sin distinción entre mayúsculas y minúsculas) se convierte en "WINDOWS", y "Solaris" (sin distinción entre mayúsculas y minúsculas) se convierte en "LINUX". |
| principal_user | principal.user.userid O target.user.userid | Se extrae del campo message cuando contiene "CN=". Se procesa para quitar "CN=", paréntesis y espacios finales. Se asigna a principal.user.userid si event_type no es "USER_UNCATEGORIZED". De lo contrario, se asigna a target.user.userid. También se extrae del campo desc en la categoría "Evento de auditoría". |
| principal_user | principal.user.group_identifiers | Se extrae de principal_user cuando ldap_details no está vacío y contiene "UO=". |
| principal_user | principal.administrative_domain | La parte del dominio se extrae de principal_user cuando coincide con el patrón %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Se asigna directamente desde el campo product_logid cuando desc contiene "TE:". |
| rt | metadata.event_timestamp | Se analizó y convirtió a marca de tiempo desde los formatos "MMM dd aaaa HH:mm:ss" y "MM dd aaaa HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | El valor que aparece después de "After=" se extrae del campo SHA-1 y se asigna. |
| Tamaño | target.file.size | El valor después de "After=" se extrae del campo Size, se asigna y se convierte en un número entero sin signo. |
| software_update | target.resource.name | Se asigna directamente desde el campo software_update cuando no está vacío. |
| source_hostname | principal.hostname | Se asigna directamente desde el campo source_hostname cuando desc contiene "TE:". |
| source_ip | principal.ip | Se asigna directamente desde el campo source_ip cuando desc contiene "TE:". |
| sproc | src.process.command_line | Se asigna directamente desde el campo sproc en los registros de CEF. |
| start | target.resource.attribute.creation_time | Se analizó y convirtió a marca de tiempo desde el formato “MMM d aaaa HH:mm:ss”. |
| target_hostname | target.hostname | Se asigna directamente desde el campo target_hostname cuando está presente. |
| target_ip | target.ip | Se asigna directamente desde el campo target_ip cuando está presente. |
| hora | metadata.event_timestamp | Se analizó a partir del campo temp_data con el formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| Zona horaria | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Se asigna directamente desde los campos timezone y timezoneLabel en los registros de CEF como una etiqueta. Se crea un objeto about vacío cuando licurl está vacío o es "No disponible". Se crea un objeto auth vacío dentro de extensions cuando event_type es "USER_LOGIN". Se establece en "STATUS_UNCATEGORIZED" como valor predeterminado si ninguna otra lógica establece event_type o si event_type es "NETWORK_CONNECTION" y target_hostname y target_ip están vacíos. Se establece en "TRIPWIRE_FIM". Se establece en "Supervisión de integridad de archivos" como valor predeterminado, que se anula con device_product si está presente. Se establece en "TRIPWIRE". Se establece en "ALLOW" como valor predeterminado. Se establece en "BLOCK" en ciertas situaciones según el contenido de category y desc. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.