Collecter les journaux Tripwire
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Tripwire à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion TRIPWIRE_FIM.
Configurer Tripwire Enterprise
- Connectez-vous à la console Web Tripwire Enterprise à l'aide d'identifiants d'administrateur.
- Pour modifier les paramètres de Gestion des journaux, cliquez sur l'onglet Paramètres.
- Sélectionnez Tripwire > System > Log management (Tripwire > Système > Gestion des journaux).
- Dans la fenêtre Préférences de gestion des journaux, procédez comme suit :
- Cochez la case Transférer les messages du journal TE vers syslog.
- Dans le champ Hôte TCP, saisissez l'adresse IP ou le nom d'hôte du redirecteur Google Security Operations.
- Dans le champ Port TCP, saisissez le port sur lequel les messages du journal sont envoyés via TCP.
- Pour tester la configuration, cliquez sur Tester la connexion.
- Pour enregistrer les modifications, cliquez sur Appliquer.
Configurer le transmetteur Google Security Operations pour ingérer les journaux Tripwire
- Accédez à Paramètres SIEM > Transférateurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
- Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez Tripwire comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion (TCP) que le collecteur utilise pour écouter les données syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte cibles où le collecteur réside et écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les répartiteurs Google Security Operations, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations.
Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Présentation : cet analyseur extrait les champs des messages syslog Tripwire File Integrity Manager (FIM) et les normalise au format UDM. Il gère différentes catégories de journaux, y compris les événements système, les événements de sécurité, les modifications et les audits, en les mappant aux types d'événements UDM correspondants et en enrichissant les données avec des détails tels que les informations sur les utilisateurs, les ressources concernées et les résultats de sécurité.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| AffectedHost | principal.hostname | Mappé directement à partir du champ AffectedHost dans les journaux CEF. |
| AffectedIP | principal.ip | Mappé directement à partir du champ AffectedIP dans les journaux CEF. |
| AppType | target.file.full_path | Mappé directement à partir du champ AppType lorsque desc contient "HKEY" et que AppType est présent. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Mappé directement à partir du champ ChangeType dans les journaux CEF en tant que libellé. |
| ChangeType | sec_result.summary | Directement mappé à partir du champ change_type lorsqu'il est présent dans les journaux. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Mappé directement à partir des champs cs1 et cs1Label des journaux CEF en tant que libellé. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Mappé directement à partir des champs cs2 et cs2Label des journaux CEF en tant que libellé. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Mappé directement à partir des champs cs3 et cs3Label des journaux CEF en tant que libellé. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Mappé directement à partir des champs cs4 et cs4Label des journaux CEF en tant que libellé. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Mappé directement à partir des champs cs5 et cs5Label des journaux CEF en tant que libellé. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Mappé directement à partir des champs cs6 et cs6Label des journaux CEF en tant que libellé. |
| Date/Heure | metadata.event_timestamp | Analysé et converti en code temporel à partir de différents formats tels que "MMM d HH:mm:ss" et "aaaa-MM-jj HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Mappé directement à partir du champ device_event_class_id dans les journaux CEF. |
| device_product | metadata.product_name | Mappé directement à partir du champ device_product dans les journaux CEF. |
| device_vendor | metadata.vendor_name | Mappé directement à partir du champ device_vendor dans les journaux CEF. |
| device_version | metadata.product_version | Mappé directement à partir du champ device_version dans les journaux CEF. |
| dhost | target.hostname | Mappé directement à partir du champ dhost dans les journaux CEF. |
| duser | target.user.userid | Mappé directement à partir du champ duser dans les journaux CEF. |
| dvc | principal.ip | Mappé directement à partir du champ dvc dans les journaux CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Mappé directement à partir des champs elementOID et elementOIDLabel des journaux CEF en tant que libellé. |
| event_name | metadata.product_event_type | Mappé directement à partir du champ event_name dans les journaux CEF. |
| FileName | principal.process.file.full_path | Mappé directement à partir du champ FileName dans les journaux CEF. |
| fname | target.file.full_path | Mappé directement à partir du champ fname dans les journaux CEF. |
| HostName | principal.hostname | Mappé directement à partir du champ HostName lorsque desc contient "TE:". |
| licurl | about.url | Mappé directement à partir du champ licurl dans les journaux CEF. |
| log_level | security_result.severity | Mappé à partir du champ log_level. "Information" devient "INFORMATIONAL", "Avertissement" devient "MEDIUM", "Erreur" devient "ERROR" et "Critique" devient "CRITICAL". |
| LogUser | principal.user.userid OU target.user.userid | Mappé sur principal.user.userid si event_type n'est pas vide et n'est pas "USER_LOGIN" et que principal_user est vide. Sinon, elle est mappée sur target.user.userid. Également extrait du champ desc lorsqu'il commence par "Msg="User". |
| MD5 | target.file.md5 | Directement mappé à partir du champ MD5 dans les journaux CEF lorsqu'il n'est pas vide ou "Non disponible". |
| Message | security_result.description | Mappé directement à partir du champ Msg lorsque desc contient "TE:". Extrait du champ desc dans différents scénarios en fonction de category et d'autres champs. |
| NodeIp | target.ip | Mappé directement à partir du champ NodeIp lorsque desc contient "TE:". |
| NodeName | target.hostname | Mappé directement à partir du champ NodeName lorsque desc contient "TE:". |
| Type d'OS | principal.platform | Mappé à partir du champ OS-Type. "WINDOWS" (non sensible à la casse) devient "WINDOWS", "Solaris" (non sensible à la casse) devient "LINUX". |
| principal_user | principal.user.userid OU target.user.userid | Extrait du champ message lorsqu'il contient "CN=". Traité pour supprimer "CN=", les parenthèses et les espaces de fin. Mappé sur principal.user.userid si event_type n'est pas "USER_UNCATEGORIZED". Sinon, elle est mappée sur target.user.userid. Également extrait du champ desc de la catégorie "Événement d'audit". |
| principal_user | principal.user.group_identifiers | Extrait de principal_user lorsque ldap_details n'est pas vide et contient "OU=". |
| principal_user | principal.administrative_domain | La partie du domaine est extraite de principal_user lorsqu'elle correspond au modèle %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Mappé directement à partir du champ product_logid lorsque desc contient "TE:". |
| rt | metadata.event_timestamp | Analysé et converti en code temporel à partir des formats "MMM dd yyyy HH:mm:ss" et "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | La valeur après "After=" est extraite du champ SHA-1 et mappée. |
| Taille | target.file.size | La valeur après "After=" est extraite du champ Size, mappée et convertie en entier non signé. |
| software_update | target.resource.name | Directement mappé à partir du champ software_update lorsqu'il n'est pas vide. |
| source_hostname | principal.hostname | Mappé directement à partir du champ source_hostname lorsque desc contient "TE:". |
| source_ip | principal.ip | Mappé directement à partir du champ source_ip lorsque desc contient "TE:". |
| sproc | src.process.command_line | Mappé directement à partir du champ sproc dans les journaux CEF. |
| start | target.resource.attribute.creation_time | Analysé et converti en code temporel à partir du format "MMM d yyyy HH:mm:ss". |
| target_hostname | target.hostname | Mappé directement à partir du champ target_hostname, le cas échéant. |
| target_ip | target.ip | Mappé directement à partir du champ target_ip, le cas échéant. |
| temps | metadata.event_timestamp | Analysé à partir du champ temp_data à l'aide du format "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| timezone | target.resource.attribute.labels.key : timezoneLabel target.resource.attribute.labels.value : timezone |
Mappé directement à partir des champs timezone et timezoneLabel des journaux CEF en tant que libellé. Objet about vide créé lorsque licurl est vide ou "Non disponible". Objet auth vide créé dans extensions lorsque event_type est "USER_LOGIN". Définissez la valeur sur "STATUS_UNCATEGORIZED" par défaut si event_type n'est défini par aucune autre logique, ou si event_type est "NETWORK_CONNECTION" et que target_hostname et target_ip sont vides. Définissez-le sur "TRIPWIRE_FIM". Définissez la valeur par défaut sur "Surveillance de l'intégrité des fichiers", qui sera remplacée par device_product si elle est présente. Définissez-le sur "TRIPWIRE". Définissez la valeur par défaut sur "ALLOW" (AUTORISER). Définissez la valeur sur "BLOCK" (BLOQUER) dans certains scénarios en fonction du contenu de category et desc. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.