Mengumpulkan log Tripwire
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Tripwire dengan menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan TRIPWIRE_FIM.
Mengonfigurasi Tripwire Enterprise
- Login ke konsol web Tripwire Enterprise menggunakan kredensial administrator.
- Untuk mengedit setelan Pengelolaan log, klik tab Setelan.
- Pilih Tripwire > System > Log management.
- Di jendela Preferensi pengelolaan log, lakukan tindakan berikut:
- Centang kotak Teruskan pesan log TE ke syslog.
- Di kolom TCP host, masukkan alamat IP atau nama host penerus Google Security Operations.
- Di kolom TCP port, masukkan port tempat pesan log dikirim melalui TCP.
- Untuk menguji konfigurasi, klik Uji koneksi.
- Untuk menyimpan perubahan, klik Terapkan.
Mengonfigurasi penerusan Google Security Operations untuk menyerap log Tripwire
- Buka Setelan SIEM > Pengirim.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
- Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, ketik nama.
- Pilih Tripwire sebagai Jenis log.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi (TCP) yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Ringkasan: Parser ini mengekstrak kolom dari pesan syslog Tripwire File Integrity Manager (FIM), lalu menormalisasinya ke dalam format UDM. Fitur ini menangani berbagai kategori log, termasuk peristiwa sistem, peristiwa keamanan, perubahan, dan audit, memetakannya ke jenis peristiwa UDM yang sesuai dan memperkaya data dengan detail seperti informasi pengguna, resource yang terpengaruh, dan hasil keamanan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| AffectedHost | principal.hostname | Dipetakan langsung dari kolom AffectedHost di log CEF. |
| AffectedIP | principal.ip | Dipetakan langsung dari kolom AffectedIP di log CEF. |
| AppType | target.file.full_path | Dipetakan langsung dari kolom AppType saat desc berisi "HKEY" dan AppType ada. |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
Dipetakan langsung dari kolom ChangeType dalam log CEF sebagai label. |
| ChangeType | sec_result.summary | Dipetakan langsung dari kolom change_type jika ada di log. |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
Dipetakan langsung dari kolom cs1 dan cs1Label dalam log CEF sebagai label. |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
Dipetakan langsung dari kolom cs2 dan cs2Label dalam log CEF sebagai label. |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
Dipetakan langsung dari kolom cs3 dan cs3Label dalam log CEF sebagai label. |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
Dipetakan langsung dari kolom cs4 dan cs4Label dalam log CEF sebagai label. |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
Dipetakan langsung dari kolom cs5 dan cs5Label dalam log CEF sebagai label. |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
Dipetakan langsung dari kolom cs6 dan cs6Label dalam log CEF sebagai label. |
| datetime | metadata.event_timestamp | Diuraikan dan dikonversi menjadi stempel waktu dari berbagai format seperti "MMM d HH:mm:ss", "yyyy-MM-dd HH:mm:ss". |
| device_event_class_id | principal.resource.product_object_id | Dipetakan langsung dari kolom device_event_class_id di log CEF. |
| device_product | metadata.product_name | Dipetakan langsung dari kolom device_product di log CEF. |
| device_vendor | metadata.vendor_name | Dipetakan langsung dari kolom device_vendor di log CEF. |
| device_version | metadata.product_version | Dipetakan langsung dari kolom device_version di log CEF. |
| dhost | target.hostname | Dipetakan langsung dari kolom dhost di log CEF. |
| duser | target.user.userid | Dipetakan langsung dari kolom duser di log CEF. |
| dvc | principal.ip | Dipetakan langsung dari kolom dvc di log CEF. |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
Dipetakan langsung dari kolom elementOID dan elementOIDLabel dalam log CEF sebagai label. |
| event_name | metadata.product_event_type | Dipetakan langsung dari kolom event_name di log CEF. |
| FileName | principal.process.file.full_path | Dipetakan langsung dari kolom FileName di log CEF. |
| fname | target.file.full_path | Dipetakan langsung dari kolom fname di log CEF. |
| HostName | principal.hostname | Dipetakan langsung dari kolom HostName saat desc berisi "TE:". |
| licurl | about.url | Dipetakan langsung dari kolom licurl di log CEF. |
| log_level | security_result.severity | Dipetakan dari kolom log_level. "Information" menjadi "INFORMATIONAL", "Warning" menjadi "MEDIUM", "Error" menjadi "ERROR", "Critical" menjadi "CRITICAL". |
| LogUser | principal.user.userid OR target.user.userid | Dipetakan ke principal.user.userid jika event_type tidak kosong dan bukan "USER_LOGIN" dan principal_user kosong. Jika tidak, dipetakan ke target.user.userid. Juga diekstrak dari kolom desc saat dimulai dengan "Msg="User". |
| MD5 | target.file.md5 | Dipetakan langsung dari kolom MD5 dalam log CEF jika tidak kosong atau "Tidak tersedia". |
| Msg | security_result.description | Dipetakan langsung dari kolom Msg saat desc berisi "TE:". Diekstrak dari kolom desc dalam berbagai skenario berdasarkan category dan kolom lainnya. |
| NodeIp | target.ip | Dipetakan langsung dari kolom NodeIp saat desc berisi "TE:". |
| NodeName | target.hostname | Dipetakan langsung dari kolom NodeName saat desc berisi "TE:". |
| Jenis OS | principal.platform | Dipetakan dari kolom OS-Type. "WINDOWS" (tidak peka huruf besar/kecil) menjadi "WINDOWS", "Solaris" (tidak peka huruf besar/kecil) menjadi "LINUX". |
| principal_user | principal.user.userid OR target.user.userid | Diekstrak dari kolom message jika berisi "CN=". Diproses untuk menghapus "CN=", tanda kurung, dan spasi di akhir. Dipetakan ke principal.user.userid jika event_type bukan "USER_UNCATEGORIZED". Jika tidak, dipetakan ke target.user.userid. Juga diekstrak dari kolom desc dalam kategori "Audit Event". |
| principal_user | principal.user.group_identifiers | Diekstrak dari principal_user jika ldap_details tidak kosong dan berisi "OU=". |
| principal_user | principal.administrative_domain | Bagian domain diekstrak dari principal_user jika cocok dengan pola %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}. |
| product_logid | metadata.product_log_id | Dipetakan langsung dari kolom product_logid saat desc berisi "TE:". |
| rt | metadata.event_timestamp | Diparsing dan dikonversi ke stempel waktu dari format "MMM dd yyyy HH:mm:ss" dan "MM dd yyyy HH:mm:ss ZZZ". |
| SHA-1 | target.file.sha256 | Nilai setelah "After=" diekstrak dari kolom SHA-1 dan dipetakan. |
| Ukuran | target.file.size | Nilai setelah "After=" diekstrak dari kolom Size, dipetakan, dan dikonversi menjadi bilangan bulat tidak bertanda. |
| software_update | target.resource.name | Dipetakan langsung dari kolom software_update jika tidak kosong. |
| source_hostname | principal.hostname | Dipetakan langsung dari kolom source_hostname saat desc berisi "TE:". |
| source_ip | principal.ip | Dipetakan langsung dari kolom source_ip saat desc berisi "TE:". |
| sproc | src.process.command_line | Dipetakan langsung dari kolom sproc di log CEF. |
| mulai | target.resource.attribute.creation_time | Diuraikan dan dikonversi ke stempel waktu dari format "MMM d yyyy HH:mm:ss". |
| target_hostname | target.hostname | Dipetakan langsung dari kolom target_hostname jika ada. |
| target_ip | target.ip | Dipetakan langsung dari kolom target_ip jika ada. |
| waktu | metadata.event_timestamp | Diuraikan dari kolom temp_data menggunakan format "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*". |
| zona waktu | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
Dipetakan langsung dari kolom timezone dan timezoneLabel dalam log CEF sebagai label. Objek about kosong dibuat saat licurl kosong atau "Tidak tersedia". Objek auth kosong dibuat dalam extensions saat event_type adalah "USER_LOGIN". Disetel ke "STATUS_UNCATEGORIZED" sebagai nilai default jika event_type tidak disetel oleh logika lain, atau jika event_type adalah "NETWORK_CONNECTION" dan target_hostname serta target_ip kosong. Ditetapkan ke "TRIPWIRE_FIM". Ditetapkan ke "Pemantauan Integritas File" sebagai nilai default, yang digantikan oleh device_product jika ada. Ditetapkan ke "TRIPWIRE". Tetapkan ke "ALLOW" sebagai nilai default. Disetel ke "BLOKIR" dalam skenario tertentu berdasarkan konten category dan desc. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.