Tripwire のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Tripwire ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル TRIPWIRE_FIM が付加されたパーサーに適用されます。
Tripwire Enterprise を構成する
- 管理者認証情報を使用して Tripwire Enterprise ウェブ コンソールにログインします。
- [ログ管理] 設定を編集するには、[設定] タブをクリックします。
- [Tripwire] > [システム] > [ログ管理] を選択します。
- [ログ管理の設定] ウィンドウで、次の操作を行います。
- [TE ログ メッセージを Syslog に転送] チェックボックスをオンにします。
- [TCP ホスト] フィールドに、Google Security Operations フォワーダーの IP アドレスまたはホスト名を入力します。
- [TCP ポート] フィールドに、TCP 経由でログ メッセージが送信されるポートを入力します。
- 構成をテストするには、[接続をテスト] をクリックします。
- [適用] をクリックして、変更を保存します。
Tripwire のログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [Tripwire] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが Syslog データをリッスンするために使用する接続プロトコル(TCP)を指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI を使用してフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
概要: このパーサーは、Tripwire File Integrity Manager(FIM)の Syslog メッセージからフィールドを抽出し、UDM 形式に正規化します。システム イベント、セキュリティ イベント、変更、監査などのさまざまなログカテゴリを処理し、対応する UDM イベントタイプにマッピングして、ユーザー情報、影響を受けるリソース、セキュリティ結果などの詳細情報でデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| AffectedHost | principal.hostname | CEF ログの AffectedHost フィールドから直接マッピングされます。 |
| AffectedIP | principal.ip | CEF ログの AffectedIP フィールドから直接マッピングされます。 |
| AppType | target.file.full_path | desc に「HKEY」が含まれていて、AppType が存在する場合、AppType フィールドから直接マッピングされます。 |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
CEF ログの ChangeType フィールドからラベルとして直接マッピングされます。 |
| ChangeType | sec_result.summary | ログに存在する場合に change_type フィールドから直接マッピングされます。 |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
CEF ログの cs1 フィールドと cs1Label フィールドからラベルとして直接マッピングされます。 |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
CEF ログの cs2 フィールドと cs2Label フィールドからラベルとして直接マッピングされます。 |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
CEF ログの cs3 フィールドと cs3Label フィールドからラベルとして直接マッピングされます。 |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
CEF ログの cs4 フィールドと cs4Label フィールドからラベルとして直接マッピングされます。 |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
CEF ログの cs5 フィールドと cs5Label フィールドからラベルとして直接マッピングされます。 |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
CEF ログの cs6 フィールドと cs6Label フィールドからラベルとして直接マッピングされます。 |
| datetime | metadata.event_timestamp | 「MMM d HH:mm:ss」、「yyyy-MM-dd HH:mm:ss」などのさまざまな形式で解析され、タイムスタンプに変換されます。 |
| device_event_class_id | principal.resource.product_object_id | CEF ログの device_event_class_id フィールドから直接マッピングされます。 |
| device_product | metadata.product_name | CEF ログの device_product フィールドから直接マッピングされます。 |
| device_vendor | metadata.vendor_name | CEF ログの device_vendor フィールドから直接マッピングされます。 |
| device_version | metadata.product_version | CEF ログの device_version フィールドから直接マッピングされます。 |
| dhost | target.hostname | CEF ログの dhost フィールドから直接マッピングされます。 |
| duser | target.user.userid | CEF ログの duser フィールドから直接マッピングされます。 |
| dvc | principal.ip | CEF ログの dvc フィールドから直接マッピングされます。 |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
CEF ログの elementOID フィールドと elementOIDLabel フィールドからラベルとして直接マッピングされます。 |
| event_name | metadata.product_event_type | CEF ログの event_name フィールドから直接マッピングされます。 |
| FileName | principal.process.file.full_path | CEF ログの FileName フィールドから直接マッピングされます。 |
| fname | target.file.full_path | CEF ログの fname フィールドから直接マッピングされます。 |
| HostName | principal.hostname | desc に「TE:」が含まれている場合、HostName フィールドから直接マッピングされます。 |
| licurl | about.url | CEF ログの licurl フィールドから直接マッピングされます。 |
| log_level | security_result.severity | log_level フィールドからマッピングされます。「Information」は「INFORMATIONAL」に、「Warning」は「MEDIUM」に、「Error」は「ERROR」に、「Critical」は「CRITICAL」になります。 |
| LogUser | principal.user.userid または target.user.userid | event_type が空でなく、かつ「USER_LOGIN」でなく、principal_user が空の場合、principal.user.userid にマッピングされます。それ以外の場合は、target.user.userid にマッピングされます。「Msg="User"」で始まる場合、desc フィールドからも抽出されます。 |
| MD5 | target.file.md5 | CEF ログの MD5 フィールドから直接マッピングされます(フィールドが空でないか「Not available」でない場合)。 |
| Msg | security_result.description | desc に「TE:」が含まれている場合、Msg フィールドから直接マッピングされます。category や他のフィールドに基づいて、さまざまなシナリオの desc フィールドから抽出されます。 |
| NodeIp | target.ip | desc に「TE:」が含まれている場合、NodeIp フィールドから直接マッピングされます。 |
| NodeName | target.hostname | desc に「TE:」が含まれている場合、NodeName フィールドから直接マッピングされます。 |
| OS-Type | principal.platform | OS-Type フィールドからマッピングされます。「WINDOWS」(大文字と小文字を区別しない)は「WINDOWS」に、「Solaris」(大文字と小文字を区別しない)は「LINUX」に変更なります。 |
| principal_user | principal.user.userid または target.user.userid | 「CN="」が含まれている場合は message フィールドから抽出されます。「CN=」、かっこ、末尾のスペースを削除するよう処理されます。event_type が「USER_UNCATEGORIZED」でない場合、principal.user.userid にマッピングされます。それ以外の場合は、target.user.userid にマッピングされます。「Audit Event」カテゴリの desc フィールドからも抽出されます。 |
| principal_user | principal.user.group_identifiers | ldap_details が空でなく、「OU=」が含まれている場合は principal_user から抽出されます。 |
| principal_user | principal.administrative_domain | パターン %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} と一致する場合、ドメイン部分が principal_user から抽出されます。 |
| product_logid | metadata.product_log_id | desc に「TE:」が含まれている場合、product_logid フィールドから直接マッピングされます。 |
| rt | metadata.event_timestamp | 「MMM dd yyyy HH:mm:ss」形式と「MM dd yyyy HH:mm:ss ZZZ」形式で解析され、タイムスタンプに変換されます。 |
| SHA-1 | target.file.sha256 | 「After=」の後の値が SHA-1 フィールドから抽出され、マッピングされます。 |
| Size | target.file.size | 「After=」の後の値が Size フィールドから抽出され、マッピングされ、符号なし整数に変換されます。 |
| software_update | target.resource.name | software_update フィールドが空でない場合、このフィールドから直接マッピングされます。 |
| source_hostname | principal.hostname | desc に「TE:」が含まれている場合、source_hostname フィールドから直接マッピングされます。 |
| source_ip | principal.ip | desc に「TE:」が含まれている場合、source_ip フィールドから直接マッピングされます。 |
| sproc | src.process.command_line | CEF ログの sproc フィールドから直接マッピングされます。 |
| start | target.resource.attribute.creation_time | 「MMM d yyyy HH:mm:ss」形式で解析され、タイムスタンプに変換されます。 |
| target_hostname | target.hostname | 存在する場合に target_hostname フィールドから直接マッピングされます。 |
| target_ip | target.ip | 存在する場合に target_ip フィールドから直接マッピングされます。 |
| 時間 | metadata.event_timestamp | temp_data フィールドから「<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*」の形式を使用して解析されます。 |
| タイムゾーン | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
CEF ログの timezone フィールドと timezoneLabel フィールドからラベルとして直接マッピングされます。licurl が空または「Not available」の場合に作成される空の about オブジェクト。event_type が「USER_LOGIN」の場合に extensions 内に作成される空の auth オブジェクト。event_type が他のロジックで設定されていない場合、または event_type が「NETWORK_CONNECTION」で、target_hostname と target_ip の両方が空の場合、デフォルト値として「STATUS_UNCATEGORIZED」に設定します。「TRIPWIRE_FIM」に設定されます。デフォルト値として「ファイル整合性モニタリング」に設定されます。device_product が存在する場合は、device_product によってオーバーライドされます。「TRIPWIRE」に設定されます。デフォルト値として「ALLOW」に設定します。category と desc のコンテンツに基づいて、特定のシナリオで「BLOCK」に設定されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。