Coletar registros do Tripwire

Compatível com:

Neste documento, descrevemos como coletar os registros do Tripwire usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão TRIPWIRE_FIM.

Configurar o Tripwire Enterprise

  1. Faça login no console da Web do Tripwire Enterprise usando credenciais de administrador.
  2. Para editar as configurações de Gerenciamento de registros, clique na guia Configurações.
  3. Selecione Tripwire > Sistema > Gerenciamento de registros.
  4. Na janela Preferências de gerenciamento de registros, faça o seguinte:
    1. Marque a caixa de seleção Encaminhar mensagens de registro do TE para o syslog.
    2. No campo Host TCP, insira o endereço IP ou o nome do host do encaminhador do Google Security Operations.
    3. No campo Porta TCP, digite a porta em que as mensagens de registro são enviadas por TCP.
    4. Para testar a configuração, clique em Testar conexão.
  5. Para salvar as mudanças, clique em Aplicar.

Configurar o encaminhador do Google Security Operations para ingerir registros do Tripwire

  1. Acesse Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome.
  6. Selecione Tripwire como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão (TCP) que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Visão geral: esse analisador extrai campos de mensagens syslog do Tripwire File Integrity Manager (FIM), normalizando-os no formato UDM. Ele processa várias categorias de registros, incluindo eventos do sistema, eventos de segurança, mudanças e auditorias, mapeando-os para os tipos de eventos correspondentes da UDM e enriquecendo os dados com detalhes como informações do usuário, recursos afetados e resultados de segurança.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
AffectedHost principal.hostname Mapeado diretamente do campo AffectedHost nos registros CEF.
AffectedIP principal.ip Mapeado diretamente do campo AffectedIP nos registros CEF.
AppType target.file.full_path Mapeado diretamente do campo AppType quando desc contém "HKEY" e AppType está presente.
ChangeType target.resource.attribute.labels.key: Change Type
target.resource.attribute.labels.value: %{ChangeType}		 Mapeado diretamente do campo ChangeType nos registros CEF como um rótulo.
ChangeType sec_result.summary Mapeado diretamente do campo change_type quando presente nos registros.
cs1 target.resource.attribute.labels.key: cs1Label
target.resource.attribute.labels.value: cs1		 Mapeado diretamente dos campos cs1 e cs1Label nos registros do CEF como um rótulo.
cs2 target.resource.attribute.labels.key: cs2Label
target.resource.attribute.labels.value: cs2		 Mapeado diretamente dos campos cs2 e cs2Label nos registros do CEF como um rótulo.
cs3 target.resource.attribute.labels.key: cs3Label
target.resource.attribute.labels.value: cs3		 Mapeado diretamente dos campos cs3 e cs3Label nos registros do CEF como um rótulo.
cs4 target.resource.attribute.labels.key: cs4Label
target.resource.attribute.labels.value: cs4		 Mapeado diretamente dos campos cs4 e cs4Label nos registros do CEF como um rótulo.
cs5 target.resource.attribute.labels.key: cs5Label
target.resource.attribute.labels.value: cs5		 Mapeado diretamente dos campos cs5 e cs5Label nos registros do CEF como um rótulo.
cs6 target.resource.attribute.labels.key: cs6Label
target.resource.attribute.labels.value: cs6		 Mapeado diretamente dos campos cs6 e cs6Label nos registros do CEF como um rótulo.
datetime metadata.event_timestamp Analisado e convertido em carimbo de data/hora de vários formatos, como "MMM d HH:mm:ss" e "aaaa-MM-dd HH:mm:ss".
device_event_class_id principal.resource.product_object_id Mapeado diretamente do campo device_event_class_id nos registros CEF.
device_product metadata.product_name Mapeado diretamente do campo device_product nos registros CEF.
device_vendor metadata.vendor_name Mapeado diretamente do campo device_vendor nos registros CEF.
device_version metadata.product_version Mapeado diretamente do campo device_version nos registros CEF.
dhost target.hostname Mapeado diretamente do campo dhost nos registros CEF.
duser target.user.userid Mapeado diretamente do campo duser nos registros CEF.
dvc principal.ip Mapeado diretamente do campo dvc nos registros CEF.
elementOID target.resource.attribute.labels.key: elementOIDLabel
target.resource.attribute.labels.value: elementOID		 Mapeado diretamente dos campos elementOID e elementOIDLabel nos registros do CEF como um rótulo.
event_name metadata.product_event_type Mapeado diretamente do campo event_name nos registros CEF.
FileName principal.process.file.full_path Mapeado diretamente do campo FileName nos registros CEF.
fname target.file.full_path Mapeado diretamente do campo fname nos registros CEF.
HostName principal.hostname Mapeado diretamente do campo HostName quando desc contém "TE:".
licurl about.url Mapeado diretamente do campo licurl nos registros CEF.
log_level security_result.severity Mapeado do campo log_level. "Information" vira "INFORMATIONAL", "Warning" vira "MEDIUM", "Error" vira "ERROR" e "Critical" vira "CRITICAL".
LogUser principal.user.userid OR target.user.userid Mapeado para principal.user.userid se event_type não estiver vazio nem for "USER_LOGIN" e principal_user estiver vazio. Caso contrário, será mapeado para target.user.userid. Também extraído do campo desc quando ele começa com "Msg="User".
MD5 target.file.md5 Mapeado diretamente do campo MD5 nos registros CEF quando não está vazio ou "Não disponível".
Msg security_result.description Mapeado diretamente do campo Msg quando desc contém "TE:". Extraído do campo desc em vários cenários com base em category e outros campos.
NodeIp target.ip Mapeado diretamente do campo NodeIp quando desc contém "TE:".
NodeName target.hostname Mapeado diretamente do campo NodeName quando desc contém "TE:".
OS-Type principal.platform Mapeado do campo OS-Type. "WINDOWS" (sem sensibilidade a maiúsculas e minúsculas) se torna "WINDOWS", e "Solaris" (sem sensibilidade a maiúsculas e minúsculas) se torna "LINUX".
principal_user principal.user.userid OR target.user.userid Extraído do campo message quando ele contém "CN=". Processado para remover "CN=", parênteses e espaços à direita. Mapeado para principal.user.userid se event_type não for "USER_UNCATEGORIZED". Caso contrário, será mapeado para target.user.userid. Também extraído do campo desc na categoria "Evento de auditoria".
principal_user principal.user.group_identifiers Extraído de principal_user quando ldap_details não está vazio e contém "OU=".
principal_user principal.administrative_domain A parte do domínio é extraída de principal_user quando corresponde ao padrão %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}.
product_logid metadata.product_log_id Mapeado diretamente do campo product_logid quando desc contém "TE:".
rt metadata.event_timestamp Analisado e convertido em carimbo de data/hora dos formatos "MMM dd yyyy HH:mm:ss" e "MM dd yyyy HH:mm:ss ZZZ".
SHA-1 target.file.sha256 O valor depois de "After=" é extraído do campo SHA-1 e mapeado.
Tamanho target.file.size O valor após "After=" é extraído do campo Size, mapeado e convertido em um número inteiro sem sinal.
software_update target.resource.name Mapeado diretamente do campo software_update quando não está vazio.
source_hostname principal.hostname Mapeado diretamente do campo source_hostname quando desc contém "TE:".
source_ip principal.ip Mapeado diretamente do campo source_ip quando desc contém "TE:".
sproc src.process.command_line Mapeado diretamente do campo sproc nos registros CEF.
start target.resource.attribute.creation_time Analisado e convertido em carimbo de data/hora no formato "MMM d yyyy HH:mm:ss".
target_hostname target.hostname Mapeado diretamente do campo target_hostname quando presente.
target_ip target.ip Mapeado diretamente do campo target_ip quando presente.
tempo metadata.event_timestamp Analisado do campo temp_data usando o formato "<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*".
timezone target.resource.attribute.labels.key: timezoneLabel
target.resource.attribute.labels.value: timezone		 Mapeado diretamente dos campos timezone e timezoneLabel nos registros do CEF como um rótulo. Um objeto about vazio é criado quando licurl está vazio ou é "Não disponível". Objeto auth vazio criado em extensions quando event_type é "USER_LOGIN". Definido como "STATUS_UNCATEGORIZED" como um valor padrão se event_type não for definido por nenhuma outra lógica ou se event_type for "NETWORK_CONNECTION" e target_hostname e target_ip estiverem vazios. Defina como "TRIPWIRE_FIM". Definido como "Monitoramento de integridade de arquivos" como um valor padrão, substituído por device_product, se presente. Defina como "TRIPWIRE". Definido como "ALLOW" como um valor padrão. Definido como "BLOQUEAR" em determinados cenários com base no conteúdo de category e desc.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.