此页面由 Cloud Translation API 翻译。

收集 Tripwire 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 Tripwire 日志。

如需了解详情，请参阅将数据注入 Google Security Operations。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 TRIPWIRE_FIM 注入标签的解析器。

配置 Tripwire Enterprise

使用管理员凭据登录 Tripwire Enterprise Web 控制台。
如需修改日志管理设置，请点击设置标签页。
依次选择 Tripwire > 系统 > 日志管理。
在日志管理偏好设置窗口中，执行以下操作：
1. 选中将 TE 日志消息转发到 syslog 复选框。
2. 在 TCP host 字段中，输入 Google Security Operations 转发器的 IP 地址或主机名。
3. 在 TCP 端口字段中，输入通过 TCP 发送日志消息的端口。
4. 如需测试配置，请点击测试连接。
如需保存更改，请点击应用。

配置 Google Security Operations 转发器以注入 Tripwire 日志

依次前往 SIEM 设置 > 转发器。
点击添加新转发器。
在 Forwarder Name（转发器名称）字段中，输入转发器的唯一名称。
点击提交。系统会添加转发器，并显示添加收集器配置窗口。
在收集器名称字段中，输入一个名称。
选择 Tripwire 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器用于侦听 syslog 数据的连接协议 (TCP)。
- 地址：指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的目标端口，并监听 syslog 数据。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

概览：此解析器会从 Tripwire File Integrity Manager (FIM) syslog 消息中提取字段，并将其标准化为 UDM 格式。它会处理各种日志类别，包括系统事件、安全事件、变更和审核，将它们映射到相应的 UDM 事件类型，并使用用户信息、受影响的资源和安全结果等详细信息来丰富数据。

UDM 映射表

日志字段	UDM 映射	逻辑
AffectedHost	principal.hostname	直接从 CEF 日志中的 `AffectedHost` 字段映射。
AffectedIP	principal.ip	直接从 CEF 日志中的 `AffectedIP` 字段映射。
AppType	target.file.full_path	当 `desc` 包含“HKEY”且存在 `AppType` 时，直接从 `AppType` 字段映射。
ChangeType	target.resource.attribute.labels.key：更改类型 target.resource.attribute.labels.value：%{ChangeType}	直接从 CEF 日志中的 `ChangeType` 字段映射为标签。
ChangeType	sec_result.summary	如果日志中存在，则直接从 `change_type` 字段映射。
cs1	target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1	直接从 CEF 日志中的 `cs1` 和 `cs1Label` 字段映射为标签。
cs2	target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2	直接从 CEF 日志中的 `cs2` 和 `cs2Label` 字段映射为标签。
cs3	target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3	直接从 CEF 日志中的 `cs3` 和 `cs3Label` 字段映射为标签。
cs4	target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4	直接从 CEF 日志中的 `cs4` 和 `cs4Label` 字段映射为标签。
cs5	target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5	直接从 CEF 日志中的 `cs5` 和 `cs5Label` 字段映射为标签。
cs6	target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6	直接从 CEF 日志中的 `cs6` 和 `cs6Label` 字段映射为标签。
datetime	metadata.event_timestamp	从各种格式（例如“MMM d HH:mm:ss”“yyyy-MM-dd HH:mm:ss”）解析并转换为时间戳。
device_event_class_id	principal.resource.product_object_id	直接从 CEF 日志中的 `device_event_class_id` 字段映射。
device_product	metadata.product_name	直接从 CEF 日志中的 `device_product` 字段映射。
device_vendor	metadata.vendor_name	直接从 CEF 日志中的 `device_vendor` 字段映射。
device_version	metadata.product_version	直接从 CEF 日志中的 `device_version` 字段映射。
dhost	target.hostname	直接从 CEF 日志中的 `dhost` 字段映射。
duser	target.user.userid	直接从 CEF 日志中的 `duser` 字段映射。
dvc	principal.ip	直接从 CEF 日志中的 `dvc` 字段映射。
elementOID	target.resource.attribute.labels.key：elementOIDLabel target.resource.attribute.labels.value：elementOID	直接从 CEF 日志中的 `elementOID` 和 `elementOIDLabel` 字段映射为标签。
event_name	metadata.product_event_type	直接从 CEF 日志中的 `event_name` 字段映射。
FileName	principal.process.file.full_path	直接从 CEF 日志中的 `FileName` 字段映射。
fname	target.file.full_path	直接从 CEF 日志中的 `fname` 字段映射。
HostName	principal.hostname	当 `desc` 包含“TE:”时，直接从 `HostName` 字段映射。
licurl	about.url	直接从 CEF 日志中的 `licurl` 字段映射。
log_level	security_result.severity	从 `log_level` 字段映射。“信息”变为“INFORMATIONAL”，“警告”变为“MEDIUM”，“错误”变为“ERROR”，“严重”变为“CRITICAL”。
LogUser	principal.user.userid OR target.user.userid	如果 `event_type` 不为空且不是“USER_LOGIN”，并且 `principal_user` 为空，则映射到 `principal.user.userid`。否则，映射到 `target.user.userid`。如果 `desc` 字段以“Msg="User”开头，也会从中提取。
MD5	target.file.md5	当 CEF 日志中的 `MD5` 字段不为空或不为“Not available”时，直接从该字段映射。
消息	security_result.description	当 `desc` 包含“TE:”时，直接从 `Msg` 字段映射。根据 `category` 和其他字段，在各种场景中从 `desc` 字段提取。
NodeIp	target.ip	当 `desc` 包含“TE:”时，直接从 `NodeIp` 字段映射。
NodeName	target.hostname	当 `desc` 包含“TE:”时，直接从 `NodeName` 字段映射。
操作系统类型	principal.platform	从 `OS-Type` 字段映射。“WINDOWS”（不区分大小写）变为“WINDOWS”，“Solaris”（不区分大小写）变为“LINUX”。
principal_user	principal.user.userid OR target.user.userid	当 `message` 字段包含“CN=”时，从中提取。经过处理，移除了“CN=”、圆括号和尾随空格。如果 `event_type` 不是“USER_UNCATEGORIZED”，则映射到 `principal.user.userid`。否则，映射到 `target.user.userid`。还从“审核事件”类别中的 `desc` 字段提取。
principal_user	principal.user.group_identifiers	当 `ldap_details` 不为空且包含“OU=”时，从 `principal_user` 中提取。
principal_user	principal.administrative_domain	当 `principal_user` 与 `%{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user}` 模式匹配时，系统会从 `principal_user` 中提取网域部分。
product_logid	metadata.product_log_id	当 `desc` 包含“TE:”时，直接从 `product_logid` 字段映射。
rt	metadata.event_timestamp	已解析并从“MMM dd yyyy HH:mm:ss”和“MM dd yyyy HH:mm:ss ZZZ”格式转换为时间戳。
SHA-1	target.file.sha256	从 `SHA-1` 字段中提取“After=”后面的值并进行映射。
大小	target.file.size	从 `Size` 字段中提取“After=”后面的值，进行映射，然后转换为无符号整数。
software_update	target.resource.name	当 `software_update` 字段不为空时，直接从该字段映射。
source_hostname	principal.hostname	当 `desc` 包含“TE:”时，直接从 `source_hostname` 字段映射。
source_ip	principal.ip	当 `desc` 包含“TE:”时，直接从 `source_ip` 字段映射。
sproc	src.process.command_line	直接从 CEF 日志中的 `sproc` 字段映射。
start	target.resource.attribute.creation_time	已解析并转换为“MMM d yyyy HH:mm:ss”格式的时间戳。
target_hostname	target.hostname	如果存在，则直接从 `target_hostname` 字段映射。
target_ip	target.ip	如果存在，则直接从 `target_ip` 字段映射。
时间	metadata.event_timestamp	使用“<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*”格式从 `temp_data` 字段解析。
timezone	target.resource.attribute.labels.key：timezoneLabel target.resource.attribute.labels.value：时区	直接从 CEF 日志中的 `timezone` 和 `timezoneLabel` 字段映射为标签。当 `licurl` 为空或“不适用”时，创建空的 `about` 对象。当 `event_type` 为“USER_LOGIN”时，在 `extensions` 内创建的空 `auth` 对象。如果没有任何其他逻辑设置 `event_type`，或者如果 `event_type` 为“NETWORK_CONNECTION”且 `target_hostname` 和 `target_ip` 均为空，则默认设置为“STATUS_UNCATEGORIZED”。设置为“TRIPWIRE_FIM”。设置为“文件完整性监控”作为默认值，如果存在，则会被 `device_product` 替换。设置为“TRIPWIRE”。默认设置为“ALLOW”。在某些情况下，根据 `category` 和 `desc` 内容设置为“BLOCK”。