收集 Tripwire 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Tripwire 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 TRIPWIRE_FIM 攝入標籤的剖析器。
設定 Tripwire Enterprise
- 使用管理員憑證登入 Tripwire Enterprise 網頁控制台。
- 如要編輯「記錄管理」設定,請按一下「設定」分頁標籤。
- 依序選取「Tripwire」>「System」>「Log management」。
- 在「記錄管理偏好設定」視窗中,執行下列操作:
- 勾選「將 TE 記錄訊息轉寄至系統記錄」核取方塊。
- 在「TCP host」(TCP 主機) 欄位中,輸入 Google Security Operations 轉送程式的 IP 位址或主機名稱。
- 在「TCP port」(TCP 通訊埠) 欄位中,輸入透過 TCP 傳送記錄訊息的通訊埠。
- 如要測試設定,請按一下「測試連線」。
- 如要儲存變更,請按一下「套用」。
設定 Google Security Operations 轉送器,以便擷取 Tripwire 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Tripwire」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定 (TCP)。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
總覽:這個剖析器會從 Tripwire File Integrity Manager (FIM) 系統記錄訊息中擷取欄位,並將其正規化為 UDM 格式。這項服務會處理各種記錄類別,包括系統事件、安全性事件、變更和稽核,並將這些記錄對應至 UDM 事件類型,以及使用使用者資訊、受影響的資源和安全性結果等詳細資料來擴充資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| AffectedHost | principal.hostname | 直接對應 CEF 記錄中的「AffectedHost」欄位。 |
| AffectedIP | principal.ip | 直接對應 CEF 記錄中的「AffectedIP」欄位。 |
| AppType | target.file.full_path | 當 desc 包含「HKEY」且 AppType 存在時,直接從 AppType 欄位對應。 |
| ChangeType | target.resource.attribute.labels.key: Change Type target.resource.attribute.labels.value: %{ChangeType} |
直接從 CEF 記錄中的 ChangeType 欄位對應為標籤。 |
| ChangeType | sec_result.summary | 如果記錄中包含 change_type 欄位,系統會直接對應。 |
| cs1 | target.resource.attribute.labels.key: cs1Label target.resource.attribute.labels.value: cs1 |
直接從 CEF 記錄中的 cs1 和 cs1Label 欄位對應為標籤。 |
| cs2 | target.resource.attribute.labels.key: cs2Label target.resource.attribute.labels.value: cs2 |
直接從 CEF 記錄中的 cs2 和 cs2Label 欄位對應為標籤。 |
| cs3 | target.resource.attribute.labels.key: cs3Label target.resource.attribute.labels.value: cs3 |
直接從 CEF 記錄中的 cs3 和 cs3Label 欄位對應為標籤。 |
| cs4 | target.resource.attribute.labels.key: cs4Label target.resource.attribute.labels.value: cs4 |
直接從 CEF 記錄中的 cs4 和 cs4Label 欄位對應為標籤。 |
| cs5 | target.resource.attribute.labels.key: cs5Label target.resource.attribute.labels.value: cs5 |
直接從 CEF 記錄中的 cs5 和 cs5Label 欄位對應為標籤。 |
| cs6 | target.resource.attribute.labels.key: cs6Label target.resource.attribute.labels.value: cs6 |
直接從 CEF 記錄中的 cs6 和 cs6Label 欄位對應為標籤。 |
| 日期時間 | metadata.event_timestamp | 從「MMM d HH:mm:ss」、「yyyy-MM-dd HH:mm:ss」等各種格式剖析並轉換為時間戳記。 |
| device_event_class_id | principal.resource.product_object_id | 直接對應 CEF 記錄中的「device_event_class_id」欄位。 |
| device_product | metadata.product_name | 直接對應 CEF 記錄中的「device_product」欄位。 |
| device_vendor | metadata.vendor_name | 直接對應 CEF 記錄中的「device_vendor」欄位。 |
| device_version | metadata.product_version | 直接對應 CEF 記錄中的「device_version」欄位。 |
| dhost | target.hostname | 直接對應 CEF 記錄中的「dhost」欄位。 |
| duser | target.user.userid | 直接對應 CEF 記錄中的「duser」欄位。 |
| dvc | principal.ip | 直接對應 CEF 記錄中的「dvc」欄位。 |
| elementOID | target.resource.attribute.labels.key: elementOIDLabel target.resource.attribute.labels.value: elementOID |
直接從 CEF 記錄中的 elementOID 和 elementOIDLabel 欄位對應為標籤。 |
| event_name | metadata.product_event_type | 直接對應 CEF 記錄中的「event_name」欄位。 |
| FileName | principal.process.file.full_path | 直接對應 CEF 記錄中的「FileName」欄位。 |
| fname | target.file.full_path | 直接對應 CEF 記錄中的「fname」欄位。 |
| HostName | principal.hostname | 當 desc 包含「TE:」時,直接從 HostName 欄位對應。 |
| licurl | about.url | 直接對應 CEF 記錄中的「licurl」欄位。 |
| log_level | security_result.severity | 對應自「log_level」欄位。「Information」會變成「INFORMATIONAL」、「Warning」會變成「MEDIUM」、「Error」會變成「ERROR」、「Critical」會變成「CRITICAL」。 |
| LogUser | principal.user.userid 或 target.user.userid | 如果 event_type 不為空白且不是「USER_LOGIN」,且 principal_user 為空白,則會對應至 principal.user.userid。否則會對應至 target.user.userid。如果 desc 欄位以「Msg=」使用者「」開頭,也會從該欄位擷取。 |
| MD5 | target.file.md5 | 如果 CEF 記錄中的 MD5 欄位不為空白或「Not available」,系統會直接對應這個欄位。 |
| Msg | security_result.description | 如果 desc 包含「TE:」,則直接從 Msg 欄位對應。根據 category 和其他欄位,從各種情境的 desc 欄位中擷取。 |
| NodeIp | target.ip | 當 desc 包含「TE:」時,直接從 NodeIp 欄位對應。 |
| NodeName | target.hostname | 當 desc 包含「TE:」時,直接從 NodeName 欄位對應。 |
| 作業系統類型 | principal.platform | 對應自「OS-Type」欄位。「WINDOWS」(不分大小寫) 會變成「WINDOWS」,「Solaris」(不分大小寫) 會變成「LINUX」。 |
| principal_user | principal.user.userid 或 target.user.userid | 如果 message 欄位包含「CN=」,系統會擷取該欄位,並移除「CN=」、半形括號和尾端空格。如果 event_type 不是「USER_UNCATEGORIZED」,則會對應至 principal.user.userid。否則會對應至 target.user.userid。也會從「稽核事件」類別的「desc」欄位中擷取。 |
| principal_user | principal.user.group_identifiers | 當 ldap_details 不為空白且包含「OU=」時,系統會從 principal_user 擷取。 |
| principal_user | principal.administrative_domain | 如果 principal_user 符合 %{GREEDYDATA:adminsitrative_domain}\\\\%{WORD:principal_user} 模式,系統就會擷取網域部分。 |
| product_logid | metadata.product_log_id | 當 desc 包含「TE:」時,直接從 product_logid 欄位對應。 |
| rt | metadata.event_timestamp | 從「MMM dd yyyy HH:mm:ss」和「MM dd yyyy HH:mm:ss ZZZ」格式剖析並轉換為時間戳記。 |
| SHA-1 | target.file.sha256 | 系統會從 SHA-1 欄位擷取「After=」後的值,並進行對應。 |
| 大小 | target.file.size | 系統會從 Size 欄位擷取「After=」後的值,然後對應並轉換為無正負號整數。 |
| software_update | target.resource.name | 如果 software_update 欄位不為空白,則直接從該欄位對應。 |
| source_hostname | principal.hostname | 當 desc 包含「TE:」時,直接從 source_hostname 欄位對應。 |
| source_ip | principal.ip | 當 desc 包含「TE:」時,直接從 source_ip 欄位對應。 |
| sproc | src.process.command_line | 直接對應 CEF 記錄中的「sproc」欄位。 |
| 開始 | target.resource.attribute.creation_time | 已從「MMM d yyyy HH:mm:ss」格式剖析並轉換為時間戳記。 |
| target_hostname | target.hostname | 如果存在,則直接從 target_hostname 欄位對應。 |
| target_ip | target.ip | 如果存在,則直接從 target_ip 欄位對應。 |
| 時間 | metadata.event_timestamp | 使用「<%{INT}>%{INT} %{TIMESTAMP_ISO8601:time}.*」格式,從「temp_data」欄位剖析。 |
| 時區 | target.resource.attribute.labels.key: timezoneLabel target.resource.attribute.labels.value: timezone |
直接從 CEF 記錄中的 timezone 和 timezoneLabel 欄位對應為標籤。如果 licurl 為空或「不適用」,系統會建立空白的 about 物件。當 event_type 為「USER_LOGIN」時,在 extensions 中建立的 auth 物件為空白。如果任何其他邏輯未設定 event_type,或 event_type 為「NETWORK_CONNECTION」,且 target_hostname 和 target_ip 皆為空白,則預設值為「STATUS_UNCATEGORIZED」。設為「TRIPWIRE_FIM」。預設值設為「File Integrity Monitoring」,如果存在 device_product,則會覆寫此值。設為「TRIPWIRE」。預設值為「ALLOW」。根據 category 和 desc 內容,在特定情況下設為「BLOCK」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。