OpenCanary のログを収集する

以下でサポートされています。

Google SecOpsSIEM

概要

このパーサーは、OpenCanary SYSLOG ログと JSON ログからフィールドを抽出し、UDM 形式に正規化して、metadata.event_type や security_result.severity などの派生フィールドでデータを拡充します。さまざまなログ形式を処理し、IP アドレスの検証を行い、フィールドを principal、target、network などの適切な UDM オブジェクトにマッピングします。

始める前に

Google SecOps インスタンスがあることを確認します。
OpenCanary への特権アクセス権があることを確認します。

OpenCanary ログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: OpenCanary Logs）。
[Source type] として [Webhook] を選択します。
[Log type] として [OpenCanary] を選択します。
[次へ] をクリックします。
省略可: 次の入力パラメータの値を指定します。
- Split delimiter: ログ行を区切るために使用される区切り文字（\n など）。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。
秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、その場合以前の秘密鍵は無効になります。
[詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、クライアントアプリケーションで指定する必要があります。
[完了] をクリックします。

Webhook フィード用の API キーを作成する

Google Cloud コンソール > [認証情報] に移動します。

[認証情報] に移動
[認証情報を作成] をクリックして [API キー] を選択します。
API キーのアクセスを [Google Security Operations API] に制限します。

エンドポイント URL を指定する

クライアントアプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。
次の形式でカスタムヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
推奨事項: API キーは URL 内ではなくヘッダーとして指定してください。
Webhook クライアントがカスタムヘッダーをサポートしていない場合は、次の形式のクエリパラメータを使用して API キーと秘密鍵を指定できます。
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
以下を置き換えます。
- ENDPOINT_URL: フィードのエンドポイント URL。
- API_KEY: Google Security Operations の認証に使用する API キー。
- SECRET: フィードの認証用に生成した秘密鍵。

Google SecOps 用に OpenCanary Webhook を設定する

OpenCanary 構成ファイル config.json を見つけます。

注: このファイルは通常、OpenCanary のインストールディレクトリにあります。
テキストエディタで config.json ファイルを開きます。
構成ファイル内で [alerters] というラベルのセクションを見つけます。
webhook アラーターがすでに存在する場合は、変更します。それ以外の場合は、webhook アラート用の新しいエントリを追加します。
次の構成を使用します（ENDPOINT_URL、SECRET、API_KEY は実際の値に置き換えてください）。

"handlers": {
    "Webhook": {
        "class": "opencanary.logger.WebhookHandler",
        "url": "<ENDPOINT_URL>",
        "method": "POST",
        "data": {"message": "%(message)s"},
        "status_code": 200,
        "headers": {
            "X-Webhook-Access-Key": "<SECRET>",
            "X-goog-api-key": "<API_KEY>"
         }
    }
}

config.json ファイルを保存します。
OpenCanary サービスを再起動して変更を適用します（例: sudo systemctl restart opencanary）。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`dst_host`	`target.asset.ip`	未加工ログの `dst_host` フィールドは UDM にマッピングされます。`target.ip` にもマッピングされます。
`dst_host`	`target.ip`	未加工ログの `dst_host` フィールドは UDM にマッピングされます。`target.asset.ip` にもマッピングされます。
`dst_port`	`target.port`	未加工ログの `dst_port` フィールドは文字列に変換され、その後整数に変換されて UDM にマッピングされます。
`local_time`	`metadata.event_timestamp`	未加工ログの `local_time` フィールドは、UDM の `metadata.event_timestamp` に値を設定するために使用されます。`local_time` フィールドが存在しない場合、パーサーはバッチオブジェクトの `create_time` を使用します。
`local_time_adjusted`	`security_result.detection_fields`	未加工ログの `local_time_adjusted` フィールドは、UDM の `security_result.detection_fields` 配列に Key-Value ペアとして追加されます。
`logdata.COMMUNITY_STRING`	`security_result.detection_fields`	未加工ログの `logdata.COMMUNITY_STRING` フィールドは、UDM の `security_result.detection_fields` 配列に Key-Value ペアとして追加されます。
`logdata.DOMAIN`	`principal.administrative_domain`	未加工ログの `logdata.DOMAIN` フィールドは UDM にマッピングされます。
`logdata.FILENAME`	`target.file.full_path`	未加工ログの `logdata.FILENAME` フィールドが UDM にマッピングされます。
`logdata.HOSTNAME`	`principal.asset.hostname`	`logdata.HOSTNAME` フィールドが IP アドレスでない場合、UDM にマッピングされます。`principal.hostname` にもマッピングされます。
`logdata.HOSTNAME`	`principal.asset.ip`	`logdata.HOSTNAME` フィールドが IP アドレスの場合、UDM にマッピングされます。`principal.ip` にもマッピングされます。
`logdata.HOSTNAME`	`principal.hostname`	`logdata.HOSTNAME` フィールドが IP アドレスでない場合、UDM にマッピングされます。`principal.asset.hostname` にもマッピングされます。
`logdata.HOSTNAME`	`principal.ip`	`logdata.HOSTNAME` フィールドが IP アドレスの場合、UDM にマッピングされます。`principal.asset.ip` にもマッピングされます。
`logdata.LOCALNAME`	`principal.asset.hostname`	未加工ログの `logdata.LOCALNAME` フィールドは UDM にマッピングされます。`principal.hostname` にもマッピングされます。
`logdata.LOCALNAME`	`principal.hostname`	未加工ログの `logdata.LOCALNAME` フィールドは UDM にマッピングされます。`principal.asset.hostname` にもマッピングされます。
`logdata.LOCALVERSION`	`principal.platform_version`	未加工ログの `logdata.LOCALVERSION` フィールドが UDM にマッピングされます。
`logdata.PASSWORD`	`extensions.auth.mechanism`	`logdata.PASSWORD` フィールドが存在すると、パーサーがトリガーされ、UDM で `extensions.auth.mechanism` が `USERNAME_PASSWORD` に設定されます。
`logdata.PATH`	`network.http.referral_url`	未加工ログの `logdata.PATH` フィールドが UDM にマッピングされます。
`logdata.REMOTENAME`	`target.asset.hostname`	未加工ログの `logdata.REMOTENAME` フィールドは UDM にマッピングされます。`target.hostname` にもマッピングされます。
`logdata.REMOTENAME`	`target.hostname`	未加工ログの `logdata.REMOTENAME` フィールドは UDM にマッピングされます。`target.asset.hostname` にもマッピングされます。
`logdata.REMOTEVERSION`	`target.platform_version`	未加工ログの `logdata.REMOTEVERSION` フィールドが UDM にマッピングされます。
`logdata.SMBVER`	`network.application_protocol`	`logdata.SMBVER` フィールドが存在すると、パーサーがトリガーされ、UDM で `network.application_protocol` が `SMB` に設定されます。
`logdata.USERAGENT`	`network.http.parsed_user_agent`	未加工ログの `logdata.USERAGENT` フィールドは、解析されたユーザーエージェントに変換され、UDM にマッピングされます。
`logdata.USERAGENT`	`network.http.user_agent`	未加工ログの `logdata.USERAGENT` フィールドが UDM にマッピングされます。
`logdata.USERNAME`	`target.user.userid`	未加工ログの `logdata.USERNAME` フィールドが UDM にマッピングされます。
`loglevel`	`security_result.severity`	未加工ログの `loglevel` フィールドによって、UDM の `security_result.severity` が決まります。`WARNING` は `HIGH` に、`INFO`/`INFORMATION` は `LOW` にマッピングされます。
`logtype`	`security_result.detection_fields`	未加工ログの `logtype` フィールドは、UDM の `security_result.detection_fields` 配列に Key-Value ペアとして追加されます。
`node_id`	`principal.asset.asset_id`	未加工ログの `node_id` フィールドに「id:」が追加され、UDM にマッピングされます。
`src_host`	`principal.asset.ip`	未加工ログの `src_host` フィールドは UDM にマッピングされます。`principal.ip` にもマッピングされます。
`src_host`	`principal.ip`	未加工ログの `src_host` フィールドは UDM にマッピングされます。`principal.asset.ip` にもマッピングされます。
`src_port`	`principal.port`	未加工ログの `src_port` フィールドは整数に変換され、UDM にマッピングされます。
`utc_time`	`security_result.detection_fields`	未加工ログの `utc_time` フィールドは、UDM の `security_result.detection_fields` 配列に Key-Value ペアとして追加されます。

変更

2024-03-11

解析されていないログを解析するために、JSON ログの末尾にある無効な文字を削除しました。
「principal.ip」と「principal.asset.ip」のマッピングを調整しました。
「target.ip」と「target.asset.ip」のマッピングを調整しました。

2024-02-08

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。