Coletar registros do OpenCanary

Visão geral

Esse analisador extrai campos dos registros JSON e SYSLOG do OpenCanary, os normaliza no formato UDM e enriquece os dados com campos derivados, como metadata.event_type e security_result.severity. Ele processa vários formatos de registro, realiza a validação do endereço IP e mapeia campos para objetos UDM adequados, como principal, target e network.

Antes de começar

• Verifique se você tem uma instância do Google SecOps.
• Confira se você tem acesso privilegiado ao OpenCanary.

Configurar um feed no Google SecOps para processar os registros do OpenCanary

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do OpenCanary).
4. Selecione Webhook como o Tipo de origem.
5. Selecione OpenCanary como o Tipo de registro.
6. Clique em Próxima.
7. Opcional: especifique valores para os seguintes parâmetros de entrada:
   • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
   • Namespace de recursos: o namespace de recursos.
   • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
8. Clique em Próxima.
9. Revise a configuração do feed na tela Finalizar e clique em Enviar.
10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
11. Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
13. Clique em Concluído.

Criar uma chave de API para o feed de webhook

1. Acesse o console do Google Cloud > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

3. Restrinja o acesso da chave de API à API Google Security Operations.

Especificar o URL do endpoint

1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.

2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.

3. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Substitua:

   • ENDPOINT_URL: o URL do endpoint do feed.
   • API_KEY: a chave de API para autenticação no Google Security Operations.
   • SECRET: a chave secreta que você gerou para autenticar o feed.

Como configurar um webhook do OpenCanary para o Google SecOps

1. Encontre o arquivo de configuração do OpenCanary, config.json.

2. Abra o arquivo config.json com um editor de texto.

3. Encontre a seção alerters no arquivo de configuração.

4. Se um alertador webhook já existir, modifique-o. Caso contrário, adicione uma nova entrada para o alertador webhook.

5. Use a seguinte configuração (substitua ENDPOINT_URL, SECRET e API_KEY pelos seus valores):

"handlers": {
    "Webhook": {
        "class": "opencanary.logger.WebhookHandler",
        "url": "<ENDPOINT_URL>",
        "method": "POST",
        "data": {"message": "%(message)s"},
        "status_code": 200,
        "headers": {
            "X-Webhook-Access-Key": "<SECRET>",
            "X-goog-api-key": "<API_KEY>"
         }
    }
}

1. Salve o arquivo config.json.
2. Reinicie o serviço do OpenCanary para aplicar as mudanças. Por exemplo, sudo systemctl restart opencanary.

Tabela de mapeamento do UDM

Alterações

2024-03-11

• O caractere inválido foi removido no final dos registros JSON para analisar os registros não analisados.
• Mapeamentos "principal.ip" e "principal.asset.ip" alinhados.
• Mapeamentos "target.ip" e "target.asset.ip" alinhados.

2024-02-08

• Parser recém-criado.