Coletar registros do OpenCanary
Visão geral
Esse analisador extrai campos dos registros JSON e SYSLOG do OpenCanary, os normaliza no formato UDM e enriquece os dados com campos derivados, como metadata.event_type
e security_result.severity
. Ele processa vários formatos de registro, realiza a validação do endereço IP e mapeia campos para objetos UDM adequados, como principal
, target
e network
.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Confira se você tem acesso privilegiado ao OpenCanary.
Configurar um feed no Google SecOps para processar os registros do OpenCanary
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do OpenCanary).
- Selecione Webhook como o Tipo de origem.
- Selecione OpenCanary como o Tipo de registro.
- Clique em Próxima.
- Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
\n
. - Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
- Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
- Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook
Acesse o console do Google Cloud > Credenciais.
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.
Especificar o URL do endpoint
- No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.
Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Substitua:
ENDPOINT_URL
: o URL do endpoint do feed.API_KEY
: a chave de API para autenticação no Google Security Operations.SECRET
: a chave secreta que você gerou para autenticar o feed.
Como configurar um webhook do OpenCanary para o Google SecOps
Encontre o arquivo de configuração do OpenCanary,
config.json
.Abra o arquivo
config.json
com um editor de texto.Encontre a seção alerters no arquivo de configuração.
Se um alertador
webhook
já existir, modifique-o. Caso contrário, adicione uma nova entrada para o alertadorwebhook
.Use a seguinte configuração (substitua ENDPOINT_URL, SECRET e API_KEY pelos seus valores):
"handlers": {
"Webhook": {
"class": "opencanary.logger.WebhookHandler",
"url": "<ENDPOINT_URL>",
"method": "POST",
"data": {"message": "%(message)s"},
"status_code": 200,
"headers": {
"X-Webhook-Access-Key": "<SECRET>",
"X-goog-api-key": "<API_KEY>"
}
}
}
- Salve o arquivo
config.json
. - Reinicie o serviço do OpenCanary para aplicar as mudanças. Por exemplo,
sudo systemctl restart opencanary
.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
dst_host |
target.asset.ip |
O campo dst_host do registro bruto é mapeado para o UDM. Também mapeado para target.ip . |
dst_host |
target.ip |
O campo dst_host do registro bruto é mapeado para o UDM. Também mapeado para target.asset.ip . |
dst_port |
target.port |
O campo dst_port do registro bruto é convertido em uma string e depois em um número inteiro e mapeado para o UDM. |
local_time |
metadata.event_timestamp |
O campo local_time do registro bruto é usado para preencher o metadata.event_timestamp no UDM. O analisador usa o create_time do objeto de lote se o campo local_time não estiver presente. |
local_time_adjusted |
security_result.detection_fields |
O campo local_time_adjusted do registro bruto é adicionado como um par de chave-valor à matriz security_result.detection_fields no UDM. |
logdata.COMMUNITY_STRING |
security_result.detection_fields |
O campo logdata.COMMUNITY_STRING do registro bruto é adicionado como um par de chave-valor à matriz security_result.detection_fields no UDM. |
logdata.DOMAIN |
principal.administrative_domain |
O campo logdata.DOMAIN do registro bruto é mapeado para o UDM. |
logdata.FILENAME |
target.file.full_path |
O campo logdata.FILENAME do registro bruto é mapeado para o UDM. |
logdata.HOSTNAME |
principal.asset.hostname |
Se o campo logdata.HOSTNAME não for um endereço IP, ele será mapeado para o UDM. Também mapeado para principal.hostname . |
logdata.HOSTNAME |
principal.asset.ip |
Se o campo logdata.HOSTNAME for um endereço IP, ele será mapeado para o UDM. Também mapeado para principal.ip . |
logdata.HOSTNAME |
principal.hostname |
Se o campo logdata.HOSTNAME não for um endereço IP, ele será mapeado para o UDM. Também mapeado para principal.asset.hostname . |
logdata.HOSTNAME |
principal.ip |
Se o campo logdata.HOSTNAME for um endereço IP, ele será mapeado para o UDM. Também mapeado para principal.asset.ip . |
logdata.LOCALNAME |
principal.asset.hostname |
O campo logdata.LOCALNAME do registro bruto é mapeado para o UDM. Também mapeado para principal.hostname . |
logdata.LOCALNAME |
principal.hostname |
O campo logdata.LOCALNAME do registro bruto é mapeado para o UDM. Também mapeado para principal.asset.hostname . |
logdata.LOCALVERSION |
principal.platform_version |
O campo logdata.LOCALVERSION do registro bruto é mapeado para o UDM. |
logdata.PASSWORD |
extensions.auth.mechanism |
A presença do campo logdata.PASSWORD aciona o analisador para definir extensions.auth.mechanism como USERNAME_PASSWORD no UDM. |
logdata.PATH |
network.http.referral_url |
O campo logdata.PATH do registro bruto é mapeado para o UDM. |
logdata.REMOTENAME |
target.asset.hostname |
O campo logdata.REMOTENAME do registro bruto é mapeado para o UDM. Também mapeado para target.hostname . |
logdata.REMOTENAME |
target.hostname |
O campo logdata.REMOTENAME do registro bruto é mapeado para o UDM. Também mapeado para target.asset.hostname . |
logdata.REMOTEVERSION |
target.platform_version |
O campo logdata.REMOTEVERSION do registro bruto é mapeado para o UDM. |
logdata.SMBVER |
network.application_protocol |
A presença do campo logdata.SMBVER aciona o analisador para definir network.application_protocol como SMB no UDM. |
logdata.USERAGENT |
network.http.parsed_user_agent |
O campo logdata.USERAGENT do registro bruto é convertido em um agente de usuário analisado e mapeado para o UDM. |
logdata.USERAGENT |
network.http.user_agent |
O campo logdata.USERAGENT do registro bruto é mapeado para o UDM. |
logdata.USERNAME |
target.user.userid |
O campo logdata.USERNAME do registro bruto é mapeado para o UDM. |
loglevel |
security_result.severity |
O campo loglevel do registro bruto determina o security_result.severity no UDM. WARNING é mapeado para HIGH , INFO /INFORMATION é mapeado para LOW . |
logtype |
security_result.detection_fields |
O campo logtype do registro bruto é adicionado como um par de chave-valor à matriz security_result.detection_fields no UDM. |
node_id |
principal.asset.asset_id |
O campo node_id do registro bruto é precedido por "id:" e mapeado para o UDM. |
src_host |
principal.asset.ip |
O campo src_host do registro bruto é mapeado para o UDM. Também mapeado para principal.ip . |
src_host |
principal.ip |
O campo src_host do registro bruto é mapeado para o UDM. Também mapeado para principal.asset.ip . |
src_port |
principal.port |
O campo src_port do registro bruto é convertido em um número inteiro e associado ao UDM. |
utc_time |
security_result.detection_fields |
O campo utc_time do registro bruto é adicionado como um par de chave-valor à matriz security_result.detection_fields no UDM. |
Alterações
2024-03-11
- O caractere inválido foi removido no final dos registros JSON para analisar os registros não analisados.
- Mapeamentos "principal.ip" e "principal.asset.ip" alinhados.
- Mapeamentos "target.ip" e "target.asset.ip" alinhados.
2024-02-08
- Parser recém-criado.