Thinkst Canary ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、行末をクリーンアップし、メッセージを JSON として解析しようとすることで、Thinkst Canary ソフトウェアの未加工のログ メッセージを正規化します。次に、特定のフィールド(Key-Value 形式の場合は「Description」、JSON の場合は「summary」)の有無に基づいてログ形式を決定し、個別の構成ファイルから適切な解析ロジックを組み込んで、データを統合データモデルにマッピングします。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Thinkst Canary への特権アクセス権があることを確認します。
Thinkst Canary で REST API を構成する
- Thinkst Canary 管理コンソールにログインします。
- 歯車アイコン > [Global Settings] をクリックします。
- [API] をクリックします。
- [API を有効にする] をクリックします。
- [+] をクリックして API を追加します。
- API にわかりやすい名前を付けます。
- [Domain Hash] と [Auth Token] をコピーします。
Thinkst Canary のログを取り込むように Google SecOps でフィードを構成する
- [新しく追加] をクリックします。
- [Feed name] フィールドに、フィードの名前を入力します(例: Thinkst Canary Logs)。
- [Source type] として [Third Party API] を選択します。
- [Log type] として [Thinkst Canary] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Authentication HTTP Header:
auth_token:<TOKEN>形式で以前に生成されたトークン(例: auth_token:AAAABBBBCCCC111122223333)。 - API Hostname: Thinks Canary REST API エンドポイントの FQDN(完全修飾ドメイン名)(例:
myinstance.canary.tools)。 - Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- Authentication HTTP Header:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
UDM マッピング
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 形式が JSON の場合、値は description フィールドから取得されます。それ以外の場合は、eventid フィールドによって決まります。 |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| created | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATA | ||
| 説明 | read_only_udm.metadata.product_event_type | 形式が JSON の場合、値は description フィールドから取得されます。それ以外の場合は、eventid フィールドによって決まります。 |
| 説明 | read_only_udm.metadata.product_event_type | 形式が JSON の場合、値は description フィールドから取得されます。それ以外の場合は、eventid フィールドによって決まります。 |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 形式が JSON の場合、値は description フィールドから取得されます。それ以外の場合は、eventid フィールドによって決まります。 |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADERS | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| KEY | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METHOD | read_only_udm.network.http.method | |
| モード | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| パスワード | ||
| PATH | read_only_udm.target.url | |
| ports | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPONSE | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Settings | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ステータス | ||
| 概要 | read_only_udm.metadata.product_event_type | 形式が JSON の場合、値は description フィールドから取得されます。それ以外の場合は、eventid フィールドによって決まります。 |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| タイムスタンプ | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| タイプ | ||
| ユーザー | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| ユーザー名 | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - ハードコードされた値 | |
| read_only_udm.metadata.vendor_name | Thinkst - ハードコードされた値 | |
| read_only_udm.metadata.product_name | Canary - ハードコードされた値 | |
| read_only_udm.security_result.severity | CRITICAL - ハードコードされた値 | |
| read_only_udm.is_alert | true - ハードコードされた値 | |
| read_only_udm.is_significant | true - ハードコードされた値 | |
| read_only_udm.network.application_protocol | ポートと product_event_type によって決定 | |
| read_only_udm.extensions.auth.mechanism | イベントで使用された認証方法によって決まります。 |
変更
2024-05-18
- 「Flock Settings Changed」イベントのサポートを追加し、これらのイベントからユーザー ID のマッピングを開始しました。
2024-03-05
- 「SIP Request」イベントと「TFTP Request」イベントのサポートを追加しました。
- ファイルハッシュ、ユーザー エージェント、リソースラベルなどのさまざまなフィールドのマッピングを改善しました。
- セキュリティ分析の精度を高めるために、SIP ヘッダーと TFTP ヘッダーの特定の詳細をマッピングする処理を開始しました。
2023-12-08
- 適切な重大度マークを使用して、重大なイベントとして「THINKST_CANARY」アラートを標準化しました。
- 「NMAP OS Scan Detected」イベントのサポートを追加しました。
2023-12-07
- 「WinRM Login Attempt」、「Telnet Login Attempt」、「Redis Command」イベントのサポートを追加しました。
- イベント タイムスタンプの解析を改善しました。
2023-09-15
- 「VNC Login Attempt」イベントのサポートを追加しました。
2023-08-04
- Canarytoken によってトリガーされるイベントの処理を改善しました。
- より具体的なイベントタイプが使用されるようになりました。
- Canarytoken 情報が正しくマッピングされるようになりました。
- イベントがアラートとしてマークされるようになりました。
- セキュリティ カテゴリが「NETWORK_SUSPICIOUS」に設定されるようになりました。
2023-05-12
- 「MSSQL Login Attempt」イベントが正しく分類されない問題を修正しました。
2022-12-04
- 「HTTP Login Attempt」、「FTP Login Attempt」、「Website Scan」、「Console Settings Changed」、「RDP Login Attempt」イベントのサポートを追加しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。