Thinkst Canary-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser normalisiert rohe Protokollnachrichten aus der Thinkst Canary-Software, indem er Zeilenumbrüche bereinigt und versucht, die Nachricht als JSON zu parsen. Anhand der Anwesenheit bestimmter Felder („Description“ für das Schlüssel/Wert-Format oder „summary“ für JSON) wird dann das Protokollformat bestimmt und die entsprechende Parselogik aus separaten Konfigurationsdateien eingefügt, um die Daten in das einheitliche Datenmodell abzubilden.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für Thinkst Canary.
REST API in Thinkst Canary konfigurieren
- Melden Sie sich in der Thinkst Canary-Verwaltungskonsole an.
- Klicken Sie auf das Zahnradsymbol > Globale Einstellungen.
- Klicken Sie auf API.
- Klicken Sie auf API aktivieren.
- Klicken Sie auf +, um eine API hinzuzufügen.
- Geben Sie der API einen aussagekräftigen Namen.
- Kopieren Sie den Domain-Hash und das Auth-Token.
Feed in Google SecOps für die Aufnahme von Thinkst Canary-Protokollen konfigurieren
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Thinkst Canary-Protokolle.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Thinkst Canary als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader:Das zuvor im
auth_token:<TOKEN>-Format generierte Token (z. B. auth_token:AAAABBBBCCCC111122223333). - API-Hostname:Der FQDN (voll qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkts, z. B.
myinstance.canary.tools. - Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader:Das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| erstellt | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATEN | ||
| description | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| Beschreibung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADERS | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| SCHLÜSSEL | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METHODE | read_only_udm.network.http.method | |
| MODUS | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| Name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| AUS | read_only_udm.security_result.detection_fields.value | |
| PASSWORT | ||
| PATH | read_only_udm.target.url | |
| Ports | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| ANTWORT | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Einstellungen | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| HAUT | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| Zusammenfassung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Zeitstempel | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| Nutzungsbedingungen | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| TYP | ||
| USER | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NUTZERNAME | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY – hartcodierter Wert | |
| read_only_udm.metadata.vendor_name | Thinkst – hartcodierter Wert | |
| read_only_udm.metadata.product_name | Canary – hartcodierter Wert | |
| read_only_udm.security_result.severity | KRITISCH – hartcodierter Wert | |
| read_only_udm.is_alert | „wahr“ – hartcodierter Wert | |
| read_only_udm.is_significant | „wahr“ – hartcodierter Wert | |
| read_only_udm.network.application_protocol | Wird durch den Anschluss und den „product_event_type“ bestimmt. | |
| read_only_udm.extensions.auth.mechanism | Wird durch die Authentifizierungsmethode bestimmt, die für das Ereignis verwendet wird. |
Änderungen
2024-05-18
- Es wurde Unterstützung für Ereignisse vom Typ „Flock-Einstellungen geändert“ hinzugefügt und die Nutzer-ID aus diesen Ereignissen wird jetzt zugeordnet.
2024-03-05
- Unterstützung für die Ereignisse „SIP-Anfrage“ und „TFTP-Anfrage“ hinzugefügt.
- Verbesserte Zuordnung für verschiedene Felder wie Datei-Hashes, User-Agents und Ressourcenlabels.
- Bestimmte Details aus SIP- und TFTP-Headern werden jetzt für eine bessere Sicherheitsanalyse zugeordnet.
2023-12-08
- Standardisierte „THINKST_CANARY“-Benachrichtigungen als kritische Ereignisse mit entsprechenden Schweregradmarkierungen.
- Unterstützung für Ereignisse vom Typ „NMAP-OS-Scan erkannt“ hinzugefügt.
2023-12-07
- Unterstützung für die Ereignisse „WinRM-Anmeldeversuch“, „Telnet-Anmeldeversuch“ und „Redis-Befehl“ hinzugefügt.
- Verbessertes Parsen von Ereigniszeitstempeln.
2023-09-15
- Unterstützung für „VNC-Anmeldeversuch“-Ereignisse hinzugefügt.
2023-08-04
- Verbesserter Umgang mit Canary-Token-ausgelösten Ereignissen:
- Es werden jetzt spezifischere Ereignistypen verwendet.
- Canarytoken-Informationen sind korrekt zugeordnet.
- Ereignisse werden als Benachrichtigungen gekennzeichnet.
- Die Sicherheitskategorie ist auf „NETWORK_SUSPICIOUS“ festgelegt.
2023-05-12
- Ein Problem wurde behoben, durch das Ereignisse vom Typ „MSSQL-Anmeldeversuch“ nicht richtig kategorisiert wurden.
2022-12-04
- Unterstützung für die Ereignisse „HTTP-Anmeldeversuch“, „FTP-Anmeldeversuch“, „Website-Scan“, „Konsoleneinstellungen geändert“ und „RDP-Anmeldeversuch“ hinzugefügt.