Thinkst Canary-Protokolle erfassen

Unterstützt in:

Dieser Parser normalisiert rohe Protokollnachrichten aus der Thinkst Canary-Software, indem er Zeilenumbrüche bereinigt und versucht, die Nachricht als JSON zu parsen. Anhand der Anwesenheit bestimmter Felder („Description“ für das Schlüssel/Wert-Format oder „summary“ für JSON) wird dann das Protokollformat bestimmt und die entsprechende Parselogik aus separaten Konfigurationsdateien eingefügt, um die Daten in das einheitliche Datenmodell abzubilden.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Thinkst Canary.

REST API in Thinkst Canary konfigurieren

  1. Melden Sie sich in der Thinkst Canary-Verwaltungskonsole an.
  2. Klicken Sie auf das Zahnradsymbol > Globale Einstellungen.
  3. Klicken Sie auf API.
  4. Klicken Sie auf API aktivieren.
  5. Klicken Sie auf +, um eine API hinzuzufügen.
  6. Geben Sie der API einen aussagekräftigen Namen.
  7. Kopieren Sie den Domain-Hash und das Auth-Token.

Feed in Google SecOps für die Aufnahme von Thinkst Canary-Protokollen konfigurieren

  1. Klicken Sie auf Neu hinzufügen.
  2. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Thinkst Canary-Protokolle.
  3. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  4. Wählen Sie Thinkst Canary als Logtyp aus.
  5. Klicken Sie auf Weiter.
  6. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader:Das zuvor im auth_token:<TOKEN>-Format generierte Token (z. B. auth_token:AAAABBBBCCCC111122223333).
    • API-Hostname:Der FQDN (voll qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkts, z. B. myinstance.canary.tools.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  7. Klicken Sie auf Weiter.
  8. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
AUDITACTION read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
erstellt read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DATEN
description read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
Beschreibung read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
HEADERS read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
SCHLÜSSEL
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
METHODE read_only_udm.network.http.method
MODUS
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
Name read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
AUS read_only_udm.security_result.detection_fields.value
PASSWORT
PATH read_only_udm.target.url
Ports read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
ANTWORT read_only_udm.network.http.response_code
ReverseDNS
Einstellungen read_only_udm.target.labels
SHARENAME
SIZE
HAUT
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
STATUS
Zusammenfassung read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Zeitstempel read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
Nutzungsbedingungen read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TYP
USER read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NUTZERNAME read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY – hartcodierter Wert
read_only_udm.metadata.vendor_name Thinkst – hartcodierter Wert
read_only_udm.metadata.product_name Canary – hartcodierter Wert
read_only_udm.security_result.severity KRITISCH – hartcodierter Wert
read_only_udm.is_alert „wahr“ – hartcodierter Wert
read_only_udm.is_significant „wahr“ – hartcodierter Wert
read_only_udm.network.application_protocol Wird durch den Anschluss und den „product_event_type“ bestimmt.
read_only_udm.extensions.auth.mechanism Wird durch die Authentifizierungsmethode bestimmt, die für das Ereignis verwendet wird.

Änderungen

2024-05-18

  • Es wurde Unterstützung für Ereignisse vom Typ „Flock-Einstellungen geändert“ hinzugefügt und die Nutzer-ID aus diesen Ereignissen wird jetzt zugeordnet.

2024-03-05

  • Unterstützung für die Ereignisse „SIP-Anfrage“ und „TFTP-Anfrage“ hinzugefügt.
  • Verbesserte Zuordnung für verschiedene Felder wie Datei-Hashes, User-Agents und Ressourcenlabels.
  • Bestimmte Details aus SIP- und TFTP-Headern werden jetzt für eine bessere Sicherheitsanalyse zugeordnet.

2023-12-08

  • Standardisierte „THINKST_CANARY“-Benachrichtigungen als kritische Ereignisse mit entsprechenden Schweregradmarkierungen.
  • Unterstützung für Ereignisse vom Typ „NMAP-OS-Scan erkannt“ hinzugefügt.

2023-12-07

  • Unterstützung für die Ereignisse „WinRM-Anmeldeversuch“, „Telnet-Anmeldeversuch“ und „Redis-Befehl“ hinzugefügt.
  • Verbessertes Parsen von Ereigniszeitstempeln.

2023-09-15

  • Unterstützung für „VNC-Anmeldeversuch“-Ereignisse hinzugefügt.

2023-08-04

  • Verbesserter Umgang mit Canary-Token-ausgelösten Ereignissen:
  • Es werden jetzt spezifischere Ereignistypen verwendet.
  • Canarytoken-Informationen sind korrekt zugeordnet.
  • Ereignisse werden als Benachrichtigungen gekennzeichnet.
  • Die Sicherheitskategorie ist auf „NETWORK_SUSPICIOUS“ festgelegt.

2023-05-12

  • Ein Problem wurde behoben, durch das Ereignisse vom Typ „MSSQL-Anmeldeversuch“ nicht richtig kategorisiert wurden.

2022-12-04

  • Unterstützung für die Ereignisse „HTTP-Anmeldeversuch“, „FTP-Anmeldeversuch“, „Website-Scan“, „Konsoleneinstellungen geändert“ und „RDP-Anmeldeversuch“ hinzugefügt.