Thinkst Canary-Protokolle erfassen
Dieser Parser normalisiert rohe Protokollnachrichten aus der Thinkst Canary-Software, indem er Zeilenumbrüche bereinigt und versucht, die Nachricht als JSON zu parsen. Anhand der Anwesenheit bestimmter Felder („Description“ für das Schlüssel/Wert-Format oder „summary“ für JSON) wird dann das Protokollformat bestimmt und die entsprechende Parselogik aus separaten Konfigurationsdateien eingefügt, um die Daten in das einheitliche Datenmodell abzubilden.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für Thinkst Canary.
REST API in Thinkst Canary konfigurieren
- Melden Sie sich in der Thinkst Canary-Verwaltungskonsole an.
- Klicken Sie auf das Zahnradsymbol > Globale Einstellungen.
- Klicken Sie auf API.
- Klicken Sie auf API aktivieren.
- Klicken Sie auf +, um eine API hinzuzufügen.
- Geben Sie der API einen aussagekräftigen Namen.
- Kopieren Sie den Domain-Hash und das Auth-Token.
Feed in Google SecOps für die Aufnahme von Thinkst Canary-Protokollen konfigurieren
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Thinkst Canary-Protokolle.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Thinkst Canary als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader:Das zuvor im
auth_token:<TOKEN>
-Format generierte Token (z. B. auth_token:AAAABBBBCCCC111122223333). - API-Hostname:Der FQDN (voll qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkts, z. B.
myinstance.canary.tools
. - Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader:Das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnung
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
AUDITACTION | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
CanaryIP | read_only_udm.target.ip | |
CanaryName | read_only_udm.target.hostname | |
CanaryPort | read_only_udm.target.port | |
COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
erstellt | read_only_udm.metadata.event_timestamp.seconds | |
created_std | read_only_udm.metadata.event_timestamp.seconds | |
DATEN | ||
description | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
Beschreibung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
DOMAIN | read_only_udm.target.administrative_domain | |
dst_host | read_only_udm.target.ip | |
dst_port | read_only_udm.target.port | |
eventid | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
events_count | read_only_udm.security_result.detection_fields.value | |
FILENAME | read_only_udm.target.file.full_path | |
FIN | read_only_udm.security_result.detection_fields.value | |
flock_id | read_only_udm.principal.resource.attribute.labels.value | |
flock_name | read_only_udm.principal.resource.attribute.labels.value | |
FunctionData | ||
FunctionName | ||
HEADERS | read_only_udm.security_result.about.resource.attribute.labels | |
HOST | read_only_udm.target.hostname | |
HOSTNAME | read_only_udm.target.hostname | |
id | read_only_udm.metadata.product_log_id | |
ID | read_only_udm.security_result.detection_fields.value | |
IN | read_only_udm.security_result.detection_fields.value | |
ip_address | ||
SCHLÜSSEL | ||
LEN | read_only_udm.security_result.detection_fields.value | |
LOCALNAME | read_only_udm.target.hostname | |
LOCALVERSION | read_only_udm.target.platform_version | |
logtype | read_only_udm.security_result.detection_fields.value | |
LOGINTYPE | ||
MAC | read_only_udm.principal.mac | |
matched_annotations | ||
METHODE | read_only_udm.network.http.method | |
MODUS | ||
ms_macro_ip | read_only_udm.principal.ip | |
ms_macro_username | read_only_udm.principal.user.user_display_name | |
Name | read_only_udm.target.hostname | |
node_id | read_only_udm.principal.resource.attribute.labels.value | |
OFFSET | ||
OPCODE | ||
AUS | read_only_udm.security_result.detection_fields.value | |
PASSWORT | ||
PATH | read_only_udm.target.url | |
Ports | read_only_udm.target.labels.value | |
PREC | read_only_udm.security_result.detection_fields.value | |
PreviousIP | read_only_udm.principal.ip | |
PROTO | read_only_udm.network.ip_protocol | |
PSH | read_only_udm.security_result.detection_fields.value | |
REALM | read_only_udm.target.administrative_domain | |
REMOTENAME | read_only_udm.principal.hostname | |
REMOTEVERSION | read_only_udm.principal.platform_version | |
REPO | read_only_udm.target.resource.attribute.labels.value | |
ANTWORT | read_only_udm.network.http.response_code | |
ReverseDNS | ||
Einstellungen | read_only_udm.target.labels | |
SHARENAME | ||
SIZE | ||
HAUT | ||
SMBARCH | ||
SMBREPEATEVENTMSG | ||
SMBVER | ||
SNAME | ||
SourceIP | read_only_udm.principal.ip | |
src_host | read_only_udm.principal.ip | |
src_host_reverse | read_only_udm.principal.hostname | |
src_port | read_only_udm.principal.port | |
STATUS | ||
Zusammenfassung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
SYN | read_only_udm.security_result.detection_fields.value | |
TCPBannerID | ||
TERMSIZE | ||
TERMTYPE | ||
timestamp | read_only_udm.metadata.event_timestamp.seconds | |
timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
Zeitstempel | read_only_udm.metadata.event_timestamp.seconds | |
TKTVNO | read_only_udm.security_result.detection_fields.value | |
Nutzungsbedingungen | read_only_udm.security_result.detection_fields.value | |
TTL | read_only_udm.security_result.detection_fields.value | |
TYP | ||
USER | read_only_udm.principal.user.user_display_name | |
USERAGENT | read_only_udm.network.http.user_agent | |
NUTZERNAME | read_only_udm.target.user.user_display_name | |
URG | read_only_udm.security_result.detection_fields.value | |
URGP | read_only_udm.security_result.detection_fields.value | |
WINDOW | read_only_udm.security_result.detection_fields.value | |
windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
read_only_udm.metadata.log_type | THINKST_CANARY – hartcodierter Wert | |
read_only_udm.metadata.vendor_name | Thinkst – hartcodierter Wert | |
read_only_udm.metadata.product_name | Canary – hartcodierter Wert | |
read_only_udm.security_result.severity | KRITISCH – hartcodierter Wert | |
read_only_udm.is_alert | „wahr“ – hartcodierter Wert | |
read_only_udm.is_significant | „wahr“ – hartcodierter Wert | |
read_only_udm.network.application_protocol | Wird durch den Anschluss und den „product_event_type“ bestimmt. | |
read_only_udm.extensions.auth.mechanism | Wird durch die Authentifizierungsmethode bestimmt, die für das Ereignis verwendet wird. |
Änderungen
2024-05-18
- Es wurde Unterstützung für Ereignisse vom Typ „Flock-Einstellungen geändert“ hinzugefügt und die Nutzer-ID aus diesen Ereignissen wird jetzt zugeordnet.
2024-03-05
- Unterstützung für die Ereignisse „SIP-Anfrage“ und „TFTP-Anfrage“ hinzugefügt.
- Verbesserte Zuordnung für verschiedene Felder wie Datei-Hashes, User-Agents und Ressourcenlabels.
- Bestimmte Details aus SIP- und TFTP-Headern werden jetzt für eine bessere Sicherheitsanalyse zugeordnet.
2023-12-08
- Standardisierte „THINKST_CANARY“-Benachrichtigungen als kritische Ereignisse mit entsprechenden Schweregradmarkierungen.
- Unterstützung für Ereignisse vom Typ „NMAP-OS-Scan erkannt“ hinzugefügt.
2023-12-07
- Unterstützung für die Ereignisse „WinRM-Anmeldeversuch“, „Telnet-Anmeldeversuch“ und „Redis-Befehl“ hinzugefügt.
- Verbessertes Parsen von Ereigniszeitstempeln.
2023-09-15
- Unterstützung für „VNC-Anmeldeversuch“-Ereignisse hinzugefügt.
2023-08-04
- Verbesserter Umgang mit Canary-Token-ausgelösten Ereignissen:
- Es werden jetzt spezifischere Ereignistypen verwendet.
- Canarytoken-Informationen sind korrekt zugeordnet.
- Ereignisse werden als Benachrichtigungen gekennzeichnet.
- Die Sicherheitskategorie ist auf „NETWORK_SUSPICIOUS“ festgelegt.
2023-05-12
- Ein Problem wurde behoben, durch das Ereignisse vom Typ „MSSQL-Anmeldeversuch“ nicht richtig kategorisiert wurden.
2022-12-04
- Unterstützung für die Ereignisse „HTTP-Anmeldeversuch“, „FTP-Anmeldeversuch“, „Website-Scan“, „Konsoleneinstellungen geändert“ und „RDP-Anmeldeversuch“ hinzugefügt.