Thinkst Canary-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser normalisiert Rohlog-Nachrichten aus der Thinkst Canary-Software, indem er Zeilenumbrüche entfernt und versucht, die Nachricht als JSON zu parsen. Anhand des Vorhandenseins bestimmter Felder („Description“ für das Schlüssel/Wert-Format oder „summary“ für JSON) wird dann das Logformat ermittelt und die entsprechende Parsing-Logik aus separaten Konfigurationsdateien einbezogen, um die Daten dem einheitlichen Datenmodell zuzuordnen.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz.
- Privilegierter Zugriff auf Thinkst Canary.
REST API in Thinkst Canary konfigurieren
- Melden Sie sich in der Thinkst Canary-Verwaltungskonsole an.
- Klicken Sie auf das Zahnradsymbol > Globale Einstellungen.
- Klicken Sie auf API.
- Klicken Sie auf API aktivieren.
- Klicken Sie auf +, um eine API hinzuzufügen.
- Geben Sie der API einen aussagekräftigen Namen.
- Kopieren Sie den Domain-Hash und das Autorisierungstoken.
Feeds einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Thinkst Canary Logs (Thinkst Canary-Protokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Thinkst Canary als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Header für die Authentifizierung:Das zuvor generierte Token im
auth_token:<TOKEN>-Format (z. B. auth_token:AAAABBBBCCCC111122223333). - API-Hostname:Der FQDN (vollständig qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkt (z. B.
myinstance.canary.tools). - Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Header für die Authentifizierung:Das zuvor generierte Token im
- Klicken Sie auf Weiter.
- Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
UDM-Zuordnung
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| erstellt | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATEN | ||
| description | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| Beschreibung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADER | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| SCHLÜSSEL | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METHODE | read_only_udm.network.http.method | |
| MODUS | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| Name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| AUS | read_only_udm.security_result.detection_fields.value | |
| PASSWORT | ||
| PFAD | read_only_udm.target.url | |
| ports | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| REAKTION | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Einstellungen | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| Zusammenfassung | read_only_udm.metadata.product_event_type | Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt. |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Zeitstempel | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| TYP | ||
| NUTZER | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NUTZERNAME | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY – fest codierter Wert | |
| read_only_udm.metadata.vendor_name | Thinkst – Hartcodierter Wert | |
| read_only_udm.metadata.product_name | Canary – Hartcodierter Wert | |
| read_only_udm.security_result.severity | KRITISCH – Hartcodierter Wert | |
| read_only_udm.network.application_protocol | Wird durch den Port und „product_event_type“ bestimmt. | |
| read_only_udm.extensions.auth.mechanism | Wird durch die im Ereignis verwendete Authentifizierungsmethode bestimmt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten