Recopila registros de Thinkst Canary

Compatible con:

Este analizador normaliza los mensajes de registro sin procesar del software Thinkst Canary limpiando los saltos de línea y tratando de analizar el mensaje como JSON. Luego, según la presencia de campos específicos ("Descripción" para el formato de par clave-valor o "Resumen" para JSON), determina el formato de registro y, además, incluye la lógica de análisis adecuada de archivos de configuración independientes para asignar los datos al modelo de datos unificado.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Thinkst Canary.

Configura la API de REST en Thinkst Canary

  1. Accede a la consola de administración de Thinkst Canary.
  2. Haz clic en el ícono de ajustes > Configuración global.
  3. Haz clic en API.
  4. Haz clic en Habilitar API.
  5. Haz clic en + para agregar una API.
  6. Asigna un nombre descriptivo a la API.
  7. Copia el hash de dominio y el token de autenticación.

Configura un feed en Google SecOps para transferir registros de Thinkst Canary

  1. Haz clic en Agregar nueva.
  2. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Canary de Thinkst).
  3. Selecciona API de terceros como el Tipo de origen.
  4. Selecciona Thinkst Canary como el Tipo de registro.
  5. Haz clic en Siguiente.
  6. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el token generado anteriormente en un formato auth_token:<TOKEN> (por ejemplo, auth_token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de la API de Thinks Canary REST (por ejemplo, myinstance.canary.tools).
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  7. Haz clic en Siguiente.
  8. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
AUDITACTION read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es JSON; de lo contrario, lo determina el campo eventid.
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
creada read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DATOS
descripción read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es JSON; de lo contrario, lo determina el campo eventid.
Descripción read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es JSON; de lo contrario, lo determina el campo eventid.
DOMINIO read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es JSON; de lo contrario, lo determina el campo eventid.
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
ENCABEZADOS read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
CLAVE
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
MÉTODO read_only_udm.network.http.method
MODO
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
nombre read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
DESREF (OFFSET)
OPCODE
OUT read_only_udm.security_result.detection_fields.value
CONTRASEÑA
PATH read_only_udm.target.url
puertos read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
RESPUESTA read_only_udm.network.http.response_code
ReverseDNS
Configuración read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
ESTADO
resumen read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es JSON; de lo contrario, lo determina el campo eventid.
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Marca de tiempo read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
Condiciones del Servicio read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TIPO
USUARIO read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NOMBRE DE USUARIO read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY: Valor hard-coded
read_only_udm.metadata.vendor_name Thinkst: Valor hard-coded
read_only_udm.metadata.product_name Canary: Valor hard-coded
read_only_udm.security_result.severity CRÍTICO: Valor hard-coded
read_only_udm.is_alert verdadero: Valor codificado
read_only_udm.is_significant verdadero: Valor codificado
read_only_udm.network.application_protocol Se determina según el puerto y el product_event_type
read_only_udm.extensions.auth.mechanism Se determina según el método de autenticación que se usa en el evento.

Cambios

2024-05-18

  • Se agregó compatibilidad con los eventos "Flock Settings Changed" y se comenzó a asignar el ID del usuario a partir de estos eventos.

2024-03-05

  • Se agregó compatibilidad con los eventos "Solicitud de SIP" y "Solicitud de TFTP".
  • Se mejoró la asignación de varios campos, como los valores hash de archivos, los agentes de usuario y las etiquetas de recursos.
  • Se comenzaron a asignar detalles específicos de los encabezados SIP y TFTP para mejorar el análisis de seguridad.

2023-12-08

  • Se estandarizaron las alertas "THINKST_CANARY" como eventos críticos con las marcas de gravedad adecuadas.
  • Se agregó compatibilidad con los eventos "NMAP OS Scan Detected".

2023-12-07

  • Se agregó compatibilidad con los eventos "WinRM Login Attempt", "Telnet Login Attempt" y "Redis Command".
  • Se mejoró el análisis de las marcas de tiempo de los eventos.

2023-09-15

  • Se agregó compatibilidad con los eventos "Intento de acceso a VNC".

2023-08-04

  • Se mejoró el manejo de los eventos activados por Canarytoken:
  • Ahora se usan tipos de eventos más específicos.
  • La información de Canarytoken se asignó correctamente.
  • Los eventos se marcan como alertas.
  • La categoría de seguridad está configurada en "NETWORK_SUSPICIOUS".

2023-05-12

  • Se corrigió un problema por el que los eventos "MSSQL Login Attempt" no se categorizaban correctamente.

2022-12-04

  • Se agregó compatibilidad con los eventos "Intento de acceso de HTTP", "Intento de acceso de FTP", "Exploración de sitios web", "Cambio en la configuración de la consola" y "Intento de acceso de RDP".