Collecter les journaux Thinkst Canary
Cet analyseur normalise les messages de journal bruts du logiciel Thinkst Canary en nettoyant les sauts de ligne et en essayant d'analyser le message au format JSON. Ensuite, en fonction de la présence de champs spécifiques ("Description" pour le format clé-valeur ou "summary" pour le format JSON), il détermine le format de journalisation et inclut la logique d'analyse appropriée à partir de fichiers de configuration distincts pour mapper les données dans le modèle de données unifié.
Avant de commencer
- Assurez-vous de disposer d'une instance Google SecOps.
- Assurez-vous de disposer d'un accès privilégié à Thinkst Canary.
Configurer l'API REST dans Thinkst Canary
- Connectez-vous à la console de gestion Thinkst Canary.
- Cliquez sur l'icône en forme de roue dentée > Paramètres généraux.
- Cliquez sur API.
- Cliquez sur Activer l'API.
- Cliquez sur + pour ajouter une API.
- Attribuez un nom descriptif à l'API.
- Copiez le hachage de domaine et le jeton d'autorisation.
Configurer un flux dans Google SecOps pour ingérer les journaux Thinkst Canary
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Thinkst Canary Logs).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Thinkst Canary comme type de journal.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- En-tête HTTP d'authentification:jeton généré précédemment au format
auth_token:<TOKEN>
(par exemple, auth_token:AAAABBBBCCCC111122223333). - Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Thinks Canary (par exemple,
myinstance.canary.tools
). - Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé appliqué aux événements de ce flux.
- En-tête HTTP d'authentification:jeton généré précédemment au format
- Cliquez sur Suivant.
- Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Mappage UDM
Champ du journal | Mappage UDM | Logique |
---|---|---|
AUDITACTION | read_only_udm.metadata.product_event_type | La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid". |
CanaryIP | read_only_udm.target.ip | |
CanaryName | read_only_udm.target.hostname | |
CanaryPort | read_only_udm.target.port | |
COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
créé | read_only_udm.metadata.event_timestamp.seconds | |
created_std | read_only_udm.metadata.event_timestamp.seconds | |
DONNÉES | ||
description | read_only_udm.metadata.product_event_type | La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid". |
Description | read_only_udm.metadata.product_event_type | La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid". |
DOMAIN | read_only_udm.target.administrative_domain | |
dst_host | read_only_udm.target.ip | |
dst_port | read_only_udm.target.port | |
eventid | read_only_udm.metadata.product_event_type | La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid". |
events_count | read_only_udm.security_result.detection_fields.value | |
FILENAME | read_only_udm.target.file.full_path | |
FIN | read_only_udm.security_result.detection_fields.value | |
flock_id | read_only_udm.principal.resource.attribute.labels.value | |
flock_name | read_only_udm.principal.resource.attribute.labels.value | |
FunctionData | ||
FunctionName | ||
EN-TÊTES | read_only_udm.security_result.about.resource.attribute.labels | |
HOST | read_only_udm.target.hostname | |
HOSTNAME | read_only_udm.target.hostname | |
id | read_only_udm.metadata.product_log_id | |
ID | read_only_udm.security_result.detection_fields.value | |
IN | read_only_udm.security_result.detection_fields.value | |
ip_address | ||
CLÉ | ||
LEN | read_only_udm.security_result.detection_fields.value | |
LOCALNAME | read_only_udm.target.hostname | |
LOCALVERSION | read_only_udm.target.platform_version | |
logtype | read_only_udm.security_result.detection_fields.value | |
LOGINTYPE | ||
Mac | read_only_udm.principal.mac | |
matched_annotations | ||
MÉTHODE | read_only_udm.network.http.method | |
MODE | ||
ms_macro_ip | read_only_udm.principal.ip | |
ms_macro_username | read_only_udm.principal.user.user_display_name | |
nom | read_only_udm.target.hostname | |
node_id | read_only_udm.principal.resource.attribute.labels.value | |
OFFSET | ||
CODE OPÉRATION | ||
OUT | read_only_udm.security_result.detection_fields.value | |
MOT DE PASSE | ||
PATH | read_only_udm.target.url | |
ports | read_only_udm.target.labels.value | |
PREC | read_only_udm.security_result.detection_fields.value | |
PreviousIP | read_only_udm.principal.ip | |
PROTO | read_only_udm.network.ip_protocol | |
PSH | read_only_udm.security_result.detection_fields.value | |
REALM | read_only_udm.target.administrative_domain | |
REMOTENAME | read_only_udm.principal.hostname | |
REMOTEVERSION | read_only_udm.principal.platform_version | |
REPO | read_only_udm.target.resource.attribute.labels.value | |
RÉPONSE | read_only_udm.network.http.response_code | |
ReverseDNS | ||
Paramètres | read_only_udm.target.labels | |
SHARENAME | ||
SIZE | ||
PEAU | ||
SMBARCH | ||
SMBREPEATEVENTMSG | ||
SMBVER | ||
SNAME | ||
SourceIP | read_only_udm.principal.ip | |
src_host | read_only_udm.principal.ip | |
src_host_reverse | read_only_udm.principal.hostname | |
src_port | read_only_udm.principal.port | |
ÉTAT | ||
résumé | read_only_udm.metadata.product_event_type | La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid". |
SYN | read_only_udm.security_result.detection_fields.value | |
TCPBannerID | ||
TERMSIZE | ||
TERMTYPE | ||
timestamp | read_only_udm.metadata.event_timestamp.seconds | |
timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
Horodatage | read_only_udm.metadata.event_timestamp.seconds | |
TKTVNO | read_only_udm.security_result.detection_fields.value | |
Conditions d'utilisation | read_only_udm.security_result.detection_fields.value | |
TTL | read_only_udm.security_result.detection_fields.value | |
TYPE | ||
USER | read_only_udm.principal.user.user_display_name | |
USERAGENT | read_only_udm.network.http.user_agent | |
NOM D'UTILISATEUR | read_only_udm.target.user.user_display_name | |
URG | read_only_udm.security_result.detection_fields.value | |
URGP | read_only_udm.security_result.detection_fields.value | |
WINDOW | read_only_udm.security_result.detection_fields.value | |
windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
read_only_udm.metadata.log_type | THINKST_CANARY : valeur codée en dur | |
read_only_udm.metadata.vendor_name | Thinkst : valeur codée en dur | |
read_only_udm.metadata.product_name | Canary : valeur codée en dur | |
read_only_udm.security_result.severity | CRITICAL (CRITIQUE) : valeur codée en dur | |
read_only_udm.is_alert | "true" : valeur codée en dur | |
read_only_udm.is_significant | "true" : valeur codée en dur | |
read_only_udm.network.application_protocol | Déterminé par le port et le type d'événement produit | |
read_only_udm.extensions.auth.mechanism | Déterminé par la méthode d'authentification utilisée lors de l'événement |
Modifications
2024-05-18
- Prise en charge des événements "Paramètres de la balise modifiés" et début du mappage de l'ID utilisateur à partir de ces événements.
2024-03-05
- Prise en charge des événements "SIP Request" (Requête SIP) et "TFTP Request" (Requête TFTP).
- Amélioration de la mise en correspondance pour divers champs tels que les hachages de fichiers, les user-agents et les libellés de ressources.
- Début du mappage de détails spécifiques à partir des en-têtes SIP et TFTP pour une meilleure analyse de la sécurité.
2023-12-08
- Les alertes "THINKST_CANARY" ont été standardisées en tant qu'événements critiques avec des niveaux de gravité appropriés.
- Prise en charge des événements "Analyse de l'OS NMAP détectée".
2023-12-07
- Prise en charge des événements "Tentative de connexion WinRM", "Tentative de connexion Telnet" et "Commande Redis".
- Amélioration de l'analyse des codes temporels des événements.
2023-09-15
- Prise en charge des événements "Tentative de connexion VNC".
2023-08-04
- Amélioration de la gestion des événements déclenchés par Canarytoken:
- Des types d'événements plus spécifiques sont désormais utilisés.
- Les informations Canarytoken sont mappées correctement.
- Les événements sont marqués comme alertes.
- La catégorie de sécurité est définie sur "NETWORK_SUSPICIOUS".
2023-05-12
- Correction d'un problème qui empêchait les événements "Tentative de connexion MSSQL" d'être correctement catégorisés.
2022-12-04
- Prise en charge des événements "Tentative de connexion HTTP", "Tentative de connexion FTP", "Analyse du site Web", "Modification des paramètres de la console" et "Tentative de connexion RDP".