Collecter les journaux Thinkst Canary

Compatible avec:

Cet analyseur normalise les messages de journal bruts du logiciel Thinkst Canary en nettoyant les sauts de ligne et en essayant d'analyser le message au format JSON. Ensuite, en fonction de la présence de champs spécifiques ("Description" pour le format clé-valeur ou "summary" pour le format JSON), il détermine le format de journalisation et inclut la logique d'analyse appropriée à partir de fichiers de configuration distincts pour mapper les données dans le modèle de données unifié.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Thinkst Canary.

Configurer l'API REST dans Thinkst Canary

  1. Connectez-vous à la console de gestion Thinkst Canary.
  2. Cliquez sur l'icône en forme de roue dentée > Paramètres généraux.
  3. Cliquez sur API.
  4. Cliquez sur Activer l'API.
  5. Cliquez sur + pour ajouter une API.
  6. Attribuez un nom descriptif à l'API.
  7. Copiez le hachage de domaine et le jeton d'autorisation.

Configurer un flux dans Google SecOps pour ingérer les journaux Thinkst Canary

  1. Cliquez sur Ajouter.
  2. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Thinkst Canary Logs).
  3. Sélectionnez API tierce comme type de source.
  4. Sélectionnez Thinkst Canary comme type de journal.
  5. Cliquez sur Suivant.
  6. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification:jeton généré précédemment au format auth_token:<TOKEN> (par exemple, auth_token:AAAABBBBCCCC111122223333).
    • Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Thinks Canary (par exemple, myinstance.canary.tools).
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  7. Cliquez sur Suivant.
  8. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Mappage UDM

Champ du journal Mappage UDM Logique
AUDITACTION read_only_udm.metadata.product_event_type La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid".
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
créé read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DONNÉES
description read_only_udm.metadata.product_event_type La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid".
Description read_only_udm.metadata.product_event_type La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid".
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid".
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
EN-TÊTES read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
CLÉ
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
Mac read_only_udm.principal.mac
matched_annotations
MÉTHODE read_only_udm.network.http.method
MODE
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
nom read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
CODE OPÉRATION
OUT read_only_udm.security_result.detection_fields.value
MOT DE PASSE
PATH read_only_udm.target.url
ports read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
RÉPONSE read_only_udm.network.http.response_code
ReverseDNS
Paramètres read_only_udm.target.labels
SHARENAME
SIZE
PEAU
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
ÉTAT
résumé read_only_udm.metadata.product_event_type La valeur est extraite du champ "description" si le format est JSON, sinon elle est déterminée par le champ "eventid".
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Horodatage read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
Conditions d'utilisation read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TYPE
USER read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NOM D'UTILISATEUR read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY : valeur codée en dur
read_only_udm.metadata.vendor_name Thinkst : valeur codée en dur
read_only_udm.metadata.product_name Canary : valeur codée en dur
read_only_udm.security_result.severity CRITICAL (CRITIQUE) : valeur codée en dur
read_only_udm.is_alert "true" : valeur codée en dur
read_only_udm.is_significant "true" : valeur codée en dur
read_only_udm.network.application_protocol Déterminé par le port et le type d'événement produit
read_only_udm.extensions.auth.mechanism Déterminé par la méthode d'authentification utilisée lors de l'événement

Modifications

2024-05-18

  • Prise en charge des événements "Paramètres de la balise modifiés" et début du mappage de l'ID utilisateur à partir de ces événements.

2024-03-05

  • Prise en charge des événements "SIP Request" (Requête SIP) et "TFTP Request" (Requête TFTP).
  • Amélioration de la mise en correspondance pour divers champs tels que les hachages de fichiers, les user-agents et les libellés de ressources.
  • Début du mappage de détails spécifiques à partir des en-têtes SIP et TFTP pour une meilleure analyse de la sécurité.

2023-12-08

  • Les alertes "THINKST_CANARY" ont été standardisées en tant qu'événements critiques avec des niveaux de gravité appropriés.
  • Prise en charge des événements "Analyse de l'OS NMAP détectée".

2023-12-07

  • Prise en charge des événements "Tentative de connexion WinRM", "Tentative de connexion Telnet" et "Commande Redis".
  • Amélioration de l'analyse des codes temporels des événements.

2023-09-15

  • Prise en charge des événements "Tentative de connexion VNC".

2023-08-04

  • Amélioration de la gestion des événements déclenchés par Canarytoken:
  • Des types d'événements plus spécifiques sont désormais utilisés.
  • Les informations Canarytoken sont mappées correctement.
  • Les événements sont marqués comme alertes.
  • La catégorie de sécurité est définie sur "NETWORK_SUSPICIOUS".

2023-05-12

  • Correction d'un problème qui empêchait les événements "Tentative de connexion MSSQL" d'être correctement catégorisés.

2022-12-04

  • Prise en charge des événements "Tentative de connexion HTTP", "Tentative de connexion FTP", "Analyse du site Web", "Modification des paramètres de la console" et "Tentative de connexion RDP".