Mengumpulkan log Thinkst Canary
Didukung di:
Google SecOps
SIEM
Parser ini menormalisasi pesan log mentah dari software Thinkst Canary dengan membersihkan akhir baris dan mencoba mengurai pesan sebagai JSON. Kemudian, berdasarkan keberadaan kolom tertentu ("Deskripsi" untuk format nilai kunci atau "ringkasan" untuk JSON), format log akan ditentukan dan logika penguraian yang sesuai akan disertakan dari file konfigurasi terpisah untuk memetakan data ke dalam model data terpadu.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke Thinkst Canary.
Mengonfigurasi REST API di Thinkst Canary
- Login ke konsol pengelolaan Thinkst Canary.
- Klik Ikon Roda Gigi > Setelan Global.
- Klik API.
- Klik Enable API.
- Klik + untuk menambahkan API.
- Beri nama deskriptif pada API.
- Salin Hash Domain dan Token Autentikasi.
Mengonfigurasi feed di Google SecOps untuk menyerap log Thinkst Canary
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya, Thinkst Canary Logs).
- Pilih Third party API sebagai Source type.
- Pilih Thinkst Canary sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
auth_token:<TOKEN>(misalnya, auth_token:AAAABBBBCCCC111122223333). - Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Thinks Canary REST API Anda (misalnya
myinstance.canary.tools). - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| dibuat | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| KERENTANAN | ||
| deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| Deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADER | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| KEY | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METODE | read_only_udm.network.http.method | |
| MODE | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| nama | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| KELUAR | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| JALUR | read_only_udm.target.url | |
| port | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPONS | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Setelan | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| ringkasan | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Stempel waktu | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| JENIS | ||
| PENGGUNA | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NAMA PENGGUNA | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - Nilai hardcode | |
| read_only_udm.metadata.vendor_name | Thinkst - Nilai hardcode | |
| read_only_udm.metadata.product_name | Canary - Nilai hardcode | |
| read_only_udm.security_result.severity | CRITICAL - Nilai hardcode | |
| read_only_udm.is_alert | true - Nilai hardcode | |
| read_only_udm.is_significant | true - Nilai hardcode | |
| read_only_udm.network.application_protocol | Ditentukan oleh port dan product_event_type | |
| read_only_udm.extensions.auth.mechanism | Ditentukan oleh metode autentikasi yang digunakan dalam peristiwa |
Perubahan
2024-05-18
- Menambahkan dukungan untuk peristiwa "Setelan Flock Diubah" dan mulai memetakan ID pengguna dari peristiwa ini.
2024-03-05
- Menambahkan dukungan untuk peristiwa "Permintaan SIP" dan "Permintaan TFTP".
- Peningkatan pemetaan untuk berbagai kolom seperti hash file, agen pengguna, dan label resource.
- Mulai memetakan detail tertentu dari header SIP dan TFTP untuk analisis keamanan yang lebih baik.
2023-12-08
- Standarisasi pemberitahuan "THINKST_CANARY" sebagai peristiwa penting dengan tanda keparahan yang sesuai.
- Menambahkan dukungan untuk peristiwa "NMAP OS Scan Detected".
2023-12-07
- Menambahkan dukungan untuk peristiwa "WinRM Login Attempt", "Telnet Login Attempt", "Redis Command".
- Peningkatan penguraian stempel waktu peristiwa.
2023-09-15
- Menambahkan dukungan untuk peristiwa "VNC Login Attempt".
2023-08-04
- Peningkatan penanganan peristiwa yang dipicu Canarytoken:
- Jenis peristiwa yang lebih spesifik kini digunakan.
- Informasi Canarytoken dipetakan dengan benar.
- Peristiwa ditandai sebagai pemberitahuan.
- Kategori keamanan disetel ke "NETWORK_SUSPICIOUS".
2023-05-12
- Memperbaiki masalah saat peristiwa "MSSQL Login Attempt" tidak dikategorikan dengan benar.
2022-12-04
- Menambahkan dukungan untuk peristiwa "HTTP Login Attempt", "FTP Login Attempt", "Website Scan", "Console Settings Changed", dan "RDP Login Attempt".