Raccogliere i log di Thinkst Canary
Questo parser normalizza i messaggi di log non elaborati del software Thinkst Canary pulendo gli a capo e tentando di analizzare il messaggio come JSON. In base alla presenza di campi specifici ("Descrizione" per il formato chiave-valore o "riepilogo" per JSON), determina il formato del log e include la logica di analisi appropriata da file di configurazione separati per mappare i dati nel modello di dati unificato.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso privilegiato a Thinkst Canary.
Configurare l'API REST in Thinkst Canary
- Accedi alla console di gestione di Thinkst Canary.
- Fai clic sull'icona a forma di ingranaggio > Impostazioni globali.
- Fai clic su API.
- Fai clic su Abilita API.
- Fai clic su + per aggiungere un'API.
- Assegna all'API un nome descrittivo.
- Copia l'hash del dominio e l'token di autenticazione.
Configura un feed in Google SecOps per importare i log di Thinkst Canary
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Thinkst Canary).
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Thinkst Canary come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:il token generato in precedenza in un formato
auth_token:<TOKEN>
(ad esempio auth_token:AAAABBBBCCCC111122223333). - Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint dell'API REST di Thinks Canary (ad esempio
myinstance.canary.tools
). - Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Intestazione HTTP di autenticazione:il token generato in precedenza in un formato
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
Mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
AUDITACTION | read_only_udm.metadata.product_event_type | Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid |
CanaryIP | read_only_udm.target.ip | |
CanaryName | read_only_udm.target.hostname | |
CanaryPort | read_only_udm.target.port | |
COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
creato | read_only_udm.metadata.event_timestamp.seconds | |
created_std | read_only_udm.metadata.event_timestamp.seconds | |
DATI | ||
description | read_only_udm.metadata.product_event_type | Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid |
Descrizione | read_only_udm.metadata.product_event_type | Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid |
DOMINIO | read_only_udm.target.administrative_domain | |
dst_host | read_only_udm.target.ip | |
dst_port | read_only_udm.target.port | |
eventid | read_only_udm.metadata.product_event_type | Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid |
events_count | read_only_udm.security_result.detection_fields.value | |
NOMEFILE | read_only_udm.target.file.full_path | |
FIN | read_only_udm.security_result.detection_fields.value | |
flock_id | read_only_udm.principal.resource.attribute.labels.value | |
flock_name | read_only_udm.principal.resource.attribute.labels.value | |
FunctionData | ||
FunctionName | ||
HEADERS | read_only_udm.security_result.about.resource.attribute.labels | |
HOST | read_only_udm.target.hostname | |
NOME HOST | read_only_udm.target.hostname | |
ID | read_only_udm.metadata.product_log_id | |
ID | read_only_udm.security_result.detection_fields.value | |
IN | read_only_udm.security_result.detection_fields.value | |
ip_address | ||
CHIAVE | ||
LUNGHEZZA | read_only_udm.security_result.detection_fields.value | |
LOCALNAME | read_only_udm.target.hostname | |
LOCALVERSION | read_only_udm.target.platform_version | |
logtype | read_only_udm.security_result.detection_fields.value | |
LOGINTYPE | ||
MAC | read_only_udm.principal.mac | |
matched_annotations | ||
METODO | read_only_udm.network.http.method | |
MODALITÀ | ||
ms_macro_ip | read_only_udm.principal.ip | |
ms_macro_username | read_only_udm.principal.user.user_display_name | |
nome | read_only_udm.target.hostname | |
node_id | read_only_udm.principal.resource.attribute.labels.value | |
OFFSET | ||
OPCODE | ||
OUT | read_only_udm.security_result.detection_fields.value | |
PASSWORD | ||
PERCORSO | read_only_udm.target.url | |
porte | read_only_udm.target.labels.value | |
PREC | read_only_udm.security_result.detection_fields.value | |
PreviousIP | read_only_udm.principal.ip | |
PROTO | read_only_udm.network.ip_protocol | |
PSH | read_only_udm.security_result.detection_fields.value | |
REALM | read_only_udm.target.administrative_domain | |
REMOTENAME | read_only_udm.principal.hostname | |
REMOTEVERSION | read_only_udm.principal.platform_version | |
REPO | read_only_udm.target.resource.attribute.labels.value | |
RISPOSTA | read_only_udm.network.http.response_code | |
ReverseDNS | ||
Impostazioni | read_only_udm.target.labels | |
SHARENAME | ||
TAGLIA | ||
SKIN | ||
SMBARCH | ||
SMBREPEATEVENTMSG | ||
SMBVER | ||
SNAME | ||
SourceIP | read_only_udm.principal.ip | |
src_host | read_only_udm.principal.ip | |
src_host_reverse | read_only_udm.principal.hostname | |
src_port | read_only_udm.principal.port | |
STATO | ||
riepilogo | read_only_udm.metadata.product_event_type | Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid |
SYN | read_only_udm.security_result.detection_fields.value | |
TCPBannerID | ||
TERMSIZE | ||
TERMTYPE | ||
timestamp | read_only_udm.metadata.event_timestamp.seconds | |
timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
Timestamp | read_only_udm.metadata.event_timestamp.seconds | |
TKTVNO | read_only_udm.security_result.detection_fields.value | |
TdS | read_only_udm.security_result.detection_fields.value | |
TTL | read_only_udm.security_result.detection_fields.value | |
TIPO | ||
UTENTE | read_only_udm.principal.user.user_display_name | |
USERAGENT | read_only_udm.network.http.user_agent | |
NOME UTENTE | read_only_udm.target.user.user_display_name | |
URG | read_only_udm.security_result.detection_fields.value | |
URGP | read_only_udm.security_result.detection_fields.value | |
FINESTRA | read_only_udm.security_result.detection_fields.value | |
windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
read_only_udm.metadata.log_type | THINKST_CANARY - Valore hardcoded | |
read_only_udm.metadata.vendor_name | Thinkst - Valore hardcoded | |
read_only_udm.metadata.product_name | Canary - Valore hardcoded | |
read_only_udm.security_result.severity | CRITICAL - Valore hardcoded | |
read_only_udm.is_alert | true: valore hardcoded | |
read_only_udm.is_significant | true: valore hardcoded | |
read_only_udm.network.application_protocol | Determinato dalla porta e da product_event_type | |
read_only_udm.extensions.auth.mechanism | Determinato dal metodo di autenticazione utilizzato nell'evento |
Modifiche
2024-05-18
- È stato aggiunto il supporto per gli eventi "Impostazioni del gruppo modificate" ed è stata avviata la mappatura dell'ID utente da questi eventi.
2024-03-05
- È stato aggiunto il supporto per gli eventi "Richiesta SIP" e "Richiesta TFTP".
- Mappatura migliorata per vari campi, come hash dei file, user agent ed etichette delle risorse.
- È stata avviata la mappatura di dettagli specifici dalle intestazioni SIP e TFTP per una migliore analisi della sicurezza.
2023-12-08
- Avvisi "THINKST_CANARY" standardizzati come eventi critici con contrassegni di gravità appropriati.
- È stato aggiunto il supporto per gli eventi "Scansione del sistema operativo NMAP rilevata".
2023-12-07
- È stato aggiunto il supporto per gli eventi "WinRM Login Attempt", "Telnet Login Attempt" e "Redis Command".
- Analisi migliorata dei timestamp degli eventi.
2023-09-15
- È stato aggiunto il supporto per gli eventi "VNC Login Attempt".
2023-08-04
- Gestione migliorata degli eventi attivati da Canarytoken:
- Ora vengono utilizzati tipi di eventi più specifici.
- Le informazioni del token canarino sono mappate correttamente.
- Gli eventi sono contrassegnati come avvisi.
- La categoria di sicurezza è impostata su "NETWORK_SUSPICIOUS".
2023-05-12
- È stato risolto un problema per cui gli eventi "Tentativo di accesso MSSQL" non venivano classificati correttamente.
2022-12-04
- È stato aggiunto il supporto per gli eventi "Tentativo di accesso HTTP", "Tentativo di accesso FTP", "Scansione del sito web", "Impostazioni della console modificate" e "Tentativo di accesso RDP".