Raccogliere i log di Thinkst Canary

Supportato in:

Questo parser normalizza i messaggi di log non elaborati del software Thinkst Canary pulendo gli a capo e tentando di analizzare il messaggio come JSON. In base alla presenza di campi specifici ("Descrizione" per il formato chiave-valore o "riepilogo" per JSON), determina il formato del log e include la logica di analisi appropriata da file di configurazione separati per mappare i dati nel modello di dati unificato.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato a Thinkst Canary.

Configurare l'API REST in Thinkst Canary

  1. Accedi alla console di gestione di Thinkst Canary.
  2. Fai clic sull'icona a forma di ingranaggio > Impostazioni globali.
  3. Fai clic su API.
  4. Fai clic su Abilita API.
  5. Fai clic su + per aggiungere un'API.
  6. Assegna all'API un nome descrittivo.
  7. Copia l'hash del dominio e l'token di autenticazione.

Configura un feed in Google SecOps per importare i log di Thinkst Canary

  1. Fai clic su Aggiungi nuova.
  2. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Thinkst Canary).
  3. Seleziona API di terze parti come Tipo di origine.
  4. Seleziona Thinkst Canary come Tipo di log.
  5. Fai clic su Avanti.
  6. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:il token generato in precedenza in un formato auth_token:<TOKEN> (ad esempio auth_token:AAAABBBBCCCC111122223333).
    • Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint dell'API REST di Thinks Canary (ad esempio myinstance.canary.tools).
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  7. Fai clic su Avanti.
  8. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Mappatura UDM

Campo log Mappatura UDM Logica
AUDITACTION read_only_udm.metadata.product_event_type Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
creato read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DATI
description read_only_udm.metadata.product_event_type Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid
Descrizione read_only_udm.metadata.product_event_type Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid
DOMINIO read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid
events_count read_only_udm.security_result.detection_fields.value
NOMEFILE read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
HEADERS read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
NOME HOST read_only_udm.target.hostname
ID read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
CHIAVE
LUNGHEZZA read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
METODO read_only_udm.network.http.method
MODALITÀ
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
nome read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OUT read_only_udm.security_result.detection_fields.value
PASSWORD
PERCORSO read_only_udm.target.url
porte read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
RISPOSTA read_only_udm.network.http.response_code
ReverseDNS
Impostazioni read_only_udm.target.labels
SHARENAME
TAGLIA
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
STATO
riepilogo read_only_udm.metadata.product_event_type Il valore viene preso dal campo descrizione se il formato è JSON, altrimenti viene determinato dal campo eventid
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Timestamp read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TdS read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TIPO
UTENTE read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NOME UTENTE read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
FINESTRA read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY - Valore hardcoded
read_only_udm.metadata.vendor_name Thinkst - Valore hardcoded
read_only_udm.metadata.product_name Canary - Valore hardcoded
read_only_udm.security_result.severity CRITICAL - Valore hardcoded
read_only_udm.is_alert true: valore hardcoded
read_only_udm.is_significant true: valore hardcoded
read_only_udm.network.application_protocol Determinato dalla porta e da product_event_type
read_only_udm.extensions.auth.mechanism Determinato dal metodo di autenticazione utilizzato nell'evento

Modifiche

2024-05-18

  • È stato aggiunto il supporto per gli eventi "Impostazioni del gruppo modificate" ed è stata avviata la mappatura dell'ID utente da questi eventi.

2024-03-05

  • È stato aggiunto il supporto per gli eventi "Richiesta SIP" e "Richiesta TFTP".
  • Mappatura migliorata per vari campi, come hash dei file, user agent ed etichette delle risorse.
  • È stata avviata la mappatura di dettagli specifici dalle intestazioni SIP e TFTP per una migliore analisi della sicurezza.

2023-12-08

  • Avvisi "THINKST_CANARY" standardizzati come eventi critici con contrassegni di gravità appropriati.
  • È stato aggiunto il supporto per gli eventi "Scansione del sistema operativo NMAP rilevata".

2023-12-07

  • È stato aggiunto il supporto per gli eventi "WinRM Login Attempt", "Telnet Login Attempt" e "Redis Command".
  • Analisi migliorata dei timestamp degli eventi.

2023-09-15

  • È stato aggiunto il supporto per gli eventi "VNC Login Attempt".

2023-08-04

  • Gestione migliorata degli eventi attivati da Canarytoken:
  • Ora vengono utilizzati tipi di eventi più specifici.
  • Le informazioni del token canarino sono mappate correttamente.
  • Gli eventi sono contrassegnati come avvisi.
  • La categoria di sicurezza è impostata su "NETWORK_SUSPICIOUS".

2023-05-12

  • È stato risolto un problema per cui gli eventi "Tentativo di accesso MSSQL" non venivano classificati correttamente.

2022-12-04

  • È stato aggiunto il supporto per gli eventi "Tentativo di accesso HTTP", "Tentativo di accesso FTP", "Scansione del sito web", "Impostazioni della console modificate" e "Tentativo di accesso RDP".