Thinkst Canary ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、行末をクリーンアップし、メッセージを JSON として解析しようとすることで、Thinkst Canary ソフトウェアの未加工のログ メッセージを正規化します。次に、特定のフィールド(Key-Value 形式の場合は「Description」、JSON の場合は「summary」)の有無に基づいてログ形式を決定し、個別の構成ファイルから適切な解析ロジックを含めて、データを統合データモデルにマッピングします。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Thinkst Canary への特権アクセス権があることを確認します。
Thinkst Canary で REST API を構成する
- Thinkst Canary 管理コンソールにログインします。
- 歯車アイコン > [全般設定] をクリックします。
- [API] をクリックします。
- [API を有効にする] をクリックします。
- [+] をクリックして API を追加します。
- API にわかりやすい名前を付けます。
- [Domain Hash] と [Auth Token] をコピーします。
Thinkst Canary のログを取り込むように Google SecOps でフィードを構成する
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Thinkst Canary Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Thinkst Canary] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Authentication HTTP Header:
auth_token:<TOKEN>形式で以前に生成したトークン(例: auth_token:AAAABBBBCCCC111122223333)。 - API ホスト名: Thinks Canary REST API エンドポイントの FQDN(完全修飾ドメイン名)(例:
myinstance.canary.tools)。 - アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- Authentication HTTP Header:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 形式が JSON の場合は description フィールドから値が取得されます。それ以外の場合は、eventid フィールドによって値が決まります。 |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| created | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| データ | ||
| description | read_only_udm.metadata.product_event_type | 形式が JSON の場合は description フィールドから値が取得されます。それ以外の場合は、eventid フィールドによって値が決まります。 |
| 説明 | read_only_udm.metadata.product_event_type | 形式が JSON の場合は description フィールドから値が取得されます。それ以外の場合は、eventid フィールドによって値が決まります。 |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 形式が JSON の場合は description フィールドから値が取得されます。それ以外の場合は、eventid フィールドによって値が決まります。 |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| ヘッダー | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| 重要な | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METHOD | read_only_udm.network.http.method | |
| モード | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| 外部 | read_only_udm.security_result.detection_fields.value | |
| パスワード | ||
| PATH | read_only_udm.target.url | |
| ポート | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| 回答 | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| 設定 | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ステータス | ||
| 概要 | read_only_udm.metadata.product_event_type | 形式が JSON の場合は description フィールドから値が取得されます。それ以外の場合は、eventid フィールドによって値が決まります。 |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| タイムスタンプ | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| タイムスタンプ | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| タイプ | ||
| USER | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| ユーザー名 | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - ハードコードされた値 | |
| read_only_udm.metadata.vendor_name | Thinkst - ハードコードされた値 | |
| read_only_udm.metadata.product_name | カナリア - ハードコードされた値 | |
| read_only_udm.security_result.severity | CRITICAL - ハードコードされた値 | |
| read_only_udm.is_alert | true - ハードコードされた値 | |
| read_only_udm.is_significant | true - ハードコードされた値 | |
| read_only_udm.network.application_protocol | ポートと product_event_type によって決定 | |
| read_only_udm.extensions.auth.mechanism | イベントで使用された認証方法によって決定されます。 |
変更点
2024-05-18
- 「Flock の設定が変更されました」イベントのサポートを追加し、これらのイベントからユーザー ID のマッピングを開始しました。
2024-03-05
- 「SIP リクエスト」イベントと「TFTP リクエスト」イベントのサポートを追加しました。
- ファイルハッシュ、ユーザー エージェント、リソースラベルなどのさまざまなフィールドのマッピングを改善しました。
- セキュリティ分析の精度を高めるために、SIP ヘッダーと TFTP ヘッダーの特定の詳細をマッピングする処理を開始しました。
2023-12-08
- 適切な重大度マークを使用して、重大なイベントとして「THINKST_CANARY」アラートを標準化。
- 「NMAP OS スキャンが検出されました」イベントのサポートを追加しました。
2023-12-07
- 「WinRM ログイン試行」、「Telnet ログイン試行」、「Redis コマンド」イベントのサポートを追加しました。
- イベント タイムスタンプの解析を改善しました。
2023-09-15
- 「VNC ログイン試行」イベントのサポートを追加しました。
2023-08-04
- Canarytoken によってトリガーされるイベントの処理を改善しました。
- より具体的なイベントタイプが使用されるようになりました。
- Canarytoken 情報が正しくマッピングされている。
- イベントがアラートとしてマークされます。
- セキュリティ カテゴリが「NETWORK_SUSPICIOUS」に設定されている。
2023-05-12
- 「MSSQL ログイン試行」イベントが正しく分類されない問題を修正しました。
2022-12-04
- 「HTTP ログイン試行」、「FTP ログイン試行」、「ウェブサイト スキャン」、「コンソール設定の変更」、「RDP ログイン試行」イベントのサポートを追加しました。