Thinkst Canary 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 파서는 줄바꿈을 정리하고 메시지를 JSON으로 파싱하려고 시도하여 Thinkst Canary 소프트웨어의 원시 로그 메시지를 정규화합니다. 그런 다음 특정 필드(키-값 형식의 경우 'Description', JSON의 경우 'summary')의 존재 여부에 따라 로그 형식을 결정하고 데이터를 통합 데이터 모델에 매핑하기 위해 별도의 구성 파일에서 적절한 파싱 로직을 포함합니다.
시작하기 전에
- Google SecOps 인스턴스가 있는지 확인합니다.
- Thinkst Canary에 대한 액세스 권한이 있는지 확인합니다.
Thinkst Canary에서 REST API 구성
- Thinkst Canary 관리 콘솔에 로그인합니다.
- 톱니바퀴 아이콘 > 전체 설정을 클릭합니다.
- API를 클릭합니다.
- API 사용 설정을 클릭합니다.
- +를 클릭하여 API를 추가합니다.
- API에 설명이 포함된 이름을 지정합니다.
- 도메인 해시 및 인증 토큰을 복사합니다.
Thinkst Canary 로그를 수집하도록 Google SecOps에서 피드 구성
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다 (예: Thinkst Canary Logs).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Thinkst Canary를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 매개변수의 값을 지정합니다.
- 인증 HTTP 헤더: 이전에
auth_token:<TOKEN>형식으로 생성된 토큰입니다 (예: auth_token:AAAABBBBCCCC111122223333). - API 호스트 이름: Thinks Canary REST API 엔드포인트의 FQDN (정규화된 도메인 이름)(예:
myinstance.canary.tools)입니다. - 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- 인증 HTTP 헤더: 이전에
- 다음을 클릭합니다.
- 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 형식이 json인 경우 값은 description 필드에서 가져오고, 그렇지 않은 경우에는 eventid 필드에 따라 결정됩니다. |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| 쿠키 | read_only_udm.security_result.about.resource.attribute.labels.value | |
| 생성됨 | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| 데이터 | ||
| description | read_only_udm.metadata.product_event_type | 형식이 json인 경우 값은 description 필드에서 가져오고, 그렇지 않은 경우에는 eventid 필드에 따라 결정됩니다. |
| 설명 | read_only_udm.metadata.product_event_type | 형식이 json인 경우 값은 description 필드에서 가져오고, 그렇지 않은 경우에는 eventid 필드에 따라 결정됩니다. |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 형식이 json인 경우 값은 description 필드에서 가져오고, 그렇지 않은 경우에는 eventid 필드에 따라 결정됩니다. |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| 헤더 | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| 키 | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| 방법 | read_only_udm.network.http.method | |
| 모드 | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| PATH | read_only_udm.target.url | |
| 포트 | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| 응답 | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| 설정 | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| 상태 | ||
| 요약 | read_only_udm.metadata.product_event_type | 형식이 json인 경우 값은 description 필드에서 가져오고, 그렇지 않은 경우에는 eventid 필드에 따라 결정됩니다. |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| 타임스탬프 | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| 타임스탬프 | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| 유형 | ||
| 사용자 | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| USERNAME | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - 하드코딩된 값 | |
| read_only_udm.metadata.vendor_name | Thinkst - 하드코딩된 값 | |
| read_only_udm.metadata.product_name | 카나리아 - 하드코딩된 값 | |
| read_only_udm.security_result.severity | CRITICAL - 하드코딩된 값 | |
| read_only_udm.is_alert | true - 하드코딩된 값 | |
| read_only_udm.is_significant | true - 하드코딩된 값 | |
| read_only_udm.network.application_protocol | 포트 및 product_event_type에 따라 결정됨 | |
| read_only_udm.extensions.auth.mechanism | 이벤트에 사용된 인증 방법에 따라 결정됨 |
변경사항
2024-05-18
- 'Flock 설정 변경' 이벤트에 대한 지원을 추가하고 이러한 이벤트에서 사용자 ID를 매핑하기 시작했습니다.
2024-03-05
- 'SIP 요청' 및 'TFTP 요청' 이벤트에 대한 지원이 추가되었습니다.
- 파일 해시, 사용자 에이전트, 리소스 라벨과 같은 다양한 필드의 매핑이 개선되었습니다.
- 더 나은 보안 분석을 위해 SIP 및 TFTP 헤더의 특정 세부정보 매핑을 시작했습니다.
2023-12-08
- 'THINKST_CANARY' 알림을 적절한 심각도 표시가 있는 중요한 이벤트로 표준화했습니다.
- 'NMAP OS 스캔 감지됨' 이벤트에 대한 지원을 추가했습니다.
2023-12-07
- 'WinRM 로그인 시도', 'Telnet 로그인 시도', 'Redis 명령어' 이벤트에 대한 지원이 추가되었습니다.
- 이벤트 타임스탬프 파싱이 개선되었습니다.
2023-09-15
- 'VNC 로그인 시도' 이벤트에 대한 지원이 추가되었습니다.
2023-08-04
- Canarytoken 트리거 이벤트 처리가 개선되었습니다.
- 이제 더 구체적인 이벤트 유형이 사용됩니다.
- Canarytoken 정보가 올바르게 매핑됩니다.
- 이벤트가 알림으로 표시됩니다.
- 보안 카테고리가 'NETWORK_SUSPICIOUS'로 설정됩니다.
2023-05-12
- 'MSSQL 로그인 시도' 이벤트가 올바르게 분류되지 않는 문제가 해결되었습니다.
2022-12-04
- 'HTTP 로그인 시도', 'FTP 로그인 시도', '웹사이트 검사', '콘솔 설정 변경', 'RDP 로그인 시도' 이벤트에 대한 지원이 추가되었습니다.