Recolha registos do Thinkst Canary
Compatível com:
Google secops
SIEM
Este analisador normaliza as mensagens de registo não processadas do software Thinkst Canary, limpando as quebras de linha e tentando analisar a mensagem como JSON. Em seguida, com base na presença de campos específicos ("Description" para o formato de chave/valor ou "summary" para JSON), determina o formato de registo e inclui a lógica de análise adequada de ficheiros de configuração separados para mapear os dados para o modelo de dados unificado.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- Instância do Google SecOps.
- Acesso privilegiado ao Thinkst Canary.
Configure a API REST no Thinkst Canary
- Inicie sessão na consola de gestão do Thinkst Canary.
- Clique no ícone de roda dentada > Definições globais.
- Clique em API.
- Clique em Ativar API.
- Clique em + para adicionar uma API.
- Atribua um nome descritivo à API.
- Copie o hash do domínio e o token de autorização.
Configure feeds
Para configurar um feed, siga estes passos:
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na página seguinte, clique em Configurar um único feed.
- No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Thinkst Canary.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Thinkst Canary como o Tipo de registo.
- Clicar em Seguinte.
- Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação: o token gerado anteriormente num formato
auth_token:<TOKEN>(por exemplo, auth_token:AAAABBBBCCCC111122223333). - Nome de anfitrião da API: o FQDN (nome de domínio totalmente qualificado) do seu ponto final da API REST da Thinks Canary (por exemplo,
myinstance.canary.tools). - Espaço de nomes do recurso: o espaço de nomes do recurso.
- Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
- Cabeçalho HTTP de autenticação: o token gerado anteriormente num formato
- Clicar em Seguinte.
- Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Mapeamento de UDM
| Campo de registo | Mapeamento do UDM | Lógica |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | O valor é retirado do campo de descrição se o formato for JSON. Caso contrário, é determinado pelo campo eventid |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| criado | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DADOS | ||
| descrição | read_only_udm.metadata.product_event_type | O valor é retirado do campo de descrição se o formato for JSON. Caso contrário, é determinado pelo campo eventid |
| Descrição | read_only_udm.metadata.product_event_type | O valor é retirado do campo de descrição se o formato for JSON. Caso contrário, é determinado pelo campo eventid |
| DOMÍNIO | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | O valor é retirado do campo de descrição se o formato for JSON. Caso contrário, é determinado pelo campo eventid |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| CABEÇALHOS | read_only_udm.security_result.about.resource.attribute.labels | |
| ANFITRIÃO | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| LEGENDA | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| MÉTODO | read_only_udm.network.http.method | |
| MODE | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| nome | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| CAMINHO | read_only_udm.target.url | |
| portas | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPOSTA | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Definições | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ESTADO | ||
| resumo | read_only_udm.metadata.product_event_type | O valor é retirado do campo de descrição se o formato for JSON. Caso contrário, é determinado pelo campo eventid |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Indicação de tempo | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| TIPO | ||
| UTILIZADOR | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NOME DE UTILIZADOR | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - Hardcoded value | |
| read_only_udm.metadata.vendor_name | Thinkst - Hardcoded value | |
| read_only_udm.metadata.product_name | Canary: valor codificado | |
| read_only_udm.security_result.severity | CRÍTICO – Valor codificado | |
| read_only_udm.network.application_protocol | Determinado pela porta e pelo product_event_type | |
| read_only_udm.extensions.auth.mechanism | Determinado pelo método de autenticação usado no evento |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.