收集 Thinkst Canary 日志
支持的平台:
Google SecOps
SIEM
此解析器会清理换行符并尝试将消息解析为 JSON,从而对 Thinkst Canary 软件中的原始日志消息进行标准化处理。然后,根据是否存在特定字段(键值对格式为“Description”或 JSON 格式为“summary”),它会确定日志格式,并包含单独配置文件中的适当解析逻辑,以将数据映射到统一的数据模型。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Thinkst Canary 的特权访问权限。
在 Thinkst Canary 中配置 REST API
- 登录 Thinkst Canary 管理控制台。
- 依次点击齿轮图标 > 全局设置。
- 点击 API。
- 点击启用 API。
- 点击 + 以添加 API。
- 为 API 指定一个描述性名称。
- 复制网域哈希和身份验证令牌。
在 Google SecOps 中配置 Feed 以提取 Thinkst Canary 日志
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 Thinkst Canary Logs)。
- 选择第三方 API 作为来源类型。
- 选择 Thinkst Canary 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- Authentication HTTP Header:之前使用
auth_token:<TOKEN>
格式生成的令牌(例如 auth_token:AAAABBBBCCCC111122223333)。 - API 主机名:Thinks Canary REST API 端点的 FQDN(完全限定域名),例如
myinstance.canary.tools
。 - 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- Authentication HTTP Header:之前使用
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
UDM 映射
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
AUDITACTION | read_only_udm.metadata.product_event_type | 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定 |
CanaryIP | read_only_udm.target.ip | |
CanaryName | read_only_udm.target.hostname | |
CanaryPort | read_only_udm.target.port | |
Cookie | read_only_udm.security_result.about.resource.attribute.labels.value | |
已创建 | read_only_udm.metadata.event_timestamp.seconds | |
created_std | read_only_udm.metadata.event_timestamp.seconds | |
数据 | ||
说明 | read_only_udm.metadata.product_event_type | 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定 |
说明 | read_only_udm.metadata.product_event_type | 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定 |
网域 | read_only_udm.target.administrative_domain | |
dst_host | read_only_udm.target.ip | |
dst_port | read_only_udm.target.port | |
eventid | read_only_udm.metadata.product_event_type | 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定 |
events_count | read_only_udm.security_result.detection_fields.value | |
FILENAME | read_only_udm.target.file.full_path | |
FIN | read_only_udm.security_result.detection_fields.value | |
flock_id | read_only_udm.principal.resource.attribute.labels.value | |
flock_name | read_only_udm.principal.resource.attribute.labels.value | |
FunctionData | ||
FunctionName | ||
标头 | read_only_udm.security_result.about.resource.attribute.labels | |
主机 | read_only_udm.target.hostname | |
HOSTNAME | read_only_udm.target.hostname | |
id | read_only_udm.metadata.product_log_id | |
ID | read_only_udm.security_result.detection_fields.value | |
IN | read_only_udm.security_result.detection_fields.value | |
ip_address | ||
键 | ||
LEN | read_only_udm.security_result.detection_fields.value | |
LOCALNAME | read_only_udm.target.hostname | |
LOCALVERSION | read_only_udm.target.platform_version | |
logtype | read_only_udm.security_result.detection_fields.value | |
LOGINTYPE | ||
MAC | read_only_udm.principal.mac | |
matched_annotations | ||
方法 | read_only_udm.network.http.method | |
模式 | ||
ms_macro_ip | read_only_udm.principal.ip | |
ms_macro_username | read_only_udm.principal.user.user_display_name | |
名称 | read_only_udm.target.hostname | |
node_id | read_only_udm.principal.resource.attribute.labels.value | |
OFFSET | ||
操作码 | ||
OUT | read_only_udm.security_result.detection_fields.value | |
密码 | ||
PATH | read_only_udm.target.url | |
端口 | read_only_udm.target.labels.value | |
PREC | read_only_udm.security_result.detection_fields.value | |
PreviousIP | read_only_udm.principal.ip | |
PROTO | read_only_udm.network.ip_protocol | |
PSH | read_only_udm.security_result.detection_fields.value | |
REALM | read_only_udm.target.administrative_domain | |
REMOTENAME | read_only_udm.principal.hostname | |
REMOTEVERSION | read_only_udm.principal.platform_version | |
REPO | read_only_udm.target.resource.attribute.labels.value | |
回答 | read_only_udm.network.http.response_code | |
ReverseDNS | ||
设置 | read_only_udm.target.labels | |
SHARENAME | ||
SIZE | ||
皮肤 | ||
SMBARCH | ||
SMBREPEATEVENTMSG | ||
SMBVER | ||
SNAME | ||
SourceIP | read_only_udm.principal.ip | |
src_host | read_only_udm.principal.ip | |
src_host_reverse | read_only_udm.principal.hostname | |
src_port | read_only_udm.principal.port | |
状态 | ||
摘要 | read_only_udm.metadata.product_event_type | 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定 |
SYN | read_only_udm.security_result.detection_fields.value | |
TCPBannerID | ||
TERMSIZE | ||
TERMTYPE | ||
时间戳 | read_only_udm.metadata.event_timestamp.seconds | |
timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
时间戳 | read_only_udm.metadata.event_timestamp.seconds | |
TKTVNO | read_only_udm.security_result.detection_fields.value | |
服务条款 (TOS) | read_only_udm.security_result.detection_fields.value | |
TTL | read_only_udm.security_result.detection_fields.value | |
类型 | ||
USER | read_only_udm.principal.user.user_display_name | |
USERAGENT | read_only_udm.network.http.user_agent | |
用户名 | read_only_udm.target.user.user_display_name | |
URG | read_only_udm.security_result.detection_fields.value | |
URGP | read_only_udm.security_result.detection_fields.value | |
WINDOW | read_only_udm.security_result.detection_fields.value | |
windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
read_only_udm.metadata.log_type | THINKST_CANARY - 硬编码值 | |
read_only_udm.metadata.vendor_name | Thinkst - 硬编码值 | |
read_only_udm.metadata.product_name | Canary - 硬编码值 | |
read_only_udm.security_result.severity | 严重 - 硬编码值 | |
read_only_udm.is_alert | true - 硬编码值 | |
read_only_udm.is_significant | true - 硬编码值 | |
read_only_udm.network.application_protocol | 取决于端口和 product_event_type | |
read_only_udm.extensions.auth.mechanism | 由事件中使用的身份验证方法决定 |
更改
2024-05-18
- 添加了对“Flock 设置已更改”事件的支持,并开始映射这些事件中的用户 ID。
2024-03-05
- 添加了对“SIP Request”和“TFTP Request”事件的支持。
- 改进了文件哈希、用户代理和资源标签等各种字段的映射。
- 开始映射 SIP 和 TFTP 标头中的具体详细信息,以便更好地进行安全分析。
2023-12-08
- 将标准化的“THINKST_CANARY”提醒标记为具有适当严重程度标记的重大事件。
- 添加了对“NMAP OS 扫描检测到”事件的支持。
2023-12-07
- 添加了对“WinRM 登录尝试”“Telnet 登录尝试”“Redis 命令”事件的支持。
- 改进了事件时间戳的解析。
2023-09-15
- 添加了对“VNC 登录尝试”事件的支持。
2023-08-04
- 改进了对 Canarytoken 触发的事件的处理方式:
- 现在使用了更具体的事件类型。
- Canarytoken 信息已正确映射。
- 事件会被标记为提醒。
- 安全类别设为“NETWORK_SUSPICIOUS”。
2023-05-12
- 修复了“MSSQL 登录尝试”事件未正确分类的问题。
2022-12-04
- 添加了对“HTTP 登录尝试”“FTP 登录尝试”“网站扫描”“控制台设置已更改”和“RDP 登录尝试”事件的支持。