此页面由 Cloud Translation API 翻译。

收集 Thinkst Canary 日志

支持的平台：

Google SecOps SIEM

此解析器会清理换行符并尝试将消息解析为 JSON，从而对 Thinkst Canary 软件中的原始日志消息进行标准化处理。然后，根据是否存在特定字段（键值对格式为“Description”或 JSON 格式为“summary”），它会确定日志格式，并包含单独配置文件中的适当解析逻辑，以将数据映射到统一的数据模型。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有对 Thinkst Canary 的特权访问权限。

在 Thinkst Canary 中配置 REST API

登录 Thinkst Canary 管理控制台。
依次点击齿轮图标 > 全局设置。
点击 API。
点击启用 API。
点击 + 以添加 API。
为 API 指定一个描述性名称。
复制网域哈希和身份验证令牌。

在 Google SecOps 中配置 Feed 以提取 Thinkst Canary 日志

点击新增。
在Feed 名称字段中，输入 Feed 的名称（例如 Thinkst Canary Logs）。
选择第三方 API 作为来源类型。
选择 Thinkst Canary 作为日志类型。
点击下一步。
为以下输入参数指定值：
- Authentication HTTP Header：之前使用 auth_token:<TOKEN> 格式生成的令牌（例如 auth_token:AAAABBBBCCCC111122223333）。
- API 主机名：Thinks Canary REST API 端点的 FQDN（完全限定域名），例如 myinstance.canary.tools。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看 Feed 配置，然后点击提交。

UDM 映射

日志字段	UDM 映射	逻辑
AUDITACTION	read_only_udm.metadata.product_event_type	如果格式为 json，则值取自 description 字段；否则，值由 eventid 字段决定
CanaryIP	read_only_udm.target.ip
CanaryName	read_only_udm.target.hostname
CanaryPort	read_only_udm.target.port
Cookie	read_only_udm.security_result.about.resource.attribute.labels.value
已创建	read_only_udm.metadata.event_timestamp.seconds
created_std	read_only_udm.metadata.event_timestamp.seconds
数据
说明	read_only_udm.metadata.product_event_type	如果格式为 json，则值取自 description 字段；否则，值由 eventid 字段决定
说明	read_only_udm.metadata.product_event_type	如果格式为 json，则值取自 description 字段；否则，值由 eventid 字段决定
网域	read_only_udm.target.administrative_domain
dst_host	read_only_udm.target.ip
dst_port	read_only_udm.target.port
eventid	read_only_udm.metadata.product_event_type	如果格式为 json，则值取自 description 字段；否则，值由 eventid 字段决定
events_count	read_only_udm.security_result.detection_fields.value
FILENAME	read_only_udm.target.file.full_path
FIN	read_only_udm.security_result.detection_fields.value
flock_id	read_only_udm.principal.resource.attribute.labels.value
flock_name	read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
标头	read_only_udm.security_result.about.resource.attribute.labels
主机	read_only_udm.target.hostname
HOSTNAME	read_only_udm.target.hostname
id	read_only_udm.metadata.product_log_id
ID	read_only_udm.security_result.detection_fields.value
IN	read_only_udm.security_result.detection_fields.value
ip_address
键
LEN	read_only_udm.security_result.detection_fields.value
LOCALNAME	read_only_udm.target.hostname
LOCALVERSION	read_only_udm.target.platform_version
logtype	read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC	read_only_udm.principal.mac
matched_annotations
方法	read_only_udm.network.http.method
模式
ms_macro_ip	read_only_udm.principal.ip
ms_macro_username	read_only_udm.principal.user.user_display_name
名称	read_only_udm.target.hostname
node_id	read_only_udm.principal.resource.attribute.labels.value
OFFSET
操作码
OUT	read_only_udm.security_result.detection_fields.value
密码
PATH	read_only_udm.target.url
端口	read_only_udm.target.labels.value
PREC	read_only_udm.security_result.detection_fields.value
PreviousIP	read_only_udm.principal.ip
PROTO	read_only_udm.network.ip_protocol
PSH	read_only_udm.security_result.detection_fields.value
REALM	read_only_udm.target.administrative_domain
REMOTENAME	read_only_udm.principal.hostname
REMOTEVERSION	read_only_udm.principal.platform_version
REPO	read_only_udm.target.resource.attribute.labels.value
回答	read_only_udm.network.http.response_code
ReverseDNS
设置	read_only_udm.target.labels
SHARENAME
SIZE
皮肤
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP	read_only_udm.principal.ip
src_host	read_only_udm.principal.ip
src_host_reverse	read_only_udm.principal.hostname
src_port	read_only_udm.principal.port
状态
摘要	read_only_udm.metadata.product_event_type	如果格式为 json，则值取自 description 字段；否则，值由 eventid 字段决定
SYN	read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
时间戳	read_only_udm.metadata.event_timestamp.seconds
timestamp_std	read_only_udm.metadata.event_timestamp.seconds
时间戳	read_only_udm.metadata.event_timestamp.seconds
TKTVNO	read_only_udm.security_result.detection_fields.value
服务条款 (TOS)	read_only_udm.security_result.detection_fields.value
TTL	read_only_udm.security_result.detection_fields.value
类型
USER	read_only_udm.principal.user.user_display_name
USERAGENT	read_only_udm.network.http.user_agent
用户名	read_only_udm.target.user.user_display_name
URG	read_only_udm.security_result.detection_fields.value
URGP	read_only_udm.security_result.detection_fields.value
WINDOW	read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain	read_only_udm.principal.group.group_display_name
windows_desktopini_access_username	read_only_udm.principal.user.user_display_name
	read_only_udm.metadata.log_type	THINKST_CANARY - 硬编码值
	read_only_udm.metadata.vendor_name	Thinkst - 硬编码值
	read_only_udm.metadata.product_name	Canary - 硬编码值
	read_only_udm.security_result.severity	严重 - 硬编码值
	read_only_udm.is_alert	true - 硬编码值
	read_only_udm.is_significant	true - 硬编码值
	read_only_udm.network.application_protocol	取决于端口和 product_event_type
	read_only_udm.extensions.auth.mechanism	由事件中使用的身份验证方法决定

更改

2024-05-18

添加了对“Flock 设置已更改”事件的支持，并开始映射这些事件中的用户 ID。

2024-03-05

添加了对“SIP Request”和“TFTP Request”事件的支持。
改进了文件哈希、用户代理和资源标签等各种字段的映射。
开始映射 SIP 和 TFTP 标头中的具体详细信息，以便更好地进行安全分析。

2023-12-08

将标准化的“THINKST_CANARY”提醒标记为具有适当严重程度标记的重大事件。
添加了对“NMAP OS 扫描检测到”事件的支持。

2023-12-07

添加了对“WinRM 登录尝试”“Telnet 登录尝试”“Redis 命令”事件的支持。
改进了事件时间戳的解析。

2023-09-15

添加了对“VNC 登录尝试”事件的支持。

2023-08-04

改进了对 Canarytoken 触发的事件的处理方式：
现在使用了更具体的事件类型。
Canarytoken 信息已正确映射。
事件会被标记为提醒。
安全类别设为“NETWORK_SUSPICIOUS”。

2023-05-12

修复了“MSSQL 登录尝试”事件未正确分类的问题。

2022-12-04

添加了对“HTTP 登录尝试”“FTP 登录尝试”“网站扫描”“控制台设置已更改”和“RDP 登录尝试”事件的支持。