收集 Thinkst Canary 日志

支持的平台:

此解析器会清理换行符并尝试将消息解析为 JSON,从而对 Thinkst Canary 软件中的原始日志消息进行标准化处理。然后,根据是否存在特定字段(键值对格式为“Description”或 JSON 格式为“summary”),它会确定日志格式,并包含单独配置文件中的适当解析逻辑,以将数据映射到统一的数据模型。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Thinkst Canary 的特权访问权限。

在 Thinkst Canary 中配置 REST API

  1. 登录 Thinkst Canary 管理控制台。
  2. 依次点击齿轮图标 > 全局设置
  3. 点击 API
  4. 点击启用 API
  5. 点击 + 以添加 API。
  6. 为 API 指定一个描述性名称。
  7. 复制网域哈希身份验证令牌

在 Google SecOps 中配置 Feed 以提取 Thinkst Canary 日志

  1. 点击新增
  2. Feed 名称字段中,输入 Feed 的名称(例如 Thinkst Canary Logs)。
  3. 选择第三方 API 作为来源类型
  4. 选择 Thinkst Canary 作为日志类型
  5. 点击下一步
  6. 为以下输入参数指定值:
    • Authentication HTTP Header:之前使用 auth_token:<TOKEN> 格式生成的令牌(例如 auth_token:AAAABBBBCCCC111122223333)。
    • API 主机名:Thinks Canary REST API 端点的 FQDN(完全限定域名),例如 myinstance.canary.tools
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  7. 点击下一步
  8. 最终确定界面中查看 Feed 配置,然后点击提交

UDM 映射

日志字段 UDM 映射 逻辑
AUDITACTION read_only_udm.metadata.product_event_type 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
Cookie read_only_udm.security_result.about.resource.attribute.labels.value
已创建 read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
数据
说明 read_only_udm.metadata.product_event_type 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定
说明 read_only_udm.metadata.product_event_type 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定
网域 read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
标头 read_only_udm.security_result.about.resource.attribute.labels
主机 read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
方法 read_only_udm.network.http.method
模式
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
名称 read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
操作码
OUT read_only_udm.security_result.detection_fields.value
密码
PATH read_only_udm.target.url
端口 read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
回答 read_only_udm.network.http.response_code
ReverseDNS
设置 read_only_udm.target.labels
SHARENAME
SIZE
皮肤
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
状态
摘要 read_only_udm.metadata.product_event_type 如果格式为 json,则值取自 description 字段;否则,值由 eventid 字段决定
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
时间戳 read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
时间戳 read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
服务条款 (TOS) read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
类型
USER read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
用户名 read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY - 硬编码值
read_only_udm.metadata.vendor_name Thinkst - 硬编码值
read_only_udm.metadata.product_name Canary - 硬编码值
read_only_udm.security_result.severity 严重 - 硬编码值
read_only_udm.is_alert true - 硬编码值
read_only_udm.is_significant true - 硬编码值
read_only_udm.network.application_protocol 取决于端口和 product_event_type
read_only_udm.extensions.auth.mechanism 由事件中使用的身份验证方法决定

更改

2024-05-18

  • 添加了对“Flock 设置已更改”事件的支持,并开始映射这些事件中的用户 ID。

2024-03-05

  • 添加了对“SIP Request”和“TFTP Request”事件的支持。
  • 改进了文件哈希、用户代理和资源标签等各种字段的映射。
  • 开始映射 SIP 和 TFTP 标头中的具体详细信息,以便更好地进行安全分析。

2023-12-08

  • 将标准化的“THINKST_CANARY”提醒标记为具有适当严重程度标记的重大事件。
  • 添加了对“NMAP OS 扫描检测到”事件的支持。

2023-12-07

  • 添加了对“WinRM 登录尝试”“Telnet 登录尝试”“Redis 命令”事件的支持。
  • 改进了事件时间戳的解析。

2023-09-15

  • 添加了对“VNC 登录尝试”事件的支持。

2023-08-04

  • 改进了对 Canarytoken 触发的事件的处理方式:
  • 现在使用了更具体的事件类型。
  • Canarytoken 信息已正确映射。
  • 事件会被标记为提醒。
  • 安全类别设为“NETWORK_SUSPICIOUS”。

2023-05-12

  • 修复了“MSSQL 登录尝试”事件未正确分类的问题。

2022-12-04

  • 添加了对“HTTP 登录尝试”“FTP 登录尝试”“网站扫描”“控制台设置已更改”和“RDP 登录尝试”事件的支持。