本頁面由 Cloud Translation API 翻譯而成。

收集 Thinkst Canary 記錄

支援以下發布途徑：

Google secops Siem

這個剖析器會清除換行符號，並嘗試以 JSON 格式剖析訊息，以便將 Thinkst Canary 軟體的原始記錄訊息標準化。接著，系統會根據特定欄位 (鍵/值格式為「Description」，JSON 為「summary」) 的存在與否，判斷記錄格式，並納入個別設定檔中的適當剖析邏輯，將資料對應至統一資料模型。

事前準備

確認您有 Google SecOps 執行個體。
確認您具備 Thinkst Canary 的特殊存取權。

在 Thinkst Canary 中設定 REST API

登入 Thinkst Canary 管理控制台。
依序點選「齒輪圖示」>「通用設定」。
按一下「API」。
按一下「啟用 API」。
按一下「+」新增 API。
為 API 取個易懂的名稱。
複製「網域雜湊」和「授權權杖」。

在 Google SecOps 中設定動態饋給，以便擷取 Thinkst Canary 記錄

按一下「新增」。
在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如「Thinkst Canary Logs」)。
將「來源類型」設為「第三方 API」。
選取「Thinkst Canary」做為「記錄類型」。
點按「Next」。
指定下列輸入參數的值：
- 驗證 HTTP 標頭：先前以 auth_token:<TOKEN> 格式產生的權杖 (例如 auth_token:AAAABBBBCCCC111122223333)。
- API 主機名稱：Thinks Canary REST API 端點 (例如 myinstance.canary.tools) 的完整網域名稱 (FQDN)。
- 資產命名空間：資產命名空間。
- 擷取標籤：套用至這個動態饋給事件的標籤。
點按「Next」。
在「Finalize」畫面中查看動態饋給設定，然後按一下「Submit」。

UDM 對應

記錄欄位	UDM 對應	邏輯
AUDITACTION	read_only_udm.metadata.product_event_type	如果格式為 JSON，則會從說明欄位取得值；否則，則由 eventid 欄位決定
CanaryIP	read_only_udm.target.ip
CanaryName	read_only_udm.target.hostname
CanaryPort	read_only_udm.target.port
COOKIE	read_only_udm.security_result.about.resource.attribute.labels.value
已建立	read_only_udm.metadata.event_timestamp.seconds
created_std	read_only_udm.metadata.event_timestamp.seconds
資料
說明	read_only_udm.metadata.product_event_type	如果格式為 JSON，則會從說明欄位取得值；否則，則由 eventid 欄位決定
說明	read_only_udm.metadata.product_event_type	如果格式為 JSON，則會從說明欄位取得值；否則，則由 eventid 欄位決定
DOMAIN	read_only_udm.target.administrative_domain
dst_host	read_only_udm.target.ip
dst_port	read_only_udm.target.port
eventid	read_only_udm.metadata.product_event_type	如果格式為 JSON，則會從說明欄位取得值；否則，則由 eventid 欄位決定
events_count	read_only_udm.security_result.detection_fields.value
FILENAME	read_only_udm.target.file.full_path
FIN	read_only_udm.security_result.detection_fields.value
flock_id	read_only_udm.principal.resource.attribute.labels.value
flock_name	read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
標頭	read_only_udm.security_result.about.resource.attribute.labels
主機	read_only_udm.target.hostname
主機名稱	read_only_udm.target.hostname
id	read_only_udm.metadata.product_log_id
ID	read_only_udm.security_result.detection_fields.value
IN	read_only_udm.security_result.detection_fields.value
ip_address
KEY
LEN	read_only_udm.security_result.detection_fields.value
LOCALNAME	read_only_udm.target.hostname
LOCALVERSION	read_only_udm.target.platform_version
logtype	read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC	read_only_udm.principal.mac
matched_annotations
METHOD	read_only_udm.network.http.method
模式
ms_macro_ip	read_only_udm.principal.ip
ms_macro_username	read_only_udm.principal.user.user_display_name
名稱	read_only_udm.target.hostname
node_id	read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OUT	read_only_udm.security_result.detection_fields.value
密碼
路徑	read_only_udm.target.url
通訊埠	read_only_udm.target.labels.value
PREC	read_only_udm.security_result.detection_fields.value
PreviousIP	read_only_udm.principal.ip
PROTO	read_only_udm.network.ip_protocol
PSH	read_only_udm.security_result.detection_fields.value
REALM	read_only_udm.target.administrative_domain
REMOTENAME	read_only_udm.principal.hostname
REMOTEVERSION	read_only_udm.principal.platform_version
REPO	read_only_udm.target.resource.attribute.labels.value
回應	read_only_udm.network.http.response_code
ReverseDNS
設定	read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP	read_only_udm.principal.ip
src_host	read_only_udm.principal.ip
src_host_reverse	read_only_udm.principal.hostname
src_port	read_only_udm.principal.port
狀態
摘要	read_only_udm.metadata.product_event_type	如果格式為 JSON，則會從說明欄位取得值；否則，則由 eventid 欄位決定
SYN	read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
時間戳記	read_only_udm.metadata.event_timestamp.seconds
timestamp_std	read_only_udm.metadata.event_timestamp.seconds
時間戳記	read_only_udm.metadata.event_timestamp.seconds
TKTVNO	read_only_udm.security_result.detection_fields.value
TOS	read_only_udm.security_result.detection_fields.value
存留時間	read_only_udm.security_result.detection_fields.value
類型
使用者	read_only_udm.principal.user.user_display_name
USERAGENT	read_only_udm.network.http.user_agent
使用者名稱	read_only_udm.target.user.user_display_name
URG	read_only_udm.security_result.detection_fields.value
URGP	read_only_udm.security_result.detection_fields.value
WINDOW	read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain	read_only_udm.principal.group.group_display_name
windows_desktopini_access_username	read_only_udm.principal.user.user_display_name
	read_only_udm.metadata.log_type	THINKST_CANARY - 硬式編碼值
	read_only_udm.metadata.vendor_name	Thinkst - 硬式編碼值
	read_only_udm.metadata.product_name	Canary - 硬式編碼值
	read_only_udm.security_result.severity	CRITICAL - 硬式編碼值
	read_only_udm.is_alert	true - 硬式編碼值
	read_only_udm.is_significant	true - 硬式編碼值
	read_only_udm.network.application_protocol	取決於 port 和 product_event_type
	read_only_udm.extensions.auth.mechanism	取決於事件中使用的驗證方式

異動

2024-05-18

新增對「Flock Settings Changed」事件的支援，並開始對這些事件對應使用者 ID。

2024-03-05

新增對「SIP 要求」和「TFTP 要求」事件的支援。
改善檔案雜湊、使用者代理程式和資源標籤等各種欄位的對應項目。
開始對應 SIP 和 TFTP 標頭中的特定詳細資料，以便進行更完善的安全性分析。

2023-12-08

將標準化的「THINKST_CANARY」快訊標示為嚴重事件，並加上適當的嚴重性標記。
新增對「NMAP OS Scan Detected」事件的支援。

2023-12-07

新增對「WinRM 登入嘗試」、「Telnet 登入嘗試」、「Redis 指令」事件的支援。
改善事件時間戳記的剖析功能。

2023-09-15

新增對「VNC 登入嘗試」事件的支援。

2023-08-04

改善 Canarytoken 觸發事件的處理方式：
現已使用更明確的事件類型。
Canarytoken 資訊已正確對應。
事件會標示為警示。
安全性類別已設為「NETWORK_SUSPICIOUS」。

2023-05-12

修正「MSSQL 登入嘗試」事件未正確分類的問題。

2022-12-04

新增支援「HTTP 登入嘗試」、「FTP 登入嘗試」、「網站掃描」、「主控台設定變更」和「RDP 登入嘗試」事件。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。