Mengumpulkan log Thinkst Canary

Didukung di:

Parser ini menormalisasi pesan log mentah dari software Thinkst Canary dengan membersihkan akhir baris dan mencoba mengurai pesan sebagai JSON. Kemudian, berdasarkan keberadaan kolom tertentu ("Deskripsi" untuk format nilai kunci atau "ringkasan" untuk JSON), format log akan ditentukan dan logika penguraian yang sesuai akan disertakan dari file konfigurasi terpisah untuk memetakan data ke dalam model data terpadu.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Thinkst Canary.

Mengonfigurasi REST API di Thinkst Canary

  1. Login ke konsol pengelolaan Thinkst Canary.
  2. Klik Ikon Roda Gigi > Setelan Global.
  3. Klik API.
  4. Klik Enable API.
  5. Klik + untuk menambahkan API.
  6. Beri nama deskriptif pada API.
  7. Salin Hash Domain dan Token Autentikasi.

Mengonfigurasi feed di Google SecOps untuk menyerap log Thinkst Canary

  1. Klik Tambahkan baru.
  2. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Thinkst Canary Logs).
  3. Pilih Third party API sebagai Source type.
  4. Pilih Thinkst Canary sebagai Jenis log.
  5. Klik Berikutnya.
  6. Tentukan nilai untuk parameter input berikut:
    • Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format auth_token:<TOKEN> (misalnya, auth_token:AAAABBBBCCCC111122223333).
    • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Thinks Canary REST API Anda (misalnya myinstance.canary.tools).
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  7. Klik Berikutnya.
  8. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Pemetaan UDM

Kolom log Pemetaan UDM Logika
AUDITACTION read_only_udm.metadata.product_event_type Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
dibuat read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
KERENTANAN
deskripsi read_only_udm.metadata.product_event_type Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid
Deskripsi read_only_udm.metadata.product_event_type Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
HEADER read_only_udm.security_result.about.resource.attribute.labels
PENYELENGGARA read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
KEY
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
METODE read_only_udm.network.http.method
MODE
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
nama read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
KELUAR read_only_udm.security_result.detection_fields.value
PASSWORD
JALUR read_only_udm.target.url
port read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
RESPONSE read_only_udm.network.http.response_code
ReverseDNS
Setelan read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
STATUS
ringkasan read_only_udm.metadata.product_event_type Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Stempel waktu read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TOS read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
JENIS
PENGGUNA read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NAMA PENGGUNA read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY - Nilai hardcode
read_only_udm.metadata.vendor_name Thinkst - Nilai hardcode
read_only_udm.metadata.product_name Canary - Nilai hardcode
read_only_udm.security_result.severity CRITICAL - Nilai hardcode
read_only_udm.is_alert true - Nilai hardcode
read_only_udm.is_significant true - Nilai hardcode
read_only_udm.network.application_protocol Ditentukan oleh port dan product_event_type
read_only_udm.extensions.auth.mechanism Ditentukan oleh metode autentikasi yang digunakan dalam peristiwa

Perubahan

2024-05-18

  • Menambahkan dukungan untuk peristiwa "Setelan Flock Diubah" dan mulai memetakan ID pengguna dari peristiwa ini.

2024-03-05

  • Menambahkan dukungan untuk peristiwa "Permintaan SIP" dan "Permintaan TFTP".
  • Peningkatan pemetaan untuk berbagai kolom seperti hash file, agen pengguna, dan label resource.
  • Mulai memetakan detail tertentu dari header SIP dan TFTP untuk analisis keamanan yang lebih baik.

2023-12-08

  • Standarisasi pemberitahuan "THINKST_CANARY" sebagai peristiwa penting dengan tanda keparahan yang sesuai.
  • Menambahkan dukungan untuk peristiwa "NMAP OS Scan Detected".

2023-12-07

  • Menambahkan dukungan untuk peristiwa "WinRM Login Attempt", "Telnet Login Attempt", "Redis Command".
  • Peningkatan penguraian stempel waktu peristiwa.

2023-09-15

  • Menambahkan dukungan untuk peristiwa "VNC Login Attempt".

2023-08-04

  • Peningkatan penanganan peristiwa yang dipicu Canarytoken:
  • Jenis peristiwa yang lebih spesifik kini digunakan.
  • Informasi Canarytoken dipetakan dengan benar.
  • Peristiwa ditandai sebagai pemberitahuan.
  • Kategori keamanan disetel ke "NETWORK_SUSPICIOUS".

2023-05-12

  • Memperbaiki masalah saat peristiwa "MSSQL Login Attempt" tidak dikategorikan dengan benar.

2022-12-04

  • Menambahkan dukungan untuk peristiwa "HTTP Login Attempt", "FTP Login Attempt", "Website Scan", "Console Settings Changed", dan "RDP Login Attempt".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.