Mengumpulkan log Thinkst Canary
Didukung di:
Google secops
Siem
Parser ini menormalisasi pesan log mentah dari software Thinkst Canary dengan membersihkan akhir baris dan mencoba mengurai pesan sebagai JSON. Kemudian, berdasarkan keberadaan kolom tertentu ("Deskripsi" untuk format nilai kunci atau "ringkasan" untuk JSON), format log akan ditentukan dan logika penguraian yang sesuai akan disertakan dari file konfigurasi terpisah untuk memetakan data ke dalam model data terpadu.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps.
- Akses dengan hak istimewa ke Thinkst Canary.
Mengonfigurasi REST API di Thinkst Canary
- Login ke konsol pengelolaan Thinkst Canary.
- Klik Ikon Roda Gigi > Setelan Global.
- Klik API.
- Klik Enable API.
- Klik + untuk menambahkan API.
- Beri nama deskriptif pada API.
- Salin Hash Domain dan Token Autentikasi.
Menyiapkan feed
Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasikan satu feed.
- Di kolom Feed name, masukkan nama untuk feed; misalnya, Thinkst Canary Logs.
- Pilih Third party API sebagai Source type.
- Pilih Thinkst Canary sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
auth_token:<TOKEN>(misalnya, auth_token:AAAABBBBCCCC111122223333). - Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Thinks Canary REST API Anda (misalnya
myinstance.canary.tools). - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
Menyiapkan feed dari Content Hub
Tentukan nilai untuk kolom berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
auth_token:<TOKEN>(misalnya, auth_token:AAAABBBBCCCC111122223333). - Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Thinks Canary REST API Anda (misalnya
myinstance.canary.tools).
Opsi lanjutan
- Nama Feed: Nilai yang diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| dibuat | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| KERENTANAN | ||
| deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| Deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADER | read_only_udm.security_result.about.resource.attribute.labels | |
| PENYELENGGARA | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| KEY | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METODE | read_only_udm.network.http.method | |
| MODE | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| nama | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| KELUAR | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| JALUR | read_only_udm.target.url | |
| port | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPONS | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Setelan | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| ringkasan | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Stempel waktu | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| JENIS | ||
| PENGGUNA | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NAMA PENGGUNA | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - Nilai hardcode | |
| read_only_udm.metadata.vendor_name | Thinkst - Nilai hardcode | |
| read_only_udm.metadata.product_name | Canary - Nilai hardcode | |
| read_only_udm.security_result.severity | CRITICAL - Nilai hardcode | |
| read_only_udm.is_alert | true - Nilai hardcode | |
| read_only_udm.is_significant | true - Nilai hardcode | |
| read_only_udm.network.application_protocol | Ditentukan oleh port dan product_event_type | |
| read_only_udm.extensions.auth.mechanism | Ditentukan oleh metode autentikasi yang digunakan dalam peristiwa |
Perubahan
2024-05-18
- Menambahkan dukungan untuk peristiwa "Setelan Flock Diubah" dan mulai memetakan ID pengguna dari peristiwa ini.
2024-03-05
- Menambahkan dukungan untuk peristiwa "Permintaan SIP" dan "Permintaan TFTP".
- Peningkatan pemetaan untuk berbagai kolom seperti hash file, agen pengguna, dan label resource.
- Mulai memetakan detail tertentu dari header SIP dan TFTP untuk analisis keamanan yang lebih baik.
2023-12-08
- Standarisasi pemberitahuan "THINKST_CANARY" sebagai peristiwa penting dengan tanda keparahan yang sesuai.
- Menambahkan dukungan untuk peristiwa "NMAP OS Scan Detected".
2023-12-07
- Menambahkan dukungan untuk peristiwa "WinRM Login Attempt", "Telnet Login Attempt", "Redis Command".
- Peningkatan penguraian stempel waktu peristiwa.
2023-09-15
- Menambahkan dukungan untuk peristiwa "VNC Login Attempt".
2023-08-04
- Peningkatan penanganan peristiwa yang dipicu Canarytoken:
- Jenis peristiwa yang lebih spesifik kini digunakan.
- Informasi Canarytoken dipetakan dengan benar.
- Peristiwa ditandai sebagai pemberitahuan.
- Kategori keamanan disetel ke "NETWORK_SUSPICIOUS".
2023-05-12
- Memperbaiki masalah saat peristiwa "Percobaan Login MSSQL" tidak dikategorikan dengan benar.
2022-12-04
- Menambahkan dukungan untuk peristiwa "HTTP Login Attempt", "FTP Login Attempt", "Website Scan", "Console Settings Changed", dan "RDP Login Attempt".
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.