Thinkst Canary-Logs erfassen

Unterstützt in:

Dieser Parser normalisiert Rohlog-Nachrichten aus der Thinkst Canary-Software, indem er Zeilenumbrüche entfernt und versucht, die Nachricht als JSON zu parsen. Anhand des Vorhandenseins bestimmter Felder („Description“ für das Schlüssel/Wert-Format oder „summary“ für JSON) wird dann das Logformat ermittelt und die entsprechende Parsing-Logik aus separaten Konfigurationsdateien einbezogen, um die Daten dem einheitlichen Datenmodell zuzuordnen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Thinkst Canary.

REST API in Thinkst Canary konfigurieren

  1. Melden Sie sich in der Thinkst Canary-Verwaltungskonsole an.
  2. Klicken Sie auf das Zahnradsymbol > Globale Einstellungen.
  3. Klicken Sie auf API.
  4. Klicken Sie auf API aktivieren.
  5. Klicken Sie auf +, um eine API hinzuzufügen.
  6. Geben Sie der API einen aussagekräftigen Namen.
  7. Kopieren Sie den Domain-Hash und das Autorisierungstoken.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Thinkst Canary Logs (Thinkst Canary-Protokolle).
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie Thinkst Canary als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Header für die Authentifizierung:Das zuvor generierte Token im auth_token:<TOKEN>-Format (z. B. auth_token:AAAABBBBCCCC111122223333).
    • API-Hostname:Der FQDN (vollständig qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkt (z. B. myinstance.canary.tools).
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • HTTP-Header für die Authentifizierung:Das zuvor generierte Token im auth_token:<TOKEN>-Format (z. B. auth_token:AAAABBBBCCCC111122223333).
  • API-Hostname:Der FQDN (vollständig qualifizierter Domainname) Ihres Thinks Canary REST API-Endpunkt (z. B. myinstance.canary.tools).

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
AUDITACTION read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
erstellt read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DATEN
description read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
Beschreibung read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
HEADER read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
SCHLÜSSEL
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
METHODE read_only_udm.network.http.method
MODUS
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
Name read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OUT read_only_udm.security_result.detection_fields.value
PASSWORT
PFAD read_only_udm.target.url
Ports read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
REAKTION read_only_udm.network.http.response_code
ReverseDNS
Einstellungen read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
STATUS
Zusammenfassung read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „description“ übernommen, wenn das Format „json“ ist. Andernfalls wird er durch das Feld „eventid“ bestimmt.
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Zeitstempel read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TOS read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TYP
NUTZER read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NUTZERNAME read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY – fest codierter Wert
read_only_udm.metadata.vendor_name Thinkst – Hartcodierter Wert
read_only_udm.metadata.product_name Canary – Hartcodierter Wert
read_only_udm.security_result.severity KRITISCH – Hartcodierter Wert
read_only_udm.network.application_protocol Wird durch den Port und „product_event_type“ bestimmt.
read_only_udm.extensions.auth.mechanism Wird durch die im Ereignis verwendete Authentifizierungsmethode bestimmt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten