Recoger registros de Thinkst Canary
Disponible en:
SecOps de Google
SIEM
Este analizador normaliza los mensajes de registro sin procesar del software Thinkst Canary limpiando los saltos de línea e intentando analizar el mensaje como JSON. A continuación, en función de la presencia de campos específicos ("Description" para el formato de clave-valor o "summary" para JSON), determina el formato del registro e incluye la lógica de análisis adecuada de archivos de configuración independientes para asignar los datos al modelo de datos unificado.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Instancia de Google SecOps.
- Acceso privilegiado a Thinkst Canary.
Configurar la API REST en Thinkst Canary
- Inicia sesión en la consola de administración de Thinkst Canary.
- Haga clic en el icono de la rueda dentada > Configuración global.
- Haz clic en API.
- Haz clic en Habilitar API.
- Haz clic en + para añadir una API.
- Asigna un nombre descriptivo a la API.
- Copia el hash de dominio y el token de autorización.
Configurar feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Añadir feed.
- En la página siguiente, haga clic en Configurar un solo feed.
- En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Thinkst Canary).
- Seleccione API de terceros como Tipo de fuente.
- Seleccione Thinkst Canary como Tipo de registro.
- Haz clic en Siguiente.
- Especifique valores para los siguientes parámetros de entrada:
- Encabezado HTTP de autenticación: el token generado anteriormente en formato
auth_token:<TOKEN>(por ejemplo, auth_token:AAAABBBBCCCC111122223333). - Nombre de host de la API: el nombre de dominio completo (FQDN) de su endpoint de la API REST de Think Canary (por ejemplo,
myinstance.canary.tools). - Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
- Encabezado HTTP de autenticación: el token generado anteriormente en formato
- Haz clic en Siguiente.
- Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
Asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es JSON. De lo contrario, se determina mediante el campo eventid. |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| creado | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATOS | ||
| description | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es JSON. De lo contrario, se determina mediante el campo eventid. |
| Descripción | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es JSON. De lo contrario, se determina mediante el campo eventid. |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es JSON. De lo contrario, se determina mediante el campo eventid. |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| ENCABEZADOS | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| NOMBRE_DE_HOST | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| CLAVE | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| MÉTODO | read_only_udm.network.http.method | |
| MODO | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| CONTRASEÑA | ||
| RUTA | read_only_udm.target.url | |
| puertos | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPUESTA | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Ajustes | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ESTADO | ||
| resumen | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es JSON. De lo contrario, se determina mediante el campo eventid. |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Marca de tiempo | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| TIPO | ||
| USUARIO | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NOMBRE DE USUARIO | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY: valor codificado | |
| read_only_udm.metadata.vendor_name | Thinkst - Valor codificado | |
| read_only_udm.metadata.product_name | Canary: valor codificado | |
| read_only_udm.security_result.severity | CRÍTICO: valor codificado | |
| read_only_udm.network.application_protocol | Determinado por el puerto y product_event_type | |
| read_only_udm.extensions.auth.mechanism | Determinado por el método de autenticación utilizado en el evento |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.