Recopila registros de Thinkst Canary

Compatible con:

Este analizador normaliza los mensajes de registro sin procesar del software Thinkst Canary limpiando los saltos de línea y tratando de analizar el mensaje como JSON. Luego, en función de la presencia de campos específicos (“Descripción” para el formato de clave-valor o “resumen” para JSON), determina el formato de registro e incluye la lógica de análisis adecuada de archivos de configuración separados para asignar los datos al modelo de datos unificado.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a Thinkst Canary

Configura la API de REST en Thinkst Canary

  1. Accede a la consola de administración de Thinkst Canary.
  2. Haz clic en el ícono de ajustes > Configuración global.
  3. Haz clic en API.
  4. Haz clic en Habilitar API.
  5. Haz clic en + para agregar una API.
  6. Asigna un nombre descriptivo a la API.
  7. Copia el hash del dominio y el token de autorización.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Thinkst Canary.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Thinkst Canary como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el token generado anteriormente en formato auth_token:<TOKEN> (por ejemplo, auth_token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Thinks Canary (por ejemplo, myinstance.canary.tools).
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Encabezado HTTP de autenticación: Es el token generado anteriormente en formato auth_token:<TOKEN> (por ejemplo, auth_token:AAAABBBBCCCC111122223333).
  • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Thinks Canary (por ejemplo, myinstance.canary.tools).

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
AUDITACTION read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid.
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
created read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
DATOS
descripción read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid.
Descripción read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid.
DOMINIO read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid.
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
ENCABEZADOS read_only_udm.security_result.about.resource.attribute.labels
HOST read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
CLAVE
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
MÉTODO read_only_udm.network.http.method
MODE
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
nombre read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OCT read_only_udm.security_result.detection_fields.value
CONTRASEÑA
RUTA read_only_udm.target.url
puertos read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
RESPUESTA read_only_udm.network.http.response_code
ReverseDNS
Configuración read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
ESTADO
resumen read_only_udm.metadata.product_event_type El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid.
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
timestamp read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
Marca de tiempo read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TOS read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
TIPO
USUARIO read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
NOMBRE DE USUARIO read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY: Es un valor codificado.
read_only_udm.metadata.vendor_name Thinkst: Valor codificado
read_only_udm.metadata.product_name Canary: Valor codificado
read_only_udm.security_result.severity CRÍTICO: Valor codificado
read_only_udm.network.application_protocol Determinado por el puerto y product_event_type
read_only_udm.extensions.auth.mechanism Se determina según el método de autenticación que se usó en el evento.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.