Recopila registros de Thinkst Canary
Compatible con:
Google SecOps
SIEM
Este analizador normaliza los mensajes de registro sin procesar del software Thinkst Canary limpiando los saltos de línea y tratando de analizar el mensaje como JSON. Luego, en función de la presencia de campos específicos (“Descripción” para el formato de clave-valor o “resumen” para JSON), determina el formato de registro y, luego, incluye la lógica de análisis adecuada de archivos de configuración separados para asignar los datos al modelo de datos unificado.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps.
- Acceso privilegiado a Thinkst Canary
Configura la API de REST en Thinkst Canary
- Accede a la consola de administración de Thinkst Canary.
- Haz clic en el ícono de ajustes > Configuración global.
- Haz clic en API.
- Haz clic en Habilitar API.
- Haz clic en + para agregar una API.
- Asigna un nombre descriptivo a la API.
- Copia el hash del dominio y el token de autorización.
Configura feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Thinkst Canary.
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Thinkst Canary como el Tipo de registro.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- Encabezado HTTP de autenticación: Es el token generado anteriormente en formato
auth_token:<TOKEN>(por ejemplo, auth_token:AAAABBBBCCCC111122223333). - Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Thinks Canary (por ejemplo,
myinstance.canary.tools). - Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- Encabezado HTTP de autenticación: Es el token generado anteriormente en formato
- Haz clic en Siguiente.
- Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid. |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| created | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATOS | ||
| descripción | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid. |
| Descripción | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid. |
| DOMINIO | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid. |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| ENCABEZADOS | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| CLAVE | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| MÉTODO | read_only_udm.network.http.method | |
| MODE | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| nombre | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OCT | read_only_udm.security_result.detection_fields.value | |
| CONTRASEÑA | ||
| RUTA | read_only_udm.target.url | |
| puertos | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPUESTA | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Configuración | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ESTADO | ||
| resumen | read_only_udm.metadata.product_event_type | El valor se toma del campo de descripción si el formato es json; de lo contrario, se determina por el campo eventid. |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Marca de tiempo | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| TIPO | ||
| USUARIO | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NOMBRE DE USUARIO | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY: Es un valor codificado. | |
| read_only_udm.metadata.vendor_name | Thinkst: Valor codificado | |
| read_only_udm.metadata.product_name | Canary: Valor codificado | |
| read_only_udm.security_result.severity | CRÍTICO: Valor codificado | |
| read_only_udm.network.application_protocol | Determinado por el puerto y product_event_type | |
| read_only_udm.extensions.auth.mechanism | Se determina según el método de autenticación que se usó en el evento. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.