Mengumpulkan log Thinkst Canary
Didukung di:
Google SecOps
SIEM
Parser ini menormalisasi pesan log mentah dari software Thinkst Canary dengan membersihkan jeda baris dan mencoba mengurai pesan sebagai JSON. Kemudian, berdasarkan keberadaan kolom tertentu ("Description" untuk format key-value atau "summary" untuk JSON), format log akan ditentukan dan logika parsing yang sesuai dari file konfigurasi terpisah akan disertakan untuk memetakan data ke dalam model data terpadu.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke Thinkst Canary.
Mengonfigurasi REST API di Thinkst Canary
- Login ke konsol pengelolaan Thinkst Canary.
- Klik Ikon Roda Gigi > Setelan Global.
- Klik API.
- Klik Enable API.
- Klik + untuk menambahkan API.
- Beri nama deskriptif pada API.
- Salin Hash Domain dan Token Autentikasi.
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed; misalnya, Thinkst Canary Logs.
- Pilih Third party API sebagai Source type.
- Pilih Thinkst Canary sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
auth_token:<TOKEN>(misalnya, auth_token:AAAABBBBCCCC111122223333). - Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Thinks Canary REST API Anda (misalnya
myinstance.canary.tools). - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| dibuat | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| KERENTANAN | ||
| deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| Deskripsi | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADER | read_only_udm.security_result.about.resource.attribute.labels | |
| PENYELENGGARA | read_only_udm.target.hostname | |
| NAMA HOST | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| KUNCI | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METODE | read_only_udm.network.http.method | |
| MODE | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| nama | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| KELUAR | read_only_udm.security_result.detection_fields.value | |
| PASSWORD | ||
| JALUR | read_only_udm.target.url | |
| port | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPONS | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Setelan | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| STATUS | ||
| ringkasan | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom deskripsi jika formatnya adalah json, jika tidak, nilai ditentukan oleh kolom eventid |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| UKURAN TERMINAL | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| Stempel waktu | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| JENIS | ||
| PENGGUNA | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| NAMA PENGGUNA | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - Nilai yang di-hardcode | |
| read_only_udm.metadata.vendor_name | Thinkst - Nilai yang di-hardcode | |
| read_only_udm.metadata.product_name | Canary - Nilai yang dikodekan secara permanen | |
| read_only_udm.security_result.severity | KRITIS - Nilai yang di-hardcode | |
| read_only_udm.network.application_protocol | Ditentukan oleh port dan product_event_type | |
| read_only_udm.extensions.auth.mechanism | Ditentukan oleh metode autentikasi yang digunakan dalam peristiwa |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.