Thinkst Canary のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このパーサーは、改行を削除し、メッセージを JSON として解析しようとすることで、Thinkst Canary ソフトウェアからの未加工のログ メッセージを正規化します。次に、特定のフィールド(キーバリュー形式の場合は「Description」、JSON の場合は「summary」)の有無に基づいてログ形式を特定し、個別の構成ファイルから適切な解析ロジックを含めて、データを統合データモデルにマッピングします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス。
- Thinkst Canary への特権アクセス。
Thinkst Canary で REST API を構成する
- Thinkst Canary 管理コンソールにログインします。
- 歯車アイコン > [Global Settings] をクリックします。
- [API] をクリックします。
- [API を有効にする] をクリックします。
- [+] をクリックして API を追加します。
- API にわかりやすい名前を付けます。
- [Domain Hash] と [Auth Token] をコピーします。
フィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Thinkst Canary Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [Log type] として [Thinkst Canary] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Authentication HTTP Header:
auth_token:<TOKEN>形式で以前に生成されたトークン(例: auth_token:AAAABBBBCCCC111122223333)。 - API Hostname: Thinks Canary REST API エンドポイントの FQDN(完全修飾ドメイン名)(例:
myinstance.canary.tools)。 - Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- Authentication HTTP Header:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
UDM マッピング
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 形式が JSON の場合は説明フィールドから値が取得され、それ以外の場合は eventid フィールドによって値が決定されます。 |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| created | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| DATA | ||
| 説明 | read_only_udm.metadata.product_event_type | 形式が JSON の場合は説明フィールドから値が取得され、それ以外の場合は eventid フィールドによって値が決定されます。 |
| 説明 | read_only_udm.metadata.product_event_type | 形式が JSON の場合は説明フィールドから値が取得され、それ以外の場合は eventid フィールドによって値が決定されます。 |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 形式が JSON の場合は説明フィールドから値が取得され、それ以外の場合は eventid フィールドによって値が決定されます。 |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| HEADERS | read_only_udm.security_result.about.resource.attribute.labels | |
| HOST | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| KEY | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| METHOD | read_only_udm.network.http.method | |
| モード | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| name | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| パスワード | ||
| PATH | read_only_udm.target.url | |
| ports | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| RESPONSE | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| Settings | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| ステータス | ||
| 概要 | read_only_udm.metadata.product_event_type | 形式が JSON の場合は説明フィールドから値が取得され、それ以外の場合は eventid フィールドによって値が決定されます。 |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| timestamp | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| タイムスタンプ | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| TTL | read_only_udm.security_result.detection_fields.value | |
| タイプ | ||
| ユーザー | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| ユーザー名 | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - ハードコードされた値 | |
| read_only_udm.metadata.vendor_name | Thinkst - ハードコードされた値 | |
| read_only_udm.metadata.product_name | Canary - ハードコードされた値 | |
| read_only_udm.security_result.severity | CRITICAL - ハードコードされた値 | |
| read_only_udm.network.application_protocol | ポートと product_event_type によって決定されます | |
| read_only_udm.extensions.auth.mechanism | イベントで使用される認証方法によって決まります |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。