收集 Thinkst Canary 日志

支持的语言:

此解析器通过清理换行符并尝试将消息解析为 JSON,来规范化 Thinkst Canary 软件中的原始日志消息。然后,根据特定字段(键值对格式为“Description”,JSON 为“summary”)的存在情况,确定日志格式,并从单独的配置文件中包含相应的解析逻辑,以将数据映射到统一的数据模型中。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例。
  • 对 Thinkst Canary 的特权访问权限。

在 Thinkst Canary 中配置 REST API

  1. 登录 Thinkst Canary 管理控制台。
  2. 依次点击齿轮图标 > 全局设置
  3. 点击 API
  4. 点击启用 API
  5. 点击 + 可添加 API。
  6. 为 API 指定一个描述性名称。
  7. 复制网域哈希身份验证令牌

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 Thinkst Canary 日志
  5. 选择第三方 API 作为来源类型
  6. 选择 Thinkst Canary 作为日志类型
  7. 点击下一步
  8. 为以下输入参数指定值:
    • 身份验证 HTTP 标头:之前以 auth_token:<TOKEN> 格式生成的令牌(例如 auth_token:AAAABBBBCCCC111122223333)。
    • API 主机名:Think Canary REST API 端点的 FQDN(完全限定域名),例如 myinstance.canary.tools
    • 资源命名空间资源命名空间
    • 注入标签:应用于此 Feed 中事件的标签。
  9. 点击下一步
  10. 最终确定界面中检查 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 身份验证 HTTP 标头:之前以 auth_token:<TOKEN> 格式生成的令牌(例如 auth_token:AAAABBBBCCCC111122223333)。
  • API 主机名:Think Canary REST API 端点的 FQDN(完全限定域名),例如 myinstance.canary.tools

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射

日志字段 UDM 映射 逻辑
AUDITACTION read_only_udm.metadata.product_event_type 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
Cookie read_only_udm.security_result.about.resource.attribute.labels.value
已创建 read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
数据
说明 read_only_udm.metadata.product_event_type 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定
说明 read_only_udm.metadata.product_event_type 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
标头 read_only_udm.security_result.about.resource.attribute.labels
主机 read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
方法 read_only_udm.network.http.method
模式
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
name read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OUT read_only_udm.security_result.detection_fields.value
PASSWORD
PATH read_only_udm.target.url
端口 read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
回答 read_only_udm.network.http.response_code
ReverseDNS
设置 read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
STATUS
摘要 read_only_udm.metadata.product_event_type 如果格式为 JSON,则该值取自说明字段;否则,该值由 eventid 字段确定
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
时间戳 read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
时间戳 read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TOS read_only_udm.security_result.detection_fields.value
TTL read_only_udm.security_result.detection_fields.value
类型
用户 read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
用户名 read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY - 硬编码值
read_only_udm.metadata.vendor_name Thinkst - 硬编码的值
read_only_udm.metadata.product_name Canary - 硬编码的值
read_only_udm.security_result.severity 严重 - 硬编码的值
read_only_udm.network.application_protocol 由端口和 product_event_type 确定
read_only_udm.extensions.auth.mechanism 由相应事件中使用的身份验证方法决定

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。