收集 Thinkst Canary 記錄

支援的國家/地區:

這個剖析器會清除換行符,並嘗試將訊息剖析為 JSON,藉此將 Thinkst Canary 軟體的原始記錄訊息標準化。然後,根據特定欄位是否存在 (鍵/值格式為「Description」,JSON 格式為「summary」),判斷記錄格式,並從個別設定檔納入適當的剖析邏輯,將資料對應至統一資料模型。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • Thinkst Canary 的特殊存取權。

在 Thinkst Canary 中設定 REST API

  1. 登入 Thinkst Canary 管理控制台。
  2. 依序點按「齒輪圖示」>「通用設定」
  3. 按一下「API」
  4. 點按「啟用 API」
  5. 按一下「+」新增 API。
  6. 為 API 取個好記易懂的名稱。
  7. 複製「網域雜湊」和「授權權杖」

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Thinkst Canary Logs」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Thinkst Canary」做為「記錄類型」。
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 驗證 HTTP 標頭:先前以 auth_token:<TOKEN> 格式產生的權杖 (例如 auth_token:AAAABBBBCCCC111122223333)。
    • API 主機名稱:Thinks Canary REST API 端點的 FQDN (完整網域名稱),例如 myinstance.canary.tools
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  9. 點選「下一步」
  10. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 驗證 HTTP 標頭:先前以 auth_token:<TOKEN> 格式產生的權杖 (例如 auth_token:AAAABBBBCCCC111122223333)。
  • API 主機名稱:Thinks Canary REST API 端點的 FQDN (完整網域名稱),例如 myinstance.canary.tools

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應

記錄欄位 UDM 對應 邏輯
AUDITACTION read_only_udm.metadata.product_event_type 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定
CanaryIP read_only_udm.target.ip
CanaryName read_only_udm.target.hostname
CanaryPort read_only_udm.target.port
COOKIE read_only_udm.security_result.about.resource.attribute.labels.value
已建立 read_only_udm.metadata.event_timestamp.seconds
created_std read_only_udm.metadata.event_timestamp.seconds
資料
說明 read_only_udm.metadata.product_event_type 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定
說明 read_only_udm.metadata.product_event_type 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定
DOMAIN read_only_udm.target.administrative_domain
dst_host read_only_udm.target.ip
dst_port read_only_udm.target.port
eventid read_only_udm.metadata.product_event_type 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定
events_count read_only_udm.security_result.detection_fields.value
FILENAME read_only_udm.target.file.full_path
FIN read_only_udm.security_result.detection_fields.value
flock_id read_only_udm.principal.resource.attribute.labels.value
flock_name read_only_udm.principal.resource.attribute.labels.value
FunctionData
FunctionName
標頭 read_only_udm.security_result.about.resource.attribute.labels
主機 read_only_udm.target.hostname
HOSTNAME read_only_udm.target.hostname
id read_only_udm.metadata.product_log_id
ID read_only_udm.security_result.detection_fields.value
IN read_only_udm.security_result.detection_fields.value
ip_address
顏色釋義
LEN read_only_udm.security_result.detection_fields.value
LOCALNAME read_only_udm.target.hostname
LOCALVERSION read_only_udm.target.platform_version
logtype read_only_udm.security_result.detection_fields.value
LOGINTYPE
MAC read_only_udm.principal.mac
matched_annotations
方法 read_only_udm.network.http.method
模式
ms_macro_ip read_only_udm.principal.ip
ms_macro_username read_only_udm.principal.user.user_display_name
名稱 read_only_udm.target.hostname
node_id read_only_udm.principal.resource.attribute.labels.value
OFFSET
OPCODE
OUT read_only_udm.security_result.detection_fields.value
密碼
路徑 read_only_udm.target.url
通訊埠 read_only_udm.target.labels.value
PREC read_only_udm.security_result.detection_fields.value
PreviousIP read_only_udm.principal.ip
PROTO read_only_udm.network.ip_protocol
PSH read_only_udm.security_result.detection_fields.value
REALM read_only_udm.target.administrative_domain
REMOTENAME read_only_udm.principal.hostname
REMOTEVERSION read_only_udm.principal.platform_version
REPO read_only_udm.target.resource.attribute.labels.value
回覆 read_only_udm.network.http.response_code
ReverseDNS
設定 read_only_udm.target.labels
SHARENAME
SIZE
SKIN
SMBARCH
SMBREPEATEVENTMSG
SMBVER
SNAME
SourceIP read_only_udm.principal.ip
src_host read_only_udm.principal.ip
src_host_reverse read_only_udm.principal.hostname
src_port read_only_udm.principal.port
狀態
摘要 read_only_udm.metadata.product_event_type 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定
SYN read_only_udm.security_result.detection_fields.value
TCPBannerID
TERMSIZE
TERMTYPE
時間戳記 read_only_udm.metadata.event_timestamp.seconds
timestamp_std read_only_udm.metadata.event_timestamp.seconds
時間戳記 read_only_udm.metadata.event_timestamp.seconds
TKTVNO read_only_udm.security_result.detection_fields.value
TOS read_only_udm.security_result.detection_fields.value
存留時間 read_only_udm.security_result.detection_fields.value
類型
使用者 read_only_udm.principal.user.user_display_name
USERAGENT read_only_udm.network.http.user_agent
使用者名稱 read_only_udm.target.user.user_display_name
URG read_only_udm.security_result.detection_fields.value
URGP read_only_udm.security_result.detection_fields.value
WINDOW read_only_udm.security_result.detection_fields.value
windows_desktopini_access_domain read_only_udm.principal.group.group_display_name
windows_desktopini_access_username read_only_udm.principal.user.user_display_name
read_only_udm.metadata.log_type THINKST_CANARY - 硬式編碼值
read_only_udm.metadata.vendor_name Thinkst - 硬式編碼值
read_only_udm.metadata.product_name Canary - Hardcoded value
read_only_udm.security_result.severity 嚴重 - 硬式編碼值
read_only_udm.network.application_protocol 取決於通訊埠和 product_event_type
read_only_udm.extensions.auth.mechanism 取決於事件中使用的驗證方法

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。