收集 Thinkst Canary 記錄
支援的國家/地區:
Google SecOps
SIEM
這個剖析器會清除換行符,並嘗試將訊息剖析為 JSON,藉此將 Thinkst Canary 軟體的原始記錄訊息標準化。然後,根據特定欄位是否存在 (鍵/值格式為「Description」,JSON 格式為「summary」),判斷記錄格式,並從個別設定檔納入適當的剖析邏輯,將資料對應至統一資料模型。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Thinkst Canary 的特殊存取權。
在 Thinkst Canary 中設定 REST API
- 登入 Thinkst Canary 管理控制台。
- 依序點按「齒輪圖示」>「通用設定」。
- 按一下「API」。
- 點按「啟用 API」。
- 按一下「+」新增 API。
- 為 API 取個好記易懂的名稱。
- 複製「網域雜湊」和「驗證權杖」。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Thinkst Canary Logs」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Thinkst Canary」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭:先前以
auth_token:<TOKEN>格式產生的權杖 (例如 auth_token:AAAABBBBCCCC111122223333)。 - API 主機名稱:Thinks Canary REST API 端點的 FQDN (完整網域名稱),例如
myinstance.canary.tools。 - 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 驗證 HTTP 標頭:先前以
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
UDM 對應
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| AUDITACTION | read_only_udm.metadata.product_event_type | 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定 |
| CanaryIP | read_only_udm.target.ip | |
| CanaryName | read_only_udm.target.hostname | |
| CanaryPort | read_only_udm.target.port | |
| COOKIE | read_only_udm.security_result.about.resource.attribute.labels.value | |
| 已建立 | read_only_udm.metadata.event_timestamp.seconds | |
| created_std | read_only_udm.metadata.event_timestamp.seconds | |
| 資料 | ||
| 說明 | read_only_udm.metadata.product_event_type | 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定 |
| 說明 | read_only_udm.metadata.product_event_type | 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定 |
| DOMAIN | read_only_udm.target.administrative_domain | |
| dst_host | read_only_udm.target.ip | |
| dst_port | read_only_udm.target.port | |
| eventid | read_only_udm.metadata.product_event_type | 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定 |
| events_count | read_only_udm.security_result.detection_fields.value | |
| FILENAME | read_only_udm.target.file.full_path | |
| FIN | read_only_udm.security_result.detection_fields.value | |
| flock_id | read_only_udm.principal.resource.attribute.labels.value | |
| flock_name | read_only_udm.principal.resource.attribute.labels.value | |
| FunctionData | ||
| FunctionName | ||
| 標頭 | read_only_udm.security_result.about.resource.attribute.labels | |
| 主機 | read_only_udm.target.hostname | |
| HOSTNAME | read_only_udm.target.hostname | |
| id | read_only_udm.metadata.product_log_id | |
| ID | read_only_udm.security_result.detection_fields.value | |
| IN | read_only_udm.security_result.detection_fields.value | |
| ip_address | ||
| 顏色釋義 | ||
| LEN | read_only_udm.security_result.detection_fields.value | |
| LOCALNAME | read_only_udm.target.hostname | |
| LOCALVERSION | read_only_udm.target.platform_version | |
| logtype | read_only_udm.security_result.detection_fields.value | |
| LOGINTYPE | ||
| MAC | read_only_udm.principal.mac | |
| matched_annotations | ||
| 方法 | read_only_udm.network.http.method | |
| 模式 | ||
| ms_macro_ip | read_only_udm.principal.ip | |
| ms_macro_username | read_only_udm.principal.user.user_display_name | |
| 名稱 | read_only_udm.target.hostname | |
| node_id | read_only_udm.principal.resource.attribute.labels.value | |
| OFFSET | ||
| OPCODE | ||
| OUT | read_only_udm.security_result.detection_fields.value | |
| 密碼 | ||
| 路徑 | read_only_udm.target.url | |
| 連接埠 | read_only_udm.target.labels.value | |
| PREC | read_only_udm.security_result.detection_fields.value | |
| PreviousIP | read_only_udm.principal.ip | |
| PROTO | read_only_udm.network.ip_protocol | |
| PSH | read_only_udm.security_result.detection_fields.value | |
| REALM | read_only_udm.target.administrative_domain | |
| REMOTENAME | read_only_udm.principal.hostname | |
| REMOTEVERSION | read_only_udm.principal.platform_version | |
| REPO | read_only_udm.target.resource.attribute.labels.value | |
| 回覆 | read_only_udm.network.http.response_code | |
| ReverseDNS | ||
| 設定 | read_only_udm.target.labels | |
| SHARENAME | ||
| SIZE | ||
| SKIN | ||
| SMBARCH | ||
| SMBREPEATEVENTMSG | ||
| SMBVER | ||
| SNAME | ||
| SourceIP | read_only_udm.principal.ip | |
| src_host | read_only_udm.principal.ip | |
| src_host_reverse | read_only_udm.principal.hostname | |
| src_port | read_only_udm.principal.port | |
| 狀態 | ||
| 摘要 | read_only_udm.metadata.product_event_type | 如果格式為 JSON,則值取自說明欄位;否則,值由 eventid 欄位決定 |
| SYN | read_only_udm.security_result.detection_fields.value | |
| TCPBannerID | ||
| TERMSIZE | ||
| TERMTYPE | ||
| 時間戳記 | read_only_udm.metadata.event_timestamp.seconds | |
| timestamp_std | read_only_udm.metadata.event_timestamp.seconds | |
| 時間戳記 | read_only_udm.metadata.event_timestamp.seconds | |
| TKTVNO | read_only_udm.security_result.detection_fields.value | |
| TOS | read_only_udm.security_result.detection_fields.value | |
| 存留時間 | read_only_udm.security_result.detection_fields.value | |
| 類型 | ||
| 使用者 | read_only_udm.principal.user.user_display_name | |
| USERAGENT | read_only_udm.network.http.user_agent | |
| 使用者名稱 | read_only_udm.target.user.user_display_name | |
| URG | read_only_udm.security_result.detection_fields.value | |
| URGP | read_only_udm.security_result.detection_fields.value | |
| WINDOW | read_only_udm.security_result.detection_fields.value | |
| windows_desktopini_access_domain | read_only_udm.principal.group.group_display_name | |
| windows_desktopini_access_username | read_only_udm.principal.user.user_display_name | |
| read_only_udm.metadata.log_type | THINKST_CANARY - 硬式編碼值 | |
| read_only_udm.metadata.vendor_name | Thinkst - 硬式編碼值 | |
| read_only_udm.metadata.product_name | Canary - Hardcoded value | |
| read_only_udm.security_result.severity | 嚴重 - 硬式編碼值 | |
| read_only_udm.network.application_protocol | 取決於通訊埠和 product_event_type | |
| read_only_udm.extensions.auth.mechanism | 取決於事件中使用的驗證方法 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。