« Oracle WebLogic 集成 Osquery »
Elastic 文档 Elastic 集成

OpenCanary

编辑

OpenCanary

编辑

版本

0.3.0 [beta] 此功能为测试版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,并按原样提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观察性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

此集成用于 Thinkst OpenCanary 蜜罐事件日志。该软件包处理来自 OpenCanary 蜜罐日志的消息。

数据流

编辑

OpenCanary 集成收集以下事件类型

  • 事件

要求

编辑

必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南

安装和管理 Elastic Agent

编辑

有几种安装和管理 Elastic Agent 的方法

安装由 Fleet 管理的 Elastic Agent(推荐)

编辑

使用此方法,您将安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。

以独立模式安装 Elastic Agent(高级用户)

编辑

使用此方法,您将安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 映像都可以从 Elastic Docker 注册表获得,我们还提供了在 Kubernetes 上运行的部署清单。

请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求

在 Elastic 中启用集成

编辑
  1. 在 Kibana 中,导航到 “管理” > “集成”。
  2. 在顶部栏的 “搜索集成” 中,搜索 OpenCanary
  3. 从搜索结果中选择 “OpenCanary” 集成。
  4. 选择 “添加 OpenCanary” 以添加集成。
  5. 添加所有必需的集成配置参数。
  6. 选择 “保存并继续” 以保存集成。

日志

编辑

OpenCanary

编辑

events 数据集收集 OpenCanary 日志。

示例

events 的示例事件如下所示

{
    "@timestamp": "2024-04-05T14:37:26.457Z",
    "destination": {
        "address": "10.10.10.10",
        "domain": "OpenCanary1",
        "ip": "10.10.10.10",
        "port": 445
    },
    "event": {
        "action": "flistxattr",
        "category": [
            "network",
            "intrusion_detection"
        ],
        "created": "2024-04-05T14:37:26.457Z",
        "kind": [
            "alert"
        ],
        "original": "{\"dst_host\": \"10.10.10.10\", \"dst_port\": 445, \"local_time\": \"2024-04-05 14:37:26.457226\", \"local_time_adjusted\": \"2024-04-05 07:37:26.457252\", \"logdata\": {\"AUDITACTION\": \"flistxattr\", \"DOMAIN\": \"CONTOSO\", \"FILENAME\": \"/shares/database\", \"LOCALNAME\": \"OpenCanary1\", \"REMOTENAME\": \"Client1\", \"SHARENAME\": \"database\", \"SMBARCH\": \"OSX\", \"SMBVER\": \"SMB3_11\", \"STATUS\": \"ok\", \"USER\": \"jdoe\"}, \"logtype\": 5000, \"node_id\": \"opencanary-1\", \"src_host\": \"192.168.0.10\", \"src_port\": \"-1\", \"utc_time\": \"2024-04-05 14:37:26.457249\"}",
        "provider": "LOG_SMB_FILE_OPEN",
        "start": "2024-04-05T14:37:26.457Z",
        "type": [
            "connection"
        ]
    },
    "log": {
        "logger": "LOG_SMB_FILE_OPEN"
    },
    "network": {
        "direction": "internal"
    },
    "opencanary": {
        "node": {
            "id": "opencanary-1"
        },
        "smb": {
            "filename": "/shares/database",
            "share_name": "database",
            "smb_arch": "OSX",
            "smb_version": "SMB3_11",
            "status": "ok"
        }
    },
    "related": {
        "hosts": [
            "OpenCanary1",
            "Client1"
        ],
        "ip": [
            "10.10.10.10",
            "192.168.0.10"
        ],
        "user": [
            "jdoe"
        ]
    },
    "source": {
        "address": "192.168.0.10",
        "domain": "Client1",
        "ip": "192.168.0.10",
        "port": -1
    },
    "tags": [
        "preserve_original_event",
        "redact_passwords"
    ],
    "user": {
        "domain": "CONTOSO",
        "name": "jdoe"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.image.id

云实例的映像 ID。

关键字

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统版本信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

输入类型。

关键字

log.offset

日志文件中条目的偏移量。

长整型

opencanary.logdata.cwr

关键字

opencanary.logdata.df

关键字

opencanary.logdata.ece

关键字

opencanary.logdata.id

长整型

opencanary.logdata.len

关键字

opencanary.logdata.prec

关键字

opencanary.logdata.res

关键字

opencanary.logdata.session

关键字

opencanary.logdata.syn

关键字

opencanary.logdata.tos

关键字

opencanary.logdata.ttl

长整型

opencanary.logdata.urgp

长整型

opencanary.logdata.window

长整型

opencanary.mssql.client.app

关键字

opencanary.mssql.client.hostname

关键字

opencanary.mssql.client.interface_library

关键字

opencanary.mssql.database

关键字

opencanary.node.id

OpenCanary 节点的标识符,如 /etc/opencanaryd/opencanary.conf 中配置。

关键字

opencanary.redis.args

关键字

opencanary.redis.command

关键字

opencanary.skin

为 OpenCanary 服务配置的 Skin。

关键字

opencanary.smb.audit_action

关键字

opencanary.smb.filename

关键字

opencanary.smb.share_name

关键字

opencanary.smb.smb_arch

关键字

opencanary.smb.smb_version

关键字

opencanary.smb.status

关键字

opencanary.ssh.local_version

关键字

opencanary.ssh.remote_version

关键字

opencanary.tcp_banner.banner_id

关键字

opencanary.tcp_banner.data

关键字

opencanary.tcp_banner.function

关键字

opencanary.tcp_banner.secret_string

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

0.3.0

增强功能 (查看拉取请求)
不要在主摄取管道中删除 event.original

0.2.0

增强功能 (查看拉取请求)
将 "preserve_original_event" 标签添加到 event.kind 设置为 "pipeline_error" 的文档。

0.1.3

错误修复 (查看拉取请求)
在引用摄取管道中的变量时使用三重大括号 Mustache 模板。

0.1.2

增强功能 (查看拉取请求)
更新文档。

0.1.1

错误修复 (查看拉取请求)
修复了当源端口或目标端口为无效的 "-1" 时,所有源和目标详细信息都被删除的问题。

0.1.0

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。

0.0.1

增强功能 (查看拉取请求)
软件包的初始草案

« Oracle WebLogic 集成 Osquery »