本节定义了 Elastic Common Schema (ECS) 字段,这是一组在 Elasticsearch 中存储事件数据时使用的通用字段。
这是一个详尽的列表,此处列出的字段不一定被 Auditbeat 使用。ECS 的目标是启用和鼓励 Elasticsearch 的用户规范化他们的事件数据,以便他们可以更好地分析、可视化和关联事件中表示的数据。
有关更多信息,请参阅 ECS 参考。
-
@timestamp
-
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。
类型: date
示例: 2016-05-23T08:05:34.853Z
必填: True
-
labels
-
自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例:
docker
和k8s
标签。类型: object
示例: {"application": "foo-bar", "env": "production"}
-
message
-
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人工可读摘要。如果存在多条消息,可以将它们组合成一条消息。
类型: match_only_text
示例: Hello World
-
tags
-
用于标记每个事件的关键字列表。
类型: keyword
示例: ["production", "env2"]
agent 字段包含有关软件实体(如果有)的数据,该实体在主机上收集、检测或观察事件,或在主机上进行测量。示例包括 Beats。代理也可以在观察者上运行。ECS agent.* 字段应填充事件发生或进行测量的主机或观察者上运行的代理的详细信息。
-
agent.build.original
-
代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息,不需要特定的格式。
类型: keyword
示例: metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]
-
agent.ephemeral_id
-
此代理的临时标识符(如果存在)。此 ID 通常会在重启时更改,但
agent.id
不会。类型: keyword
示例: 8a4f500f
-
agent.id
-
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。
类型: keyword
示例: 8a4f500d
-
agent.name
-
代理的自定义名称。这是一个可以赋予代理的名称。例如,如果两个 Filebeat 实例在同一主机上运行,但需要人工可读的方式来区分数据来自哪个 Filebeat 实例,则此名称可能会有所帮助。如果未指定名称,则名称通常为空。
类型: keyword
示例: foo
-
agent.type
-
代理的类型。代理类型始终保持不变,应由使用的代理给出。对于 Filebeat,即使在同一台机器上运行两个 Filebeat 实例,代理也始终为 Filebeat。
类型: keyword
示例: filebeat
-
agent.version
-
代理的版本。
类型: keyword
示例: 6.0.0-rc2
自治系统 (AS) 是在单个管理实体或域的代表下一个或多个网络运营商的控制下,连接的互联网协议 (IP) 路由前缀的集合,该实体或域向互联网呈现通用、明确定义的路由策略。
-
as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
as.organization.name.text
-
类型: match_only_text
客户端定义为有关会话、连接或双向流记录的事件的网络连接的发起者。对于 TCP 事件,客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议,客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段结合使用。通常不会为数据包级事件填充客户端字段。客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于该类别,您仍应确保正确填充源和目标。
-
client.address
-
某些事件客户端地址的定义含糊不清。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后,应将其复制到.ip
或.domain
,具体取决于它是哪一个。类型: keyword
-
client.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
client.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
client.as.organization.name.text
-
类型: match_only_text
-
client.bytes
-
从客户端发送到服务器的字节数。
类型: long
示例: 184
格式: bytes
-
client.domain
-
客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件,也可能通过丰富添加。
类型: keyword
示例: foo.example.com
-
client.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
client.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
client.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
client.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
client.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
client.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
client.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
client.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
client.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
client.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
client.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
client.ip
-
客户端的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
client.mac
-
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节以连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
client.nat.ip
-
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。
类型: ip
-
client.nat.port
-
基于 NAT 会话的源的转换端口(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。
类型: long
格式: string
-
client.packets
-
从客户端发送到服务器的数据包。
类型: long
示例: 12
-
client.port
-
客户端的端口。
类型: long
格式: string
-
client.registered_domain
-
最高的注册客户端域,已剥离子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的顶级域名将不起作用。
类型: keyword
示例: example.com
-
client.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
client.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
client.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
client.user.email
-
用户电子邮件地址。
类型: keyword
-
client.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
client.user.full_name.text
-
类型: match_only_text
-
client.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
client.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
client.user.group.name
-
组的名称。
类型: keyword
-
client.user.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
client.user.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
client.user.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
client.user.name.text
-
类型: match_only_text
-
client.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
与事件来源的云或基础设施相关的字段。
-
cloud.account.id
-
云帐户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例:666777888999
-
cloud.account.name
-
云帐户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 帐户名称、Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.origin.account.id
-
云帐户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例:666777888999
-
cloud.origin.account.name
-
云帐户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 帐户名称、Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.origin.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.origin.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.origin.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.origin.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.origin.project.id
-
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.origin.project.name
-
云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。
类型: keyword
示例:my project
-
cloud.origin.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.origin.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.origin.service.name
-
云服务名称旨在区分提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
-
cloud.project.id
-
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.project.name
-
云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。
类型: keyword
示例:my project
-
cloud.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.service.name
-
云服务名称旨在区分提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
-
cloud.target.account.id
-
云帐户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例:666777888999
-
cloud.target.account.name
-
云帐户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 帐户名称、Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.target.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.target.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.target.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.target.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.target.project.id
-
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.target.project.name
-
云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。
类型: keyword
示例:my project
-
cloud.target.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.target.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.target.service.name
-
云服务名称旨在区分提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
这些字段包含有关二进制代码签名的信息。
-
code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
容器字段用于有关作为信息来源的特定容器的元信息。这些字段有助于基于任何运行时的容器关联数据。
-
container.cpu.usage
-
使用的 CPU 百分比,该百分比由 CPU 核心数归一化,范围从 0 到 1。缩放因子:1000。
类型:scaled_float
-
container.disk.read.bytes
-
自上次指标收集以来成功读取的总字节数(从所有磁盘聚合)。
类型: long
-
container.disk.write.bytes
-
自上次指标收集以来成功写入的总字节数(从所有磁盘聚合)。
类型: long
-
container.id
-
唯一的容器 ID。
类型: keyword
-
container.image.name
-
容器构建所基于的映像名称。
类型: keyword
-
container.image.tag
-
容器映像标签。
类型: keyword
-
container.labels
-
映像标签。
类型: object
-
container.memory.usage
-
内存使用百分比,范围从 0 到 1。缩放因子:1000。
类型:scaled_float
-
container.name
-
容器名称。
类型: keyword
-
container.network.egress.bytes
-
自上次指标收集以来,容器在所有网络接口上发送的总字节数。
类型: long
-
container.network.ingress.bytes
-
自上次指标收集以来,容器在所有网络接口上接收的总字节数。
类型: long
-
container.runtime
-
管理此容器的运行时。
类型: keyword
示例:docker
data_stream 字段参与定义新的数据流命名方案。在新的数据流命名方案中,数据流字段的值以下列方式组合到实际数据流的名称中:{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}
。这意味着这些字段只能包含作为数据流名称一部分有效的字符。有关此的更多详细信息,请参阅此博客文章。Elasticsearch 数据流由一个或多个后备索引组成,数据流名称构成后备索引名称的一部分。由于此约定,数据流还必须遵循索引命名限制。例如,数据流名称不能包含 \
、/
、*
、?
、"
、<
、>
、|
、 ` `(空格字符)、,
或 #
。有关其他 限制,请参阅 Elasticsearch 参考。
-
data_stream.dataset
-
该字段可以包含任何有意义的指示数据来源的内容。示例包括
nginx.access
、prometheus
、endpoint
等。对于其他适合但不设置数据集的数据流,我们使用“generic”作为数据集值。event.dataset
应具有与data_stream.dataset
相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外,dataset
值还有其他限制:* 不得包含-
* 不得超过 100 个字符类型:constant_keyword
示例:nginx.access
-
data_stream.namespace
-
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引,现在数据流命名方案将此最佳实践作为默认值提供。许多用户将使用
default
填充此字段。如果不使用值,则回退到default
。除了上面提到的 Elasticsearch 索引命名标准之外,namespace
值还有其他限制:* 不得包含-
* 不得超过 100 个字符类型:constant_keyword
示例:production
-
data_stream.type
-
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们期望在不久的将来也添加“traces”和“synthetics”。
类型:constant_keyword
示例:logs
目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。目标字段通常与源字段结合使用。源字段和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。
-
destination.address
-
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后应将其复制到.ip
或.domain
,具体取决于哪个字段。类型: keyword
-
destination.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
destination.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
destination.as.organization.name.text
-
类型: match_only_text
-
destination.bytes
-
从目标发送到源的字节数。
类型: long
示例: 184
格式: bytes
-
destination.domain
-
目标系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能源自原始事件,也可能从富化中添加。
类型: keyword
示例: foo.example.com
-
destination.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
destination.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
destination.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
destination.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
destination.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
destination.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
destination.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
destination.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
destination.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
destination.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
destination.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
destination.ip
-
目标的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
destination.mac
-
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
destination.nat.ip
-
基于 NAT 会话转换的目标 IP(例如,互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。
类型: ip
-
destination.nat.port
-
源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
destination.packets
-
从目标发送到源的数据包。
类型: long
示例: 12
-
destination.port
-
目标的端口。
类型: long
格式: string
-
destination.registered_domain
-
最高的注册目标域,剥离子域。例如,“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表之类的列表(http://publicsuffix.org)精确确定此值。尝试简单地获取最后两个标签来近似此值对于“co.uk”之类的 TLD 将不起作用。
类型: keyword
示例: example.com
-
destination.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
destination.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
destination.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
destination.user.email
-
用户电子邮件地址。
类型: keyword
-
destination.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
destination.user.full_name.text
-
类型: match_only_text
-
destination.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
destination.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
destination.user.group.name
-
组的名称。
类型: keyword
-
destination.user.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
destination.user.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
destination.user.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
destination.user.name.text
-
类型: match_only_text
-
destination.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
这些字段包含有关动态加载到进程中的代码库的信息。
许多操作系统使用不同的名称来指代“共享代码库”,但此字段集指的是以下所有内容:* 动态链接库 (.dll
) 通常在 Windows 上使用 * 共享对象 (.so
) 通常在类 Unix 操作系统上使用 * 动态库 (.dylib
) 通常在 macOS 上使用
-
dll.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
dll.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
dll.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
dll.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
dll.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
dll.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
dll.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
dll.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
dll.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
dll.hash.md5
-
MD5 哈希值。
类型: keyword
-
dll.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
dll.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
dll.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
dll.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
dll.name
-
库的名称。这通常映射到磁盘上的文件名。
类型: keyword
示例:kernel32.dll
-
dll.path
-
库的完整文件路径。
类型: keyword
示例:C:\Windows\System32\kernel32.dll
-
dll.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
dll.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
dll.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
dll.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
dll.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
dll.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
dll.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
描述 DNS 查询和应答的字段。DNS 事件应表示在获得应答之前的单个 DNS 查询(dns.type:query
),或者应表示完整的交换并包含查询详细信息以及为此查询提供的所有应答(dns.type:answer
)。
-
dns.answers
-
一个数组,包含服务器返回的每个应答部分的对象。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 应答的所有详细信息。至少,应答对象必须包含
data
键。如果可以获得更多信息,请尽可能多地将其映射到 ECS,并将任何其他字段作为自定义字段添加到应答对象。类型: object
-
dns.answers.class
-
此资源记录中包含的 DNS 数据的类。
类型: keyword
示例:IN
-
dns.answers.data
-
描述资源的数据。此数据的含义取决于资源记录的类型和类。
类型: keyword
示例:10.10.10.10
-
dns.answers.name
-
此资源记录所属的域名。如果正在解析 CNAME 链,则每个应答的
name
应是与应答的data
相对应的名称。它不应只是重复原始的question.name
。类型: keyword
示例:www.example.com
-
dns.answers.ttl
-
此资源记录在应丢弃之前可以缓存的秒数时间间隔。零值表示不应缓存数据。
类型: long
示例:180
-
dns.answers.type
-
此资源记录中包含的数据类型。
类型: keyword
示例:CNAME
-
dns.header_flags
-
2 个字母的 DNS 标头标志数组。预期值为:AA、TC、RD、RA、AD、CD、DO。
类型: keyword
示例:["RD", "RA"]
-
dns.id
-
生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。
类型: keyword
示例:62111
-
dns.op_code
-
DNS 操作码,用于指定消息中查询的类型。此值由查询的发起者设置,并复制到响应中。
类型: keyword
示例:QUERY
-
dns.question.class
-
正在查询的记录的类。
类型: keyword
示例:IN
-
dns.question.name
-
正在查询的名称。如果名称字段包含不可打印字符(低于 32 或高于 126),则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。
类型: keyword
示例:www.example.com
-
dns.question.registered_domain
-
已注册的最高域名,已去除子域名。例如,“foo.example.com”的已注册域名为“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将不起作用。
类型: keyword
示例: example.com
-
dns.question.subdomain
-
子域名是 registered_domain 下的所有标签。如果域名具有多个级别的子域名,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不带尾随句点。
类型: keyword
示例:www
-
dns.question.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
dns.question.type
-
正在查询的记录类型。
类型: keyword
示例:AAAA
-
dns.resolved_ip
-
包含在
answers.data
中看到的所有 IP 的数组。answers
数组可能难以使用,因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到dns.resolved_ip
使您可以将其索引为 IP 地址,并使其更易于可视化和查询。类型: ip
示例:["10.10.10.10", "10.10.10.11"]
-
dns.response_code
-
DNS 响应代码。
类型: keyword
示例:NOERROR
-
dns.type
-
捕获的 DNS 事件的类型,查询或应答。如果您的 DNS 事件源仅提供 DNS 查询,则应仅创建类型为
dns.type:query
的 dns 事件。如果您的 DNS 事件源也提供应答,则应为每个查询创建一个事件(可以选择在看到查询后立即创建)。以及第二个事件,其中包含所有查询详细信息以及应答数组。类型: keyword
示例:answer
特定于 ECS 的元信息。
-
ecs.version
-
此事件符合的 ECS 版本。
ecs.version
是一个必填字段,并且必须存在于所有事件中。在查询可能符合略有不同的 ECS 版本的多个索引时,此字段允许集成调整事件的架构版本。类型: keyword
示例:1.0.0
必填: True
这些字段包含 Linux 可执行链接格式 (ELF) 元数据。
-
elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
elf.header.version
-
ELF 标头的版本。
类型: keyword
-
elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
这些字段可以表示任何类型的错误。将它们用于在获取事件时发生的错误或事件本身包含错误的情况。
-
error.code
-
描述错误的错误代码。
类型: keyword
-
error.id
-
错误的唯一标识符。
类型: keyword
-
error.message
-
错误消息。
类型: match_only_text
-
error.stack_trace
-
此错误的纯文本堆栈跟踪。
类型:通配符
-
error.stack_trace.text
-
类型: match_only_text
-
error.type
-
错误的类型,例如异常的类名。
类型: keyword
示例:java.lang.NullPointerException
事件字段用于提供有关日志或指标事件本身的上下文信息。日志被定义为包含有关已发生事件详细信息的事件。日志事件必须包含事件发生的时间。日志事件的示例包括主机上启动的进程、从源发送到目标的网络数据包,或客户端与服务器之间启动或关闭的网络连接。指标被定义为包含一个或多个数值测量值以及进行测量的时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息,请参阅本节中的 event.kind
定义。
-
event.action
-
事件捕获的操作。这描述了事件中的信息。它比
event.category
更具体。例如,group-add
、process-started
、file-created
。该值通常由实现者定义。类型: keyword
示例: user-password-change
-
event.agent_id_status
-
代理通常负责填充
agent.id
字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值,则可以使用此字段来反映该验证的结果。例如,如果代理的连接使用 mTLS 进行身份验证,并且客户端证书包含颁发该证书的代理的 ID,则可以根据证书检查事件中的agent.id
值。如果值匹配,则将event.agent_id_status: verified
添加到事件中,否则应使用其他允许的值之一。如果未执行任何验证,则应省略该字段。允许的值为:verified
-agent.id
字段值与从身份验证元数据获得的预期值匹配。mismatch
-agent.id
字段值与从身份验证元数据获得的预期值不匹配。missing
- 事件中没有要验证的agent.id
字段。auth_metadata_missing
- 没有身份验证元数据,或者它缺少有关代理 ID 的信息。类型: keyword
示例: verified
-
event.category
-
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。
event.category
表示 ECS 类别的“大桶”。例如,筛选event.category:process
会产生所有与进程活动相关的事件。此字段与event.type
密切相关,后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当的分类。类型: keyword
示例: authentication
-
event.code
-
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而与消息语言或随着时间的推移进行的措辞调整无关。一个例子是 Windows 事件 ID。
类型: keyword
示例: 4648
-
event.created
-
event.created
包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用这种差异来计算源生成事件与代理首次处理事件之间的时间延迟。这可以用来监控您的代理或管道跟上事件源的能力。如果两个时间戳相同,则应使用 @timestamp。类型: date
示例: 2016-05-23T08:05:34.857Z
-
event.dataset
-
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议但不是必须以模块名称开头,后跟一个点,然后是数据集名称。
类型: keyword
示例: apache.access
-
event.duration
-
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。
类型: long
格式: duration
-
event.end
-
event.end
包含事件结束或上次观察到活动时的日期。类型: date
-
event.hash
-
原始字段的哈希(可能是 logstash 指纹),以便能够证明日志的完整性。
类型: keyword
示例: 123456789012345678901234567890ABCD
-
event.id
-
用于描述事件的唯一 ID。
类型: keyword
示例: 8a4f500d
-
event.ingested
-
事件到达中央数据存储的时间戳。这与
@timestamp
不同,后者是事件最初发生的时间。它也与event.created
不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp
<event.created
<event.ingested
。类型: date
示例: 2016-05-23T08:05:35.101Z
-
event.kind
-
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。
event.kind
提供有关事件包含的信息类型的高级信息,而不特定于事件的内容。例如,此字段的值区分警报事件和指标事件。可以使用此字段的值来告知如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制,它还可以帮助了解数据是否以规则的时间间隔传入。类型: keyword
示例: alert
-
event.module
-
此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件(例如,Apache 日志),则
event.module
应包含此模块的名称。类型: keyword
示例: apache
-
event.original
-
整个事件的原始文本消息。用于证明日志完整性,或在可能需要完整日志消息(将其拆分为多个部分之前)的情况下使用,例如,用于重新索引。此字段未编制索引,并且 doc_values 已禁用。无法搜索它,但可以从
_source
中检索它。如果用户希望覆盖此字段并为其编制索引,请参阅Elasticsearch 参考
中的字段数据类型
。类型: keyword
示例: Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232
字段未编制索引。
-
event.outcome
-
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。
event.outcome
仅表示从生成事件的实体的角度来看,事件表示成功还是失败。请注意,当在多个事件中描述单个事务时,每个事件可能会根据它们的角度填充不同的event.outcome
值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外,请注意并非所有事件都会有相关的结果。例如,通常不为指标事件、event.type:info
的事件或任何结果没有逻辑意义的事件填充此字段。类型: keyword
示例: success
-
event.provider
-
事件的来源。事件传输(如 Syslog 或 Windows 事件日志)通常会提及事件的来源。它可以是生成事件的软件的名称(例如,Sysmon、httpd)或操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。
类型: keyword
示例: kernel
-
event.reason
-
根据来源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。如果
event.action
从事件中捕获操作,则event.reason
描述执行该操作的原因。例如,具有event.action
的 Web 代理拒绝请求,也可以使用原因(例如,blocked site
)填充event.reason
。类型: keyword
示例: Terminated an unexpected process
-
event.reference
-
指向有关此事件的其他信息的参考 URL。此 URL 链接到此事件的静态定义。由
event.kind:alert
指示的警报事件是此字段的常见用例。类型: keyword
-
event.risk_score
-
事件的风险评分或优先级(例如,安全解决方案)。在此处使用系统的原始值。
类型: float
-
event.risk_score_norm
-
事件的标准化风险评分或优先级,范围为 0 到 100。如果您使用多个分配风险评分的系统,并且希望查看所有系统的标准化值,这将非常有用。
类型: float
-
event.sequence
-
事件的序号。序号是某些事件源发布的数值,以使事件的精确排序明确,而与时间戳精度无关。
类型: long
格式: string
-
event.severity
-
根据事件源,事件的数值严重性。不同严重性值的含义在不同来源和用例之间可能有所不同。由实施者来确保同一来源的事件的严重性一致。Syslog 严重性属于
log.syslog.severity.code
。event.severity
旨在表示事件源的严重性(例如,防火墙、IDS)。如果事件源未发布其自己的严重性,您可以选择将log.syslog.severity.code
复制到event.severity
。类型: long
示例: 7
格式: string
-
event.start
-
event.start
包含事件开始或首次观察到活动时的日期。类型: date
-
event.timezone
-
当事件的时间戳不包含时区信息时(例如,默认 Syslog 时间戳),应填充此字段。否则是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。
类型: keyword
-
event.type
-
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。
event.type
表示一个分类“子桶”,当与event.category
字段值一起使用时,可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。类型: keyword
-
event.url
-
指向外部系统的 URL,以继续对此事件进行调查。此 URL 链接到另一个系统,可以在该系统中对该事件的特定发生进行深入调查。由
event.kind:alert
指示的警报事件是此字段的常见用例。类型: keyword
示例: https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe
用户字段描述有关与事件相关的功能即服务的信息。
-
faas.coldstart
-
指示函数冷启动的布尔值。
类型:布尔值
-
faas.execution
-
当前函数执行的执行 ID。
类型: keyword
示例: af9d5aa4-a685-4c5f-a22b-444f80b3cc28
-
faas.trigger
-
有关函数触发器的详细信息。
类型:嵌套
-
faas.trigger.request_id
-
触发器请求、消息、事件等的 ID。
类型: keyword
示例: 123456789
-
faas.trigger.type
-
函数执行的触发器。预期值为:* http * pubsub * datasource * timer * other
类型: keyword
示例: http
文件被定义为在文件系统上创建或存在的一组信息。文件对象可以与主机事件、网络事件和/或文件事件(例如,文件完整性监控 [FIM] 产品或服务产生的文件事件)关联。文件字段提供有关与事件或指标相关的受影响文件的详细信息。
-
file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。
类型: date
-
file.attributes
-
文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
file.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
file.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
file.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
file.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
file.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
file.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
file.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
file.created
-
文件创建时间。请注意,并非所有文件系统都会存储创建时间。
类型: date
-
file.ctime
-
上次文件属性或元数据更改的时间。请注意,对文件内容的更改将更新
mtime
。这意味着ctime
将同时调整,因为mtime
是文件的属性。类型: date
-
file.device
-
作为文件来源的设备。
类型: keyword
示例:sda
-
file.directory
-
文件所在的目录。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice
-
file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写,并且不包含冒号。
类型: keyword
示例:C
-
file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
file.elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
file.elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
file.elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
file.elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
file.elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
file.elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
file.elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
file.elf.header.version
-
ELF 标头的版本。
类型: keyword
-
file.elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
file.elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
file.elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
file.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
file.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
file.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
file.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
file.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
file.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
file.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
file.elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
file.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
file.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
file.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
file.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
file.extension
-
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (example.tar.gz) 时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
file.fork_name
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流简称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,并且some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,并且extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
file.gid
-
文件的主要组 ID (GID)。
类型: keyword
示例:1001
-
file.group
-
文件的主要组名称。
类型: keyword
示例:alice
-
file.hash.md5
-
MD5 哈希值。
类型: keyword
-
file.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
file.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
file.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
file.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
file.inode
-
文件系统中表示文件的 inode。
类型: keyword
示例:256383
-
file.mime_type
-
MIME 类型应尽可能使用 IANA 官方类型来标识文件或字节流的格式。当有多个类型适用时,应使用最具体的类型。
类型: keyword
-
file.mode
-
文件模式的八进制表示形式。
类型: keyword
示例:0640
-
file.mtime
-
上次修改文件内容的时间。
类型: date
-
file.name
-
文件名(包括扩展名,但不包括目录)。
类型: keyword
示例:example.png
-
file.owner
-
文件所有者的用户名。
类型: keyword
示例:alice
-
file.path
-
文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice/example.png
-
file.path.text
-
类型: match_only_text
-
file.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
file.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
file.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
file.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
file.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
file.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
file.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
file.size
-
文件大小(以字节为单位)。仅当
file.type
为“file”时相关。类型: long
示例:16384
-
file.target_path
-
符号链接的目标路径。
类型: keyword
-
file.target_path.text
-
类型: match_only_text
-
file.type
-
文件类型(文件、目录或符号链接)。
类型: keyword
示例:file
-
file.uid
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
file.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
file.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
file.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
file.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
file.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
file.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
file.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
file.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
file.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
file.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
file.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
file.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
file.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
file.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
file.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
file.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
file.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
file.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
file.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
file.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
file.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
file.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
file.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
file.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
地理位置字段可以携带有关与事件相关的特定位置的数据。此地理位置信息可以从 Geo IP 等技术中获得,也可以由用户提供。
-
geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
组字段旨在表示与事件相关的组。
-
group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
group.name
-
组的名称。
类型: keyword
哈希字段表示不同的按位哈希算法及其值。常用哈希(例如 MD5、SHA1)的字段名称是预定义的。通过将哈希算法名称小写并根据需要使用下划线分隔符(蛇形命名法,例如 sha3_512)来添加其他哈希的字段。请注意,此字段集用于可能在各种通用字节上计算的常用哈希。特定于实体的哈希(例如 ja3 或 imphash)放置在它们相关的字段集中(分别为 tls 和 pe)。
-
hash.md5
-
MD5 哈希值。
类型: keyword
-
hash.sha1
-
SHA1 哈希值。
类型: keyword
-
hash.sha256
-
SHA256 哈希值。
类型: keyword
-
hash.sha512
-
SHA512 哈希值。
类型: keyword
-
hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
主机被定义为通用计算实例。ECS host.* 字段应填充有关事件发生所在或从中进行测量的计算机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。
-
host.architecture
-
操作系统架构。
类型: keyword
示例:x86_64
-
host.cpu.usage
-
CPU 使用百分比,该值按 CPU 核心数进行标准化,范围为 0 到 1。比例因子:1000。例如:对于双核主机,此值应为两个核心的平均值,介于 0 和 1 之间。
类型:scaled_float
-
host.disk.read.bytes
-
自上次指标收集以来成功读取的总字节数(从所有磁盘聚合)。
类型: long
-
host.disk.write.bytes
-
自上次指标收集以来成功写入的总字节数(从所有磁盘聚合)。
类型: long
-
host.domain
-
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。
类型: keyword
示例:CONTOSO
-
host.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
host.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
host.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
host.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
host.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
host.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
host.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
host.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
host.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
host.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
host.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
host.hostname
-
主机的hostname。它通常包含主机上
hostname
命令返回的内容。类型: keyword
-
host.id
-
唯一主机 ID。由于主机名并非始终唯一,因此请使用在您的环境中具有意义的值。示例:
beat.name
的当前用法。类型: keyword
-
host.ip
-
主机 IP 地址。
类型: ip
-
host.mac
-
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,该数字给出八位字节的值(作为无符号整数)。连续的八位字节之间用连字符分隔。
类型: keyword
示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]
-
host.name
-
主机名称。它可以包含 Unix 系统上
hostname
返回的值、完全限定域名或用户指定的名称。发送者决定使用哪个值。类型: keyword
-
host.network.egress.bytes
-
自上次指标收集以来,主机在所有网络接口上发送的字节数(计量值)。
类型: long
-
host.network.egress.packets
-
自上次指标收集以来,主机在所有网络接口上发送的数据包数(计量值)。
类型: long
-
host.network.ingress.bytes
-
自上次指标收集以来,主机在所有网络接口上接收的字节数(计量值)。
类型: long
-
host.network.ingress.packets
-
自上次指标收集以来,主机在所有网络接口上接收的数据包数(计量值)。
类型: long
-
host.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
host.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
host.os.full.text
-
类型: match_only_text
-
host.os.kernel
-
操作系统内核版本,为原始字符串。
类型: keyword
示例:4.4.0-112-generic
-
host.os.name
-
操作系统名称,不包含版本。
类型: keyword
示例:Mac OS X
-
host.os.name.text
-
类型: match_only_text
-
host.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
host.os.type
-
使用
os.type
字段将操作系统归类到以下大型商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提交问题来告知我们,以建议添加它。类型: keyword
示例:macos
-
host.os.version
-
操作系统版本,为原始字符串。
类型: keyword
示例:10.14.1
-
host.type
-
主机类型。对于云提供商,这可以是机器类型,例如
t2.medium
。如果是虚拟机,则可以是容器或其他在您的环境中具有意义的信息。类型: keyword
-
host.uptime
-
主机运行的秒数。
类型: long
示例:1325
与 HTTP 活动相关的字段。使用 url
字段集来存储请求的 URL。
-
http.request.body.bytes
-
请求正文的大小(以字节为单位)。
类型: long
示例:887
格式: bytes
-
http.request.body.content
-
完整的 HTTP 请求正文。
类型:通配符
示例:Hello world
-
http.request.body.content.text
-
类型: match_only_text
-
http.request.bytes
-
请求的总大小(以字节为单位,包括正文和标头)。
类型: long
示例:1437
格式: bytes
-
http.request.id
-
每个 HTTP 请求的唯一标识符,用于关联客户端和服务器之间的事务日志。该 ID 可能包含在非标准的 HTTP 标头中,例如
X-Request-ID
或X-Correlation-ID
。类型: keyword
示例:123e4567-e89b-12d3-a456-426614174000
-
http.request.method
-
HTTP 请求方法。该值应保留原始事件中的大小写。例如,
GET
、get
和GeT
都被视为此字段的有效值。类型: keyword
示例:POST
-
http.request.mime_type
-
请求正文的 MIME 类型。此值必须仅基于请求正文的内容填充,而不是基于
Content-Type
标头。比较请求的 MIME 类型与请求的 Content-Type 标头有助于检测威胁或配置错误的客户端。类型: keyword
示例:image/gif
-
http.request.referrer
-
此 HTTP 请求的引用者。
类型: keyword
-
http.response.body.bytes
-
响应正文的大小(以字节为单位)。
类型: long
示例:887
格式: bytes
-
http.response.body.content
-
完整的 HTTP 响应正文。
类型:通配符
示例:Hello world
-
http.response.body.content.text
-
类型: match_only_text
-
http.response.bytes
-
响应的总大小(以字节为单位,包括正文和标头)。
类型: long
示例:1437
格式: bytes
-
http.response.mime_type
-
响应正文的 MIME 类型。此值必须仅基于响应正文的内容填充,而不是基于
Content-Type
标头。比较响应的 MIME 类型与响应的 Content-Type 标头有助于检测配置错误的服务器。类型: keyword
示例:image/gif
-
http.response.status_code
-
HTTP 响应状态代码。
类型: long
示例:404
格式: string
-
http.version
-
HTTP 版本。
类型: keyword
示例:1.1
当观察者(例如防火墙、路由器、负载均衡器)在处理网络连接时报告入口和出口接口信息时,使用接口字段来记录这些信息。在单个观察者接口的情况下(例如,跨接端口上的网络传感器),应仅填充 observer.ingress 信息。
-
interface.alias
-
系统报告的接口别名,通常在防火墙实现中使用,例如内部、外部或 dmz 逻辑接口命名。
类型: keyword
示例:outside
-
interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
有关事件的日志记录机制或日志记录传输的详细信息。 log.* 字段通常填充有用于创建和/或传输事件的日志记录机制的详细信息。例如,syslog 详细信息位于 log.syslog.*
下。特定于您的事件源的详细信息通常不会记录在 log.*
下,而是记录在 event.*
或其他 ECS 字段中。
-
log.file.path
-
此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。如果事件不是从日志文件中读取的,请勿填充此字段。
类型: keyword
示例:/var/log/fun-times.log
-
log.level
-
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或严重性将放入
log.level
中。如果您的源未指定日志级别,则可以将事件传输的严重性放入此处(例如 Syslog 严重性)。一些示例包括warn
、err
、i
、informational
。类型: keyword
示例:error
-
log.logger
-
应用程序内部记录器的名称。这通常是初始化记录器的类的名称,也可以是自定义名称。
类型: keyword
示例:org.elasticsearch.bootstrap.Bootstrap
-
log.origin.file.line
-
包含源自日志事件的源代码的文件的行号。
类型: long
示例:42
-
log.origin.file.name
-
包含源自日志事件的源代码的文件名。请注意,此字段并非用于捕获日志文件。捕获日志文件的正确字段是
log.file.path
。类型: keyword
示例:Bootstrap.java
-
log.origin.function
-
源自日志事件的函数或方法的名称。
类型: keyword
示例:init
-
log.syslog
-
如果事件是通过 Syslog 传输的,则为事件的 Syslog 元数据。请参阅 RFC 5424 或 3164。
类型: object
-
log.syslog.facility.code
-
日志事件的 Syslog 数字设施(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。
类型: long
示例:23
格式: string
-
log.syslog.facility.name
-
日志事件的 Syslog 基于文本的设施(如果可用)。
类型: keyword
示例:local7
-
log.syslog.priority
-
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 设施 + 严重性。因此,该数字应包含 0 到 191 之间的值。
类型: long
示例:135
格式: string
-
log.syslog.severity.code
-
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供不同的数字严重性值(例如防火墙、IDS),则您的源的数字严重性应转到
event.severity
。如果事件源未指定不同的严重性,您可以选择将 Syslog 严重性复制到event.severity
。类型: long
示例:3
-
log.syslog.severity.name
-
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供不同的严重性值(例如防火墙、IDS),则您的源的文本严重性应转到
log.level
。如果事件源未指定不同的严重性,您可以选择将 Syslog 严重性复制到log.level
。类型: keyword
示例:Error
网络定义为发生主机或网络事件的通信路径。 network.* 字段应填充有与事件关联的网络活动的详细信息。
-
network.application
-
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)识别出特定应用程序或服务时,此字段将捕获应用程序或服务的名称。例如,原始事件识别出网络连接来自
https
网络连接中的特定 Web 服务,如facebook
或twitter
。该字段值必须规范化为小写以进行查询。类型: keyword
示例:aim
-
network.bytes
-
在两个方向上传输的总字节数。如果知道
source.bytes
和destination.bytes
,则network.bytes
为它们的总和。类型: long
示例:368
格式: bytes
-
network.community_id
-
源 IP 和目标 IP、端口以及通信中使用的协议的哈希值。这是一种与工具无关的识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。
类型: keyword
示例:1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=
-
network.direction
-
网络流量的方向。建议值为: * ingress * egress * inbound * outbound * internal * external * unknown
从基于主机的监控上下文中映射事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。从基于网络或边界的监控上下文中映射事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”没有跨越边界,而是用来描述边界内两个主机之间的通信。另请注意,“external”用于描述边界外部的两个主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。
类型: keyword
示例:inbound
-
network.forwarded_ip
-
当源 IP 地址为代理时,主机 IP 地址。
类型: ip
示例:192.1.1.2
-
network.iana_number
-
IANA 协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志很好地对齐。
类型: keyword
示例:6
-
network.inner
-
除了 network.vlan 字段外,还添加了 network.inner 字段,用于描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。内部 vlan 字段通常用于在向网络传感器(例如 Zeek、Wireshark)发送具有多个 802.1q 封装的流量时。
类型: object
-
network.inner.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
network.inner.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
network.name
-
运营商为其网络部分指定的名称。
类型: keyword
示例:访客 Wifi
-
network.packets
-
双向传输的总数据包数。如果已知
source.packets
和destination.packets
,则network.packets
是它们的总和。类型: long
示例:24
-
network.protocol
-
在 OSI 模型中,这将是应用层协议。例如,
http
、dns
或ssh
。为了查询,字段值必须规范化为小写。类型: keyword
示例: http
-
network.transport
-
与 network.iana_number 相同,但使用的是传输层的关键字名称(udp、tcp、ipv6-icmp 等)。为了查询,字段值必须规范化为小写。
类型: keyword
示例:tcp
-
network.type
-
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。为了查询,字段值必须规范化为小写。
类型: keyword
示例:ipv4
-
network.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
network.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
观察者被定义为用于检测、观察或创建与网络、安全或应用程序相关的事件和指标的特殊网络、安全或应用程序设备。这可以是定制硬件设备或配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用程序防火墙、数据丢失防护系统和 APM 服务器。如果存在检测、观察和/或创建网络、安全或应用程序事件或指标的系统,则应使用该系统的详细信息填充 observer.* 字段。在 ECS 中,用于处理事件或指标的消息队列和 ETL 组件不被视为观察者。
-
observer.egress
-
Observer.egress 包含接口编号和名称、vlan 和区域信息等信息,用于对出口流量进行分类。单臂监控(例如,跨接端口上的网络传感器)应仅使用 observer.ingress 对流量进行分类。
类型: object
-
observer.egress.interface.alias
-
系统报告的接口别名,通常在防火墙实现中使用,例如内部、外部或 dmz 逻辑接口命名。
类型: keyword
示例:outside
-
observer.egress.interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
observer.egress.interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
-
observer.egress.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
observer.egress.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
observer.egress.zone
-
观察者报告的出站流量的网络区域,用于对出口流量的目标区域进行分类,例如,内部、外部、DMZ、HR、法律等。
类型: keyword
示例:公共互联网
-
observer.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
observer.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
observer.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
observer.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
observer.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
observer.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
observer.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
observer.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
observer.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
observer.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
observer.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
observer.hostname
-
观察者的主机名。
类型: keyword
-
observer.ingress
-
Observer.ingress 包含接口编号和名称、vlan 和区域信息等信息,用于对入口流量进行分类。单臂监控(例如,跨接端口上的网络传感器)应仅使用 observer.ingress 对流量进行分类。
类型: object
-
observer.ingress.interface.alias
-
系统报告的接口别名,通常在防火墙实现中使用,例如内部、外部或 dmz 逻辑接口命名。
类型: keyword
示例:outside
-
observer.ingress.interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
observer.ingress.interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
-
observer.ingress.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
observer.ingress.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
observer.ingress.zone
-
观察者报告的入站流量的网络区域,用于对入口流量的源区域进行分类。例如,内部、外部、DMZ、HR、法律等。
类型: keyword
示例:DMZ
-
observer.ip
-
观察者的 IP 地址。
类型: ip
-
observer.mac
-
观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。
类型: keyword
示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]
-
observer.name
-
观察者的自定义名称。这是一个可以赋予观察者的名称。例如,如果组织中使用多个相同型号的防火墙,这将很有帮助。如果不需要自定义名称,则该字段可以留空。
类型: keyword
示例:1_proxySG
-
observer.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
observer.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
observer.os.full.text
-
类型: match_only_text
-
observer.os.kernel
-
操作系统内核版本,为原始字符串。
类型: keyword
示例:4.4.0-112-generic
-
observer.os.name
-
操作系统名称,不包含版本。
类型: keyword
示例:Mac OS X
-
observer.os.name.text
-
类型: match_only_text
-
observer.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
observer.os.type
-
使用
os.type
字段将操作系统归类到以下大型商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提交问题来告知我们,以建议添加它。类型: keyword
示例:macos
-
observer.os.version
-
操作系统版本,为原始字符串。
类型: keyword
示例:10.14.1
-
observer.product
-
观察者的产品名称。
类型: keyword
示例:s200
-
observer.serial_number
-
观察者序列号。
类型: keyword
-
observer.type
-
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括
forwarder
、firewall
、ids
、ips
、proxy
、poller
、sensor
、APM server
。类型: keyword
示例:firewall
-
observer.vendor
-
观察者的供应商名称。
类型: keyword
示例:Symantec
-
observer.version
-
观察者版本。
类型: keyword
描述容器编排器管理或操作的资源的字段。
-
orchestrator.api_version
-
用于执行操作的 API 版本
类型: keyword
示例:v1beta1
-
orchestrator.cluster.name
-
集群的名称。
类型: keyword
-
orchestrator.cluster.url
-
用于管理集群的 API 的 URL。
类型: keyword
-
orchestrator.cluster.version
-
集群的版本。
类型: keyword
-
orchestrator.namespace
-
操作发生的命名空间。
类型: keyword
示例:kube-system
-
orchestrator.organization
-
受事件影响的组织(对于多租户编排器设置)。
类型: keyword
示例:elastic
-
orchestrator.resource.name
-
正在操作的资源的名称。
类型: keyword
示例:test-pod-cdcws
-
orchestrator.resource.type
-
正在操作的资源的类型。
类型: keyword
示例:service
-
orchestrator.type
-
编排器集群类型(例如,kubernetes、nomad 或 cloudfoundry)。
类型: keyword
示例:kubernetes
组织字段使用与数据关联的公司或实体的信息来丰富数据。这些字段可帮助您按一个或多个组织排列或筛选索引中存储的数据。
-
organization.id
-
组织的唯一标识符。
类型: keyword
-
organization.name
-
组织名称。
类型: keyword
-
organization.name.text
-
类型: match_only_text
OS 字段包含有关操作系统的信息。
-
os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
os.full.text
-
类型: match_only_text
-
os.kernel
-
操作系统内核版本,为原始字符串。
类型: keyword
示例:4.4.0-112-generic
-
os.name
-
操作系统名称,不包含版本。
类型: keyword
示例:Mac OS X
-
os.name.text
-
类型: match_only_text
-
os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
os.type
-
使用
os.type
字段将操作系统归类到以下大型商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提交问题来告知我们,以建议添加它。类型: keyword
示例:macos
-
os.version
-
操作系统版本,为原始字符串。
类型: keyword
示例:10.14.1
这些字段包含有关已安装软件包的信息。它包含有关软件包的一般信息,例如名称、版本或大小。它还包含安装详细信息,例如时间或位置。
-
package.architecture
-
软件包架构。
类型: keyword
示例:x86_64
-
package.build_version
-
有关已安装软件包的构建版本的其他信息。例如,使用未发布软件包的提交 SHA。
类型: keyword
示例:36f4f7e89dd61b0988b12ee000b98966867710cd
-
package.checksum
-
用于验证的已安装软件包的校验和。
类型: keyword
示例:68b329da9893e34099c7d8ad5cb9c940
-
package.description
-
软件包的描述。
类型: keyword
示例:用于构建简单/可靠/高效软件的开源编程语言。
-
package.install_scope
-
指示软件包的安装方式,例如用户本地、全局。
类型: keyword
示例:global
-
package.installed
-
软件包的安装时间。
类型: date
-
package.license
-
发布软件包所依据的许可证。尽可能使用短名称,例如 SPDX 许可证列表中的许可证标识符(https://spdx.org/licenses/)。
类型: keyword
示例:Apache License 2.0
-
package.name
-
软件包名称
类型: keyword
示例:go
-
package.path
-
软件包的安装路径。
类型: keyword
示例:/usr/local/Cellar/go/1.12.9/
-
package.reference
-
此软件包中软件的主页或参考 URL(如果可用)。
类型: keyword
-
package.size
-
软件包大小(以字节为单位)。
类型: long
示例:62231
格式: string
-
package.type
-
软件包的类型。这应包含软件包文件类型,而不是软件包管理器名称。示例:rpm、dpkg、brew、npm、gem、nupkg、jar。
类型: keyword
示例:rpm
-
package.version
-
软件包版本
类型: keyword
示例:1.12.9
这些字段包含 Windows 可移植可执行 (PE) 元数据。
-
pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid
通常保留在指标本身中,并复制到全局字段以进行关联。
-
process.args
-
进程参数数组,从可执行文件的绝对路径开始。可以过滤以保护敏感信息。
类型: keyword
示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]
-
process.args_count
-
process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行存储桶分析。更多的参数可能表明存在可疑活动。
类型: long
示例:4
-
process.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
process.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
process.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
process.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
process.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
process.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
process.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
process.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
process.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
process.command_line
-
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。
类型:通配符
示例:/usr/bin/ssh -l user 10.0.0.16
-
process.command_line.text
-
类型: match_only_text
-
process.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
process.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
process.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
process.elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
process.elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
process.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
process.elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
process.elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
process.elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
process.elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
process.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
process.elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
process.elf.header.version
-
ELF 标头的版本。
类型: keyword
-
process.elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
process.elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
process.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
process.elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
process.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
process.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
process.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
process.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
process.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
process.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
process.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
process.elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
process.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
process.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
process.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
process.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
process.end
-
进程结束的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.entity_id
-
进程的唯一标识符。此实现的具体方式由数据源指定,但此处可能使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希。构造全局唯一标识符是一种常见的做法,可缓解 PID 重复使用,并随着时间的推移在多个受监控主机上识别特定进程。
类型: keyword
示例:c2c455d9f99375d
-
process.executable
-
进程可执行文件的绝对路径。
类型: keyword
示例:/usr/bin/ssh
-
process.executable.text
-
类型: match_only_text
-
process.exit_code
-
进程的退出码,如果这是一个终止事件。如果事件没有退出码(例如,进程启动),则该字段应不存在。
类型: long
示例:137
-
process.hash.md5
-
MD5 哈希值。
类型: keyword
-
process.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
process.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
process.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
process.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
process.name
-
进程名称。有时也称为程序名称或类似名称。
类型: keyword
示例:ssh
-
process.name.text
-
类型: match_only_text
-
process.parent.args
-
进程参数数组,从可执行文件的绝对路径开始。可以过滤以保护敏感信息。
类型: keyword
示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]
-
process.parent.args_count
-
process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行存储桶分析。更多的参数可能表明存在可疑活动。
类型: long
示例:4
-
process.parent.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
process.parent.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
process.parent.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
process.parent.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
process.parent.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
process.parent.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
process.parent.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
process.parent.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
process.parent.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
process.parent.command_line
-
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。
类型:通配符
示例:/usr/bin/ssh -l user 10.0.0.16
-
process.parent.command_line.text
-
类型: match_only_text
-
process.parent.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
process.parent.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
process.parent.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
process.parent.elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
process.parent.elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
process.parent.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
process.parent.elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
process.parent.elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
process.parent.elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
process.parent.elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
process.parent.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
process.parent.elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
process.parent.elf.header.version
-
ELF 标头的版本。
类型: keyword
-
process.parent.elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
process.parent.elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
process.parent.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
process.parent.elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
process.parent.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
process.parent.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
process.parent.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
process.parent.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
process.parent.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
process.parent.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
process.parent.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
process.parent.elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
process.parent.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
process.parent.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
process.parent.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
process.parent.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
process.parent.end
-
进程结束的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.parent.entity_id
-
进程的唯一标识符。此实现的具体方式由数据源指定,但此处可能使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希。构造全局唯一标识符是一种常见的做法,可缓解 PID 重复使用,并随着时间的推移在多个受监控主机上识别特定进程。
类型: keyword
示例:c2c455d9f99375d
-
process.parent.executable
-
进程可执行文件的绝对路径。
类型: keyword
示例:/usr/bin/ssh
-
process.parent.executable.text
-
类型: match_only_text
-
process.parent.exit_code
-
进程的退出码,如果这是一个终止事件。如果事件没有退出码(例如,进程启动),则该字段应不存在。
类型: long
示例:137
-
process.parent.hash.md5
-
MD5 哈希值。
类型: keyword
-
process.parent.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
process.parent.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
process.parent.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
process.parent.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
process.parent.name
-
进程名称。有时也称为程序名称或类似名称。
类型: keyword
示例:ssh
-
process.parent.name.text
-
类型: match_only_text
-
process.parent.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
process.parent.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
process.parent.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
process.parent.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
process.parent.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
process.parent.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
process.parent.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
process.parent.pgid
-
进程所属的进程组的标识符。
类型: long
格式: string
-
process.parent.pid
-
进程 ID。
类型: long
示例:4242
格式: string
-
process.parent.start
-
进程开始的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.parent.thread.id
-
线程 ID。
类型: long
示例:4242
格式: string
-
process.parent.thread.name
-
线程名称。
类型: keyword
示例:thread-0
-
process.parent.title
-
进程标题。proctitle,有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。
类型: keyword
-
process.parent.title.text
-
类型: match_only_text
-
process.parent.uptime
-
进程已运行的秒数。
类型: long
示例:1325
-
process.parent.working_directory
-
进程的工作目录。
类型: keyword
示例:/home/alice
-
process.parent.working_directory.text
-
类型: match_only_text
-
process.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
process.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
process.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
process.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
process.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
process.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
process.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
process.pgid
-
进程所属的进程组的标识符。
类型: long
格式: string
-
process.pid
-
进程 ID。
类型: long
示例:4242
格式: string
-
process.start
-
进程开始的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.thread.id
-
线程 ID。
类型: long
示例:4242
格式: string
-
process.thread.name
-
线程名称。
类型: keyword
示例:thread-0
-
process.title
-
进程标题。proctitle,有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。
类型: keyword
-
process.title.text
-
类型: match_only_text
-
process.uptime
-
进程已运行的秒数。
类型: long
示例:1325
-
process.working_directory
-
进程的工作目录。
类型: keyword
示例:/home/alice
-
process.working_directory.text
-
类型: match_only_text
与 Windows 注册表操作相关的字段。
-
registry.data.bytes
-
使用 base64 编码写入的原始字节。对于 Windows 注册表操作,如 SetValueEx 和 RegQueryValueEx,这对应于由
lp_data
指向的数据。这是可选的,但提供更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
示例:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
registry.data.strings
-
写入字符串类型时的内容。当将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列,此数组的长度将是可变的。对于数值数据,如 REG_DWORD 和 REG_QWORD,这应该用十进制表示形式(例如,
"1"
)填充。类型:通配符
示例:["C:\rta\red_ttp\bin\myapp.exe"]
-
registry.data.type
-
用于编码内容的标准注册表类型
类型: keyword
示例:REG_SZ
-
registry.hive
-
注册表项的缩写名称。
类型: keyword
示例:HKLM
-
registry.key
-
注册表项相对于注册表根目录的路径。
类型: keyword
示例:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
registry.path
-
完整路径,包括注册表根目录、项和值
类型: keyword
示例:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
registry.value
-
写入的值的名称。
类型: keyword
示例:Debugger
此字段集旨在方便围绕某条数据进行透视。某些信息可以在 ECS 事件的许多位置看到。为了方便搜索它们,请将所有看到的值的数组存储到 related.
中相应的字段。一个具体的例子是 IP 地址,它们可以在主机、观察者、源、目标、客户端、服务器和 network.forwarded_ip 下。如果您将所有 IP 追加到 related.ip
,那么无论它出现在哪里,您都可以通过查询 related.ip:192.0.2.15
轻松搜索给定的 IP。
-
related.hash
-
在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值可以帮助您在不确定哈希算法是什么(因此要搜索哪个键名)的情况下进行搜索。
类型: keyword
-
related.hosts
-
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。
类型: keyword
-
related.ip
-
在您的事件中看到的所有 IP。
类型: ip
-
related.user
-
在事件中看到的所有用户名或其他用户标识符。
类型: keyword
规则字段用于捕获任何观察者或代理规则的细节,这些规则会生成警报或其他值得注意的事件。将填充规则字段的数据源示例包括:网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用程序防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。
-
rule.author
-
创建用于生成此事件的规则的作者或作者的姓名、组织或笔名。
类型: keyword
示例:["星爵"]
-
rule.category
-
实体使用该规则检测此事件时使用的分类值关键字。
类型: keyword
示例:尝试信息泄漏
-
rule.description
-
生成该事件的规则的描述。
类型: keyword
示例:阻止通过 HTTPS/TLS 协议对公共 DNS 的请求
-
rule.id
-
在代理、观察者或其他使用该规则检测此事件的实体的范围内唯一的规则 ID。
类型: keyword
示例:101
-
rule.license
-
用于生成此事件的规则的许可名称。
类型: keyword
示例:Apache 2.0
-
rule.name
-
生成该事件的规则或签名的名称。
类型: keyword
示例:BLOCK_DNS_over_TLS
-
rule.reference
-
指向有关用于生成此事件的规则的其他信息的参考 URL。该 URL 可以指向供应商有关该规则的文档。如果不可用,它也可以是指向描述此类警报的更通用页面的链接。
类型: keyword
-
rule.ruleset
-
用于生成此事件的规则所属的规则集、策略、组或父类别的名称。
类型: keyword
示例:Standard_Protocol_Filters
-
rule.uuid
-
在代理、观察者或其他使用该规则检测此事件的实体的集合或组的范围内唯一的规则 ID。
类型: keyword
示例:1100110011
-
rule.version
-
用于分析的规则的版本/修订。
类型: keyword
示例:1.1
服务器被定义为网络连接中关于会话、连接或双向流记录的响应者。对于 TCP 事件,服务器是 TCP 连接的初始 SYN 数据包的接收者。对于其他协议,服务器通常是网络事务中的响应者。一些系统实际上使用术语“响应者”来指代 TCP 连接中的服务器。服务器字段描述有关在网络事件中充当服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。对于数据包级事件,通常不填充服务器字段。客户端/服务器表示形式可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于该类别,您仍然应确保正确填充源和目标。
-
server.address
-
某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后应将其复制到.ip
或.domain
,具体取决于它是哪个。类型: keyword
-
server.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
server.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
server.as.organization.name.text
-
类型: match_only_text
-
server.bytes
-
从服务器发送到客户端的字节数。
类型: long
示例: 184
格式: bytes
-
server.domain
-
服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能是从丰富中添加的。
类型: keyword
示例: foo.example.com
-
server.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
server.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
server.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
server.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
server.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
server.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
server.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
server.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
server.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
server.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
server.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
server.ip
-
服务器的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
server.mac
-
服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值为无符号整数。连续的八位字节用连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
server.nat.ip
-
基于 NAT 会话转换的目标 IP(例如,互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。
类型: ip
-
server.nat.port
-
基于 NAT 会话的目标的转换端口(例如,互联网到专用 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
server.packets
-
从服务器发送到客户端的数据包。
类型: long
示例: 12
-
server.port
-
服务器的端口。
类型: long
格式: string
-
server.registered_domain
-
最高的注册服务器域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。此值可以通过类似公共后缀列表 (http://publicsuffix.org) 的列表精确确定。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将无法很好地工作。
类型: keyword
示例: example.com
-
server.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
server.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
server.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
server.user.email
-
用户电子邮件地址。
类型: keyword
-
server.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
server.user.full_name.text
-
类型: match_only_text
-
server.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
server.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
server.user.group.name
-
组的名称。
类型: keyword
-
server.user.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
server.user.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
server.user.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
server.user.name.text
-
类型: match_only_text
-
server.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
服务字段描述了收集数据的服务。这些字段可帮助您查找和关联特定服务和版本的日志。
-
service.address
-
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
示例:172.26.0.2:5432
-
service.environment
-
标识服务运行的环境。如果同一服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以将同一环境中的服务和应用程序分组。
类型: keyword
示例:production
-
service.ephemeral_id
-
此服务的临时标识符(如果存在)。此 ID 通常会在重启后发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.id
-
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的
service.id
应该相同。此 ID 应该唯一标识该服务。这样,无论哪个特定节点发出事件,都可以将特定服务的日志和指标相关联。请注意,如果您需要查看来自该服务特定主机的事件,则应改为按host.name
或host.id
进行筛选。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.name
-
从中收集数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果没有指定名称,则service.name
默认是service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些不能提供唯一性(例如,同一主机上运行的服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.origin.address
-
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
示例:172.26.0.2:5432
-
service.origin.environment
-
标识服务运行的环境。如果同一服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以将同一环境中的服务和应用程序分组。
类型: keyword
示例:production
-
service.origin.ephemeral_id
-
此服务的临时标识符(如果存在)。此 ID 通常会在重启后发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.origin.id
-
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的
service.id
应该相同。此 ID 应该唯一标识该服务。这样,无论哪个特定节点发出事件,都可以将特定服务的日志和指标相关联。请注意,如果您需要查看来自该服务特定主机的事件,则应改为按host.name
或host.id
进行筛选。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.origin.name
-
从中收集数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果没有指定名称,则service.name
默认是service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.origin.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些不能提供唯一性(例如,同一主机上运行的服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.origin.state
-
服务的当前状态。
类型: keyword
-
service.origin.type
-
从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.origin.version
-
从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
-
service.state
-
服务的当前状态。
类型: keyword
-
service.target.address
-
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
示例:172.26.0.2:5432
-
service.target.environment
-
标识服务运行的环境。如果同一服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以将同一环境中的服务和应用程序分组。
类型: keyword
示例:production
-
service.target.ephemeral_id
-
此服务的临时标识符(如果存在)。此 ID 通常会在重启后发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.target.id
-
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的
service.id
应该相同。此 ID 应该唯一标识该服务。这样,无论哪个特定节点发出事件,都可以将特定服务的日志和指标相关联。请注意,如果您需要查看来自该服务特定主机的事件,则应改为按host.name
或host.id
进行筛选。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.target.name
-
从中收集数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果没有指定名称,则service.name
默认是service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.target.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些不能提供唯一性(例如,同一主机上运行的服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.target.state
-
服务的当前状态。
类型: keyword
-
service.target.type
-
从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.target.version
-
从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
-
service.type
-
从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.version
-
从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
源字段捕获有关网络交换/数据包发送者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。源字段通常与目标字段一起填充。如果事件包含来自网络事务的源和目标详细信息,则应始终填充源和目标字段,它们被认为是基线。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。
-
source.address
-
某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后应将其复制到.ip
或.domain
,具体取决于它是哪个。类型: keyword
-
source.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
source.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
source.as.organization.name.text
-
类型: match_only_text
-
source.bytes
-
从源发送到目标的字节数。
类型: long
示例: 184
格式: bytes
-
source.domain
-
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。
类型: keyword
示例: foo.example.com
-
source.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
source.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
source.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
source.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
source.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
source.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
source.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
source.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
source.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
source.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
source.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
source.ip
-
源的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
source.mac
-
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
source.nat.ip
-
基于 NAT 会话的源的转换后的 IP(例如,内部客户端到 Internet)。通常用于遍历负载均衡器、防火墙或路由器的连接。
类型: ip
-
source.nat.port
-
基于 NAT 会话的源的转换后的端口。(例如,内部客户端到 Internet)通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
source.packets
-
从源发送到目标的数据包数。
类型: long
示例: 12
-
source.port
-
源的端口。
类型: long
格式: string
-
source.registered_domain
-
最高的已注册源域,已剥离子域。例如,“foo.example.com”的已注册域是“example.com”。此值可以通过公共后缀列表之类的列表精确确定(http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于 TLD(例如“co.uk”)来说效果不佳。
类型: keyword
示例: example.com
-
source.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
source.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
source.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
source.user.email
-
用户电子邮件地址。
类型: keyword
-
source.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
source.user.full_name.text
-
类型: match_only_text
-
source.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
source.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
source.user.group.name
-
组的名称。
类型: keyword
-
source.user.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
source.user.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
source.user.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
source.user.name.text
-
类型: match_only_text
-
source.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
用于根据威胁分类法(例如 MITRE ATT&CK® 框架)对事件和警报进行分类的字段。这些字段供用户在通用分类法中对其所有来源(例如,IDS、NGFW 等)的警报进行分类。threat.tactic.* 字段旨在捕获威胁的高级类别(例如“影响”)。threat.technique.* 字段旨在捕获此检测到的威胁使用哪种方法来完成目标(例如“端点拒绝服务”)。
-
threat.enrichments
-
一个关联的指示器对象列表,用于丰富事件以及该关联/富化的上下文。
类型:嵌套
-
threat.enrichments.indicator
-
包含关联的指示器对象,用于丰富事件。
类型: object
-
threat.enrichments.indicator.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
threat.enrichments.indicator.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
threat.enrichments.indicator.as.organization.name.text
-
类型: match_only_text
-
threat.enrichments.indicator.confidence
-
使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例来标识供应商无关的置信度评级。可以将供应商特定的置信度比例添加为自定义字段。预期值是:* 未指定 * 无 * 低 * 中 * 高
类型: keyword
示例:中
-
threat.enrichments.indicator.description
-
描述威胁执行的操作类型。
类型: keyword
示例:观察到 IP x.x.x.x 正在传递 Angler EK。
-
threat.enrichments.indicator.email.address
-
将威胁指示器标识为电子邮件地址(无论方向如何)。
类型: keyword
-
threat.enrichments.indicator.file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。
类型: date
-
threat.enrichments.indicator.file.attributes
-
文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
threat.enrichments.indicator.file.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
threat.enrichments.indicator.file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
threat.enrichments.indicator.file.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
threat.enrichments.indicator.file.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
threat.enrichments.indicator.file.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
threat.enrichments.indicator.file.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
threat.enrichments.indicator.file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.created
-
文件创建时间。请注意,并非所有文件系统都会存储创建时间。
类型: date
-
threat.enrichments.indicator.file.ctime
-
上次文件属性或元数据更改的时间。请注意,对文件内容的更改将更新
mtime
。这意味着ctime
将同时调整,因为mtime
是文件的属性。类型: date
-
threat.enrichments.indicator.file.device
-
作为文件来源的设备。
类型: keyword
示例:sda
-
threat.enrichments.indicator.file.directory
-
文件所在的目录。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice
-
threat.enrichments.indicator.file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写,并且不包含冒号。
类型: keyword
示例:C
-
threat.enrichments.indicator.file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
threat.enrichments.indicator.file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
threat.enrichments.indicator.file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
threat.enrichments.indicator.file.elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
threat.enrichments.indicator.file.elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
threat.enrichments.indicator.file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.version
-
ELF 标头的版本。
类型: keyword
-
threat.enrichments.indicator.file.elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
threat.enrichments.indicator.file.elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
threat.enrichments.indicator.file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
threat.enrichments.indicator.file.elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
threat.enrichments.indicator.file.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
threat.enrichments.indicator.file.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
threat.enrichments.indicator.file.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
threat.enrichments.indicator.file.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
threat.enrichments.indicator.file.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
threat.enrichments.indicator.file.extension
-
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (example.tar.gz) 时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.enrichments.indicator.file.fork_name
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流简称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,并且some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,并且extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
threat.enrichments.indicator.file.gid
-
文件的主要组 ID (GID)。
类型: keyword
示例:1001
-
threat.enrichments.indicator.file.group
-
文件的主要组名称。
类型: keyword
示例:alice
-
threat.enrichments.indicator.file.hash.md5
-
MD5 哈希值。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
threat.enrichments.indicator.file.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
threat.enrichments.indicator.file.inode
-
文件系统中表示文件的 inode。
类型: keyword
示例:256383
-
threat.enrichments.indicator.file.mime_type
-
MIME 类型应尽可能使用 IANA 官方类型来标识文件或字节流的格式。当有多个类型适用时,应使用最具体的类型。
类型: keyword
-
threat.enrichments.indicator.file.mode
-
文件模式的八进制表示形式。
类型: keyword
示例:0640
-
threat.enrichments.indicator.file.mtime
-
上次修改文件内容的时间。
类型: date
-
threat.enrichments.indicator.file.name
-
文件名(包括扩展名,但不包括目录)。
类型: keyword
示例:example.png
-
threat.enrichments.indicator.file.owner
-
文件所有者的用户名。
类型: keyword
示例:alice
-
threat.enrichments.indicator.file.path
-
文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice/example.png
-
threat.enrichments.indicator.file.path.text
-
类型: match_only_text
-
threat.enrichments.indicator.file.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
threat.enrichments.indicator.file.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
threat.enrichments.indicator.file.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
threat.enrichments.indicator.file.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
threat.enrichments.indicator.file.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
threat.enrichments.indicator.file.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
threat.enrichments.indicator.file.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
threat.enrichments.indicator.file.size
-
文件大小(以字节为单位)。仅当
file.type
为“file”时相关。类型: long
示例:16384
-
threat.enrichments.indicator.file.target_path
-
符号链接的目标路径。
类型: keyword
-
threat.enrichments.indicator.file.target_path.text
-
类型: match_only_text
-
threat.enrichments.indicator.file.type
-
文件类型(文件、目录或符号链接)。
类型: keyword
示例:file
-
threat.enrichments.indicator.file.uid
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
threat.enrichments.indicator.file.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.enrichments.indicator.file.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.file.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
threat.enrichments.indicator.file.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.file.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
threat.enrichments.indicator.file.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
threat.enrichments.indicator.file.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
threat.enrichments.indicator.file.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.enrichments.indicator.file.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.enrichments.indicator.file.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.enrichments.indicator.file.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.enrichments.indicator.file.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.enrichments.indicator.file.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
threat.enrichments.indicator.file.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.enrichments.indicator.file.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.enrichments.indicator.file.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.enrichments.indicator.file.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
threat.enrichments.indicator.file.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
threat.enrichments.indicator.file.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.enrichments.indicator.file.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
threat.enrichments.indicator.file.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
threat.enrichments.indicator.file.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
threat.enrichments.indicator.file.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.enrichments.indicator.file.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.enrichments.indicator.first_seen
-
情报来源首次报告发现此指标的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
threat.enrichments.indicator.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
threat.enrichments.indicator.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
threat.enrichments.indicator.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
threat.enrichments.indicator.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
threat.enrichments.indicator.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
threat.enrichments.indicator.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
threat.enrichments.indicator.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
threat.enrichments.indicator.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
threat.enrichments.indicator.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
threat.enrichments.indicator.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
threat.enrichments.indicator.ip
-
将威胁指标标识为 IP 地址(无论方向如何)。
类型: ip
示例: 1.2.3.4
-
threat.enrichments.indicator.last_seen
-
情报来源上次报告发现此指标的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.marking.tlp
-
流量灯协议共享标记。 建议值为:* WHITE * GREEN * AMBER * RED
类型: keyword
示例: White
-
threat.enrichments.indicator.modified_at
-
情报来源上次修改此指标信息的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.port
-
将威胁指标标识为端口号(无论方向如何)。
类型: long
示例: 443
-
threat.enrichments.indicator.provider
-
指标提供者的名称。
类型: keyword
示例: lrz_urlhaus
-
threat.enrichments.indicator.reference
-
指向关于此指标的更多信息的参考 URL。
类型: keyword
-
threat.enrichments.indicator.registry.data.bytes
-
使用 base64 编码写入的原始字节。对于 Windows 注册表操作,如 SetValueEx 和 RegQueryValueEx,这对应于由
lp_data
指向的数据。这是可选的,但提供更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
示例:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
threat.enrichments.indicator.registry.data.strings
-
写入字符串类型时的内容。当将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列,此数组的长度将是可变的。对于数值数据,如 REG_DWORD 和 REG_QWORD,这应该用十进制表示形式(例如,
"1"
)填充。类型:通配符
示例:["C:\rta\red_ttp\bin\myapp.exe"]
-
threat.enrichments.indicator.registry.data.type
-
用于编码内容的标准注册表类型
类型: keyword
示例:REG_SZ
-
threat.enrichments.indicator.registry.hive
-
注册表项的缩写名称。
类型: keyword
示例:HKLM
-
threat.enrichments.indicator.registry.key
-
注册表项相对于注册表根目录的路径。
类型: keyword
示例:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
threat.enrichments.indicator.registry.path
-
完整路径,包括注册表根目录、项和值
类型: keyword
示例:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
threat.enrichments.indicator.registry.value
-
写入的值的名称。
类型: keyword
示例:Debugger
-
threat.enrichments.indicator.scanner_stats
-
成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。
类型: long
示例:4
-
threat.enrichments.indicator.sightings
-
观察到此指标进行威胁活动的次数。
类型: long
示例: 20
-
threat.enrichments.indicator.type
-
STIX 2.0 中以网络可观察对象表示的指标类型。 建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate
类型: keyword
示例: ipv4-addr
-
threat.enrichments.indicator.url.domain
-
URL 的域名,例如 "www.elastic.co"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到
domain
字段。如果 URL 包含用[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获在domain
字段中。类型: keyword
示例: www.elastic.co
-
threat.enrichments.indicator.url.extension
-
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当存在文件扩展名时才会设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须为“png”,而不是“.png”。请注意,当文件名具有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.enrichments.indicator.url.fragment
-
URL 中
#
之后的部分,例如 "top"。#
不是片段的一部分。类型: keyword
-
threat.enrichments.indicator.url.full
-
如果完整的 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重构的还是存在于事件源中。类型:通配符
-
threat.enrichments.indicator.url.full.text
-
类型: match_only_text
-
threat.enrichments.indicator.url.original
-
在事件源中看到的未修改的原始 URL。 请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常只表示为路径。 此字段旨在表示观察到的 URL,无论是否完整。
类型:通配符
示例: https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
threat.enrichments.indicator.url.original.text
-
类型: match_only_text
-
threat.enrichments.indicator.url.password
-
请求的密码。
类型: keyword
-
threat.enrichments.indicator.url.path
-
请求的路径,例如 "/search"。
类型:通配符
-
threat.enrichments.indicator.url.port
-
请求的端口,例如 443。
类型: long
示例: 443
格式: string
-
threat.enrichments.indicator.url.query
-
查询字段描述请求的查询字符串,例如 "q=elasticsearch"。 从查询字符串中排除
?
。 如果 URL 不包含?
,则没有查询字段。 如果存在?
但没有查询,则查询字段存在,并且为空字符串。 可以使用exists
查询来区分这两种情况。类型: keyword
-
threat.enrichments.indicator.url.registered_domain
-
去除子域的最高注册 URL 域名。 例如,“foo.example.com”的注册域名是“example.com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。 尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 不太适用。
类型: keyword
示例: example.com
-
threat.enrichments.indicator.url.scheme
-
请求的方案,例如 "https"。 注意:
:
不是方案的一部分。类型: keyword
示例: https
-
threat.enrichments.indicator.url.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
threat.enrichments.indicator.url.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
threat.enrichments.indicator.url.username
-
请求的用户名。
类型: keyword
-
threat.enrichments.indicator.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.enrichments.indicator.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
threat.enrichments.indicator.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
threat.enrichments.indicator.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
threat.enrichments.indicator.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
threat.enrichments.indicator.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.enrichments.indicator.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.enrichments.indicator.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.enrichments.indicator.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.enrichments.indicator.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.enrichments.indicator.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
threat.enrichments.indicator.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.enrichments.indicator.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.enrichments.indicator.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.enrichments.indicator.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
threat.enrichments.indicator.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
threat.enrichments.indicator.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.enrichments.indicator.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
threat.enrichments.indicator.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
threat.enrichments.indicator.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
threat.enrichments.indicator.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.enrichments.indicator.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.enrichments.matched.atomic
-
标识与本地环境端点或网络事件匹配的原子指标值。
类型: keyword
示例: bad-domain.com
-
threat.enrichments.matched.field
-
标识与本地环境端点或网络事件匹配的原子指标的字段。
类型: keyword
示例: file.hash.sha256
-
threat.enrichments.matched.id
-
标识使用事件丰富化的指标文档的 _id。
类型: keyword
示例: ff93aee5-86a1-4a61-b0e6-0cdc313d01b5
-
threat.enrichments.matched.index
-
标识使用事件丰富化的指标文档的 _index。
类型: keyword
示例: filebeat-8.0.0-2021.05.23-000011
-
threat.enrichments.matched.type
-
标识导致事件使用给定指标进行丰富化的匹配类型
类型: keyword
示例: indicator_match_rule
-
threat.framework
-
用于进一步分类和归类所报告威胁的策略和技术的威胁框架的名称。框架分类可以由检测系统提供、在提取时评估或追溯标记到事件。
类型: keyword
示例: MITRE ATT&CK
-
threat.group.alias
-
安全社区以常用名称跟踪的一组相关入侵活动的组别名。虽然不是必需的,但可以使用 MITRE ATT&CK® 组别名。
类型: keyword
示例: [ "Magecart Group 6" ]
-
threat.group.id
-
安全社区以常用名称跟踪的一组相关入侵活动的组 ID。虽然不是必需的,但可以使用 MITRE ATT&CK® 组 ID。
类型: keyword
示例: G0037
-
threat.group.name
-
安全社区以常用名称跟踪的一组相关入侵活动的组名称。虽然不是必需的,但可以使用 MITRE ATT&CK® 组名称。
类型: keyword
示例: FIN6
-
threat.group.reference
-
安全社区以常用名称跟踪的一组相关入侵活动的组参考 URL。虽然不是必需的,但可以使用 MITRE ATT&CK® 组参考 URL。
类型: keyword
-
threat.indicator.as.number
-
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
threat.indicator.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
threat.indicator.as.organization.name.text
-
类型: match_only_text
-
threat.indicator.confidence
-
使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例来标识供应商无关的置信度评级。可以将供应商特定的置信度比例添加为自定义字段。预期值是:* 未指定 * 无 * 低 * 中 * 高
类型: keyword
示例:中
-
threat.indicator.description
-
描述威胁执行的操作类型。
类型: keyword
示例:观察到 IP x.x.x.x 正在传递 Angler EK。
-
threat.indicator.email.address
-
将威胁指示器标识为电子邮件地址(无论方向如何)。
类型: keyword
-
threat.indicator.file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。
类型: date
-
threat.indicator.file.attributes
-
文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
threat.indicator.file.code_signature.digest_algorithm
-
用于签署进程的哈希算法。当一个文件被同一签署者多次签署但使用了不同的摘要算法时,此值可以区分签名。
类型: keyword
示例:sha256
-
threat.indicator.file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
threat.indicator.file.code_signature.signing_id
-
用于签署进程的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
threat.indicator.file.code_signature.status
-
有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果证书的有效性或信任未检查,则留空。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
threat.indicator.file.code_signature.subject_name
-
代码签署者的主题名称
类型: keyword
示例:Microsoft Corporation
-
threat.indicator.file.code_signature.team_id
-
用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
threat.indicator.file.code_signature.timestamp
-
生成和签署代码签名时的日期和时间。
类型: date
示例:2021-01-01T12:10:30Z
-
threat.indicator.file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,并且此字段应仅由主动检查状态的工具填充。
类型:布尔值
示例:true
-
threat.indicator.file.code_signature.valid
-
布尔值,用于捕获是否针对二进制内容验证了数字签名。如果证书未检查,则留空。
类型:布尔值
示例:true
-
threat.indicator.file.created
-
文件创建时间。请注意,并非所有文件系统都会存储创建时间。
类型: date
-
threat.indicator.file.ctime
-
上次文件属性或元数据更改的时间。请注意,对文件内容的更改将更新
mtime
。这意味着ctime
将同时调整,因为mtime
是文件的属性。类型: date
-
threat.indicator.file.device
-
作为文件来源的设备。
类型: keyword
示例:sda
-
threat.indicator.file.directory
-
文件所在的目录。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice
-
threat.indicator.file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写,并且不包含冒号。
类型: keyword
示例:C
-
threat.indicator.file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
threat.indicator.file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
threat.indicator.file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
threat.indicator.file.elf.creation_date
-
在可能的情况下从文件的元数据中提取。指示它何时构建或编译。它也可能被恶意软件创建者伪造。
类型: date
-
threat.indicator.file.elf.exports
-
导出的元素名称和类型列表。
类型:扁平化
-
threat.indicator.file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
threat.indicator.file.elf.header.class
-
ELF 文件的标头类。
类型: keyword
-
threat.indicator.file.elf.header.data
-
ELF 标头的数据表。
类型: keyword
-
threat.indicator.file.elf.header.entrypoint
-
ELF 文件的标头入口点。
类型: long
格式: string
-
threat.indicator.file.elf.header.object_version
-
原始 ELF 文件的“0x1”。
类型: keyword
-
threat.indicator.file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
threat.indicator.file.elf.header.type
-
ELF 文件的标头类型。
类型: keyword
-
threat.indicator.file.elf.header.version
-
ELF 标头的版本。
类型: keyword
-
threat.indicator.file.elf.imports
-
导入的元素名称和类型列表。
类型:扁平化
-
threat.indicator.file.elf.sections
-
一个数组,包含 ELF 文件的每个部分的对象。这些对象中应存在的键由
elf.sections.*
下的子字段定义。类型:嵌套
-
threat.indicator.file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
threat.indicator.file.elf.sections.entropy
-
来自该部分的香农熵计算。
类型: long
格式:数字
-
threat.indicator.file.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
threat.indicator.file.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
threat.indicator.file.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
threat.indicator.file.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
threat.indicator.file.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
threat.indicator.file.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
threat.indicator.file.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
threat.indicator.file.elf.segments
-
一个数组,包含 ELF 文件的每个段的对象。这些对象中应存在的键由
elf.segments.*
下的子字段定义。类型:嵌套
-
threat.indicator.file.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
threat.indicator.file.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
threat.indicator.file.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
threat.indicator.file.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
threat.indicator.file.extension
-
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (example.tar.gz) 时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.indicator.file.fork_name
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流简称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,并且some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,并且extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
threat.indicator.file.gid
-
文件的主要组 ID (GID)。
类型: keyword
示例:1001
-
threat.indicator.file.group
-
文件的主要组名称。
类型: keyword
示例:alice
-
threat.indicator.file.hash.md5
-
MD5 哈希值。
类型: keyword
-
threat.indicator.file.hash.sha1
-
SHA1 哈希值。
类型: keyword
-
threat.indicator.file.hash.sha256
-
SHA256 哈希值。
类型: keyword
-
threat.indicator.file.hash.sha512
-
SHA512 哈希值。
类型: keyword
-
threat.indicator.file.hash.ssdeep
-
SSDEEP 哈希值。
类型: keyword
-
threat.indicator.file.inode
-
文件系统中表示文件的 inode。
类型: keyword
示例:256383
-
threat.indicator.file.mime_type
-
MIME 类型应尽可能使用 IANA 官方类型来标识文件或字节流的格式。当有多个类型适用时,应使用最具体的类型。
类型: keyword
-
threat.indicator.file.mode
-
文件模式的八进制表示形式。
类型: keyword
示例:0640
-
threat.indicator.file.mtime
-
上次修改文件内容的时间。
类型: date
-
threat.indicator.file.name
-
文件名(包括扩展名,但不包括目录)。
类型: keyword
示例:example.png
-
threat.indicator.file.owner
-
文件所有者的用户名。
类型: keyword
示例:alice
-
threat.indicator.file.path
-
文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。
类型: keyword
示例:/home/alice/example.png
-
threat.indicator.file.path.text
-
类型: match_only_text
-
threat.indicator.file.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
threat.indicator.file.pe.company
-
文件内部的公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
threat.indicator.file.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:Paint
-
threat.indicator.file.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
threat.indicator.file.pe.imphash
-
PE 文件中导入的哈希值。imphash(或导入哈希)可用于指纹识别二进制文件,即使在重新编译或其他代码级转换发生后,这些操作会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
threat.indicator.file.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
threat.indicator.file.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
threat.indicator.file.size
-
文件大小(以字节为单位)。仅当
file.type
为“file”时相关。类型: long
示例:16384
-
threat.indicator.file.target_path
-
符号链接的目标路径。
类型: keyword
-
threat.indicator.file.target_path.text
-
类型: match_only_text
-
threat.indicator.file.type
-
文件类型(文件、目录或符号链接)。
类型: keyword
示例:file
-
threat.indicator.file.uid
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
threat.indicator.file.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.indicator.file.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.indicator.file.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
threat.indicator.file.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.indicator.file.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
threat.indicator.file.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
threat.indicator.file.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
threat.indicator.file.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.indicator.file.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.indicator.file.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.indicator.file.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.indicator.file.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.indicator.file.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
threat.indicator.file.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.indicator.file.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.indicator.file.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.indicator.file.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
threat.indicator.file.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
threat.indicator.file.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.indicator.file.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
threat.indicator.file.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
threat.indicator.file.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
threat.indicator.file.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.indicator.file.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.indicator.first_seen
-
情报来源首次报告发现此指标的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.indicator.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
threat.indicator.geo.continent_code
-
表示大陆名称的两位字母代码。
类型: keyword
示例: NA
-
threat.indicator.geo.continent_name
-
大陆的名称。
类型: keyword
示例: North America
-
threat.indicator.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
threat.indicator.geo.country_name
-
国家/地区的名称。
类型: keyword
示例: Canada
-
threat.indicator.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
threat.indicator.geo.name
-
用户定义的、他们关心的粒度级别的地理位置描述。可以是他们的数据中心的名称、楼层号(如果描述本地物理实体)或城市名称。通常不用于自动化地理位置定位。
类型: keyword
示例: boston-dc
-
threat.indicator.geo.postal_code
-
与地理位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 编码,并且在不同的国家/地区会有很大差异。
类型: keyword
示例: 94040
-
threat.indicator.geo.region_iso_code
-
地区 ISO 代码。
类型: keyword
示例: CA-QC
-
threat.indicator.geo.region_name
-
地区名称。
类型: keyword
示例: Quebec
-
threat.indicator.geo.timezone
-
地理位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
threat.indicator.ip
-
将威胁指标标识为 IP 地址(无论方向如何)。
类型: ip
示例: 1.2.3.4
-
threat.indicator.last_seen
-
情报来源上次报告发现此指标的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.indicator.marking.tlp
-
流量灯协议共享标记。 建议值为:* WHITE * GREEN * AMBER * RED
类型: keyword
example: WHITE
-
threat.indicator.modified_at
-
情报来源上次修改此指标信息的日期和时间。
类型: date
示例: 2020-11-05T17:25:47.000Z
-
threat.indicator.port
-
将威胁指标标识为端口号(无论方向如何)。
类型: long
示例: 443
-
threat.indicator.provider
-
指标提供者的名称。
类型: keyword
示例: lrz_urlhaus
-
threat.indicator.reference
-
指向关于此指标的更多信息的参考 URL。
类型: keyword
-
threat.indicator.registry.data.bytes
-
使用 base64 编码写入的原始字节。对于 Windows 注册表操作,如 SetValueEx 和 RegQueryValueEx,这对应于由
lp_data
指向的数据。这是可选的,但提供更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
示例:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
threat.indicator.registry.data.strings
-
写入字符串类型时的内容。当将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列,此数组的长度将是可变的。对于数值数据,如 REG_DWORD 和 REG_QWORD,这应该用十进制表示形式(例如,
"1"
)填充。类型:通配符
示例:["C:\rta\red_ttp\bin\myapp.exe"]
-
threat.indicator.registry.data.type
-
用于编码内容的标准注册表类型
类型: keyword
示例:REG_SZ
-
threat.indicator.registry.hive
-
注册表项的缩写名称。
类型: keyword
示例:HKLM
-
threat.indicator.registry.key
-
注册表项相对于注册表根目录的路径。
类型: keyword
示例:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
threat.indicator.registry.path
-
完整路径,包括注册表根目录、项和值
类型: keyword
示例:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
threat.indicator.registry.value
-
写入的值的名称。
类型: keyword
示例:Debugger
-
threat.indicator.scanner_stats
-
成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。
类型: long
示例:4
-
threat.indicator.sightings
-
观察到此指标进行威胁活动的次数。
类型: long
示例: 20
-
threat.indicator.type
-
STIX 2.0 中以网络可观察对象表示的指标类型。 建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate
类型: keyword
示例: ipv4-addr
-
threat.indicator.url.domain
-
URL 的域名,例如 "www.elastic.co"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到
domain
字段。如果 URL 包含用[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获在domain
字段中。类型: keyword
示例: www.elastic.co
-
threat.indicator.url.extension
-
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当存在文件扩展名时才会设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须为“png”,而不是“.png”。请注意,当文件名具有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.indicator.url.fragment
-
URL 中
#
之后的部分,例如 "top"。#
不是片段的一部分。类型: keyword
-
threat.indicator.url.full
-
如果完整的 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重构的还是存在于事件源中。类型:通配符
-
threat.indicator.url.full.text
-
类型: match_only_text
-
threat.indicator.url.original
-
在事件源中看到的未修改的原始 URL。 请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常只表示为路径。 此字段旨在表示观察到的 URL,无论是否完整。
类型:通配符
示例: https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
threat.indicator.url.original.text
-
类型: match_only_text
-
threat.indicator.url.password
-
请求的密码。
类型: keyword
-
threat.indicator.url.path
-
请求的路径,例如 "/search"。
类型:通配符
-
threat.indicator.url.port
-
请求的端口,例如 443。
类型: long
示例: 443
格式: string
-
threat.indicator.url.query
-
查询字段描述请求的查询字符串,例如 "q=elasticsearch"。 从查询字符串中排除
?
。 如果 URL 不包含?
,则没有查询字段。 如果存在?
但没有查询,则查询字段存在,并且为空字符串。 可以使用exists
查询来区分这两种情况。类型: keyword
-
threat.indicator.url.registered_domain
-
去除子域的最高注册 URL 域名。 例如,“foo.example.com”的注册域名是“example.com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。 尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 不太适用。
类型: keyword
示例: example.com
-
threat.indicator.url.scheme
-
请求的方案,例如 "https"。 注意:
:
不是方案的一部分。类型: keyword
示例: https
-
threat.indicator.url.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
threat.indicator.url.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
threat.indicator.url.username
-
请求的用户名。
类型: keyword
-
threat.indicator.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.indicator.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.indicator.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
threat.indicator.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.indicator.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
threat.indicator.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
threat.indicator.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
threat.indicator.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.indicator.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.indicator.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.indicator.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.indicator.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.indicator.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
threat.indicator.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.indicator.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.indicator.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.indicator.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
threat.indicator.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
threat.indicator.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.indicator.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
threat.indicator.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
threat.indicator.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
threat.indicator.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
threat.indicator.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.software.alias
-
The alias(es) of the software for a set of related intrusion activity that are tracked by a common name in the security community. While not required, you can use a MITRE ATT&CK® associated software description.
类型: keyword
example: [ "X-Agent" ]
-
threat.software.id
-
The id of the software used by this threat to conduct behavior commonly modeled using MITRE ATT&CK®. While not required, you can use a MITRE ATT&CK® software id.
类型: keyword
example: S0552
-
threat.software.name
-
The name of the software used by this threat to conduct behavior commonly modeled using MITRE ATT&CK®. While not required, you can use a MITRE ATT&CK® software name.
类型: keyword
example: AdFind
-
threat.software.platforms
-
The platforms of the software used by this threat to conduct behavior commonly modeled using MITRE ATT&CK®. Recommended Values: * AWS * Azure * Azure AD * GCP * Linux * macOS * Network * Office 365 * SaaS * Windows
While not required, you can use a MITRE ATT&CK® software platforms.
类型: keyword
example: [ "Windows" ]
-
threat.software.reference
-
The reference URL of the software used by this threat to conduct behavior commonly modeled using MITRE ATT&CK®. While not required, you can use a MITRE ATT&CK® software reference URL.
类型: keyword
-
threat.software.type
-
The type of software used by this threat to conduct behavior commonly modeled using MITRE ATT&CK®. Recommended values * Malware * Tool
While not required, you can use a MITRE ATT&CK® software type.
类型: keyword
example: Tool
-
threat.tactic.id
-
The id of tactic used by this threat. You can use a MITRE ATT&CK® tactic, for example. (ex. https://attack.mitre.org/tactics/TA0002/ )
类型: keyword
example: TA0002
-
threat.tactic.name
-
Name of the type of tactic used by this threat. You can use a MITRE ATT&CK® tactic, for example. (ex. https://attack.mitre.org/tactics/TA0002/)
类型: keyword
example: Execution
-
threat.tactic.reference
-
The reference url of tactic used by this threat. You can use a MITRE ATT&CK® tactic, for example. (ex. https://attack.mitre.org/tactics/TA0002/ )
类型: keyword
-
threat.technique.id
-
The id of technique used by this threat. You can use a MITRE ATT&CK® technique, for example. (ex. https://attack.mitre.org/techniques/T1059/)
类型: keyword
example: T1059
-
threat.technique.name
-
The name of technique used by this threat. You can use a MITRE ATT&CK® technique, for example. (ex. https://attack.mitre.org/techniques/T1059/)
类型: keyword
example: Command and Scripting Interpreter
-
threat.technique.name.text
-
类型: match_only_text
-
threat.technique.reference
-
The reference url of technique used by this threat. You can use a MITRE ATT&CK® technique, for example. (ex. https://attack.mitre.org/techniques/T1059/)
类型: keyword
-
threat.technique.subtechnique.id
-
The full id of subtechnique used by this threat. You can use a MITRE ATT&CK® subtechnique, for example. (ex. https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
example: T1059.001
-
threat.technique.subtechnique.name
-
The name of subtechnique used by this threat. You can use a MITRE ATT&CK® subtechnique, for example. (ex. https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
example: PowerShell
-
threat.technique.subtechnique.name.text
-
类型: match_only_text
-
threat.technique.subtechnique.reference
-
The reference url of subtechnique used by this threat. You can use a MITRE ATT&CK® subtechnique, for example. (ex. https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
Fields related to a TLS connection. These fields focus on the TLS protocol itself and intentionally avoids in-depth analysis of the related x.509 certificate files.
-
tls.cipher
-
String indicating the cipher used during the current connection.
类型: keyword
example: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
tls.client.certificate
-
PEM-encoded stand-alone certificate offered by the client. This is usually mutually-exclusive of
client.certificate_chain
since this value also exists in that list.类型: keyword
example: MII…
-
tls.client.certificate_chain
-
Array of PEM-encoded certificates that make up the certificate chain offered by the client. This is usually mutually-exclusive of
client.certificate
since that value should be the first certificate in the chain.类型: keyword
example: ["MII…", "MII…"]
-
tls.client.hash.md5
-
Certificate fingerprint using the MD5 digest of DER-encoded version of certificate offered by the client. For consistency with other hash values, this value should be formatted as an uppercase hash.
类型: keyword
example: 0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC
-
tls.client.hash.sha1
-
Certificate fingerprint using the SHA1 digest of DER-encoded version of certificate offered by the client. For consistency with other hash values, this value should be formatted as an uppercase hash.
类型: keyword
example: 9E393D93138888D288266C2D915214D1D1CCEB2A
-
tls.client.hash.sha256
-
Certificate fingerprint using the SHA256 digest of DER-encoded version of certificate offered by the client. For consistency with other hash values, this value should be formatted as an uppercase hash.
类型: keyword
example: 0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0
-
tls.client.issuer
-
Distinguished name of subject of the issuer of the x.509 certificate presented by the client.
类型: keyword
example: CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com
-
tls.client.ja3
-
A hash that identifies clients based on how they perform an SSL/TLS handshake.
类型: keyword
example: d4e5b18d6b55c71272893221c96ba240
-
tls.client.not_after
-
Date/Time indicating when client certificate is no longer considered valid.
类型: date
example: 2021-01-01T00:00:00.000Z
-
tls.client.not_before
-
Date/Time indicating when client certificate is first considered valid.
类型: date
example: 1970-01-01T00:00:00.000Z
-
tls.client.server_name
-
Also called an SNI, this tells the server which hostname to which the client is attempting to connect to. When this value is available, it should get copied to
destination.domain
.类型: keyword
示例: www.elastic.co
-
tls.client.subject
-
Distinguished name of subject of the x.509 certificate presented by the client.
类型: keyword
example: CN=myclient, OU=Documentation Team, DC=example, DC=com
-
tls.client.supported_ciphers
-
Array of ciphers offered by the client during the client hello.
类型: keyword
example: ["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]
-
tls.client.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
tls.client.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
tls.client.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
tls.client.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
tls.client.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
tls.client.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
tls.client.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
tls.client.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
tls.client.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
tls.client.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
tls.client.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
tls.client.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
tls.client.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
tls.client.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
tls.client.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
tls.client.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
tls.client.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
tls.client.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
tls.client.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
tls.client.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
tls.client.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
tls.client.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
tls.client.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
tls.client.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
tls.curve
-
字符串,指示给定密码适用的曲线。
类型: keyword
示例:secp256r1
-
tls.established
-
布尔标志,指示 TLS 协商是否成功并转换为加密通道。
类型:布尔值
-
tls.next_protocol
-
字符串,指示正在隧道传输的协议。根据 IANA 注册表中的值(https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids),此字符串应为小写。
类型: keyword
示例:http/1.1
-
tls.resumed
-
布尔标志,指示此 TLS 连接是否从现有 TLS 协商恢复。
类型:布尔值
-
tls.server.certificate
-
服务器提供的 PEM 编码的独立证书。这通常与
server.certificate_chain
互斥,因为此值也存在于该列表中。类型: keyword
example: MII…
-
tls.server.certificate_chain
-
构成服务器提供的证书链的 PEM 编码证书数组。这通常与
server.certificate
互斥,因为该值应为链中的第一个证书。类型: keyword
example: ["MII…", "MII…"]
-
tls.server.hash.md5
-
使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
example: 0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC
-
tls.server.hash.sha1
-
使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
example: 9E393D93138888D288266C2D915214D1D1CCEB2A
-
tls.server.hash.sha256
-
使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
example: 0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0
-
tls.server.issuer
-
服务器提供的 x.509 证书的颁发者主题。
类型: keyword
example: CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com
-
tls.server.ja3s
-
一个哈希值,用于根据服务器执行 SSL/TLS 握手的方式来标识服务器。
类型: keyword
示例:394441ab65754e2207b1e1b457b3641d
-
tls.server.not_after
-
时间戳,指示服务器证书何时不再被视为有效。
类型: date
example: 2021-01-01T00:00:00.000Z
-
tls.server.not_before
-
时间戳,指示服务器证书何时首次被视为有效。
类型: date
example: 1970-01-01T00:00:00.000Z
-
tls.server.subject
-
服务器提供的 x.509 证书的主题。
类型: keyword
示例:CN=www.example.com, OU=基础设施团队, DC=example, DC=com
-
tls.server.x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
tls.server.x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
tls.server.x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
tls.server.x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
tls.server.x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
tls.server.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
tls.server.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
tls.server.x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
tls.server.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
tls.server.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
tls.server.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
tls.server.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
tls.server.x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
tls.server.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
tls.server.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
tls.server.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
tls.server.x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
tls.server.x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
tls.server.x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
tls.server.x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
tls.server.x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
tls.server.x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
tls.server.x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
tls.server.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
tls.version
-
从原始字符串解析的版本号的数字部分。
类型: keyword
示例:1.2
-
tls.version_protocol
-
从原始字符串解析的规范化小写协议名称。
类型: keyword
示例:tls
-
span.id
-
跨度在其跟踪范围内的唯一标识符。跨度表示事务中的操作,例如对另一个服务的请求或数据库查询。
类型: keyword
示例:3ff9a8981b7ccd5a
-
trace.id
-
跟踪的唯一标识符。跟踪将多个事件(如属于一起的事务)分组在一起。例如,由多个互连服务处理的用户请求。
类型: keyword
示例:4bf92f3577b34da6a3ce929d0e0e4736
-
transaction.id
-
事务在其跟踪范围内的唯一标识符。事务是在服务中测量的最高级别的工作,例如对服务器的请求。
类型: keyword
示例:00f067aa0ba902b7
URL 字段提供对完整或部分 URL 的支持,并支持分解为 scheme、domain、path 等。
-
url.domain
-
URL 的域名,例如 "www.elastic.co"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到
domain
字段。如果 URL 包含用[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获在domain
字段中。类型: keyword
示例: www.elastic.co
-
url.extension
-
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当存在文件扩展名时才会设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须为“png”,而不是“.png”。请注意,当文件名具有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
url.fragment
-
URL 中
#
之后的部分,例如 "top"。#
不是片段的一部分。类型: keyword
-
url.full
-
如果完整的 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重构的还是存在于事件源中。类型:通配符
-
url.full.text
-
类型: match_only_text
-
url.original
-
在事件源中看到的未修改的原始 URL。 请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常只表示为路径。 此字段旨在表示观察到的 URL,无论是否完整。
类型:通配符
示例: https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
url.original.text
-
类型: match_only_text
-
url.password
-
请求的密码。
类型: keyword
-
url.path
-
请求的路径,例如 "/search"。
类型:通配符
-
url.port
-
请求的端口,例如 443。
类型: long
示例: 443
格式: string
-
url.query
-
查询字段描述请求的查询字符串,例如 "q=elasticsearch"。 从查询字符串中排除
?
。 如果 URL 不包含?
,则没有查询字段。 如果存在?
但没有查询,则查询字段存在,并且为空字符串。 可以使用exists
查询来区分这两种情况。类型: keyword
-
url.registered_domain
-
去除子域的最高注册 URL 域名。 例如,“foo.example.com”的注册域名是“example.com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。 尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 不太适用。
类型: keyword
示例: example.com
-
url.scheme
-
请求的方案,例如 "https"。 注意:
:
不是方案的一部分。类型: keyword
示例: https
-
url.subdomain
-
完全限定域名的子域部分包括注册域下除主机名外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
url.top_level_domain
-
有效顶级域名 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。
类型: keyword
示例: co.uk
-
url.username
-
请求的用户名。
类型: keyword
用户字段描述与事件相关的用户信息。字段可以有一个或多个条目。如果一个用户有多个 id,则提供一个包含所有 id 的数组。
-
user.changes.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.changes.email
-
用户电子邮件地址。
类型: keyword
-
user.changes.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.changes.full_name.text
-
类型: match_only_text
-
user.changes.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.changes.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.changes.group.name
-
组的名称。
类型: keyword
-
user.changes.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
user.changes.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.changes.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
user.changes.name.text
-
类型: match_only_text
-
user.changes.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
-
user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.email
-
用户电子邮件地址。
类型: keyword
-
user.effective.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.effective.full_name.text
-
类型: match_only_text
-
user.effective.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.effective.group.name
-
组的名称。
类型: keyword
-
user.effective.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
user.effective.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.effective.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
user.effective.name.text
-
类型: match_only_text
-
user.effective.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
-
user.email
-
用户电子邮件地址。
类型: keyword
-
user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.full_name.text
-
类型: match_only_text
-
user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.group.name
-
组的名称。
类型: keyword
-
user.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
user.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
user.name.text
-
类型: match_only_text
-
user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
-
user.target.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.target.email
-
用户电子邮件地址。
类型: keyword
-
user.target.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.target.full_name.text
-
类型: match_only_text
-
user.target.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.target.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.target.group.name
-
组的名称。
类型: keyword
-
user.target.hash
-
用于以匿名形式关联用户信息的用户唯一哈希值。如果
user.id
或user.name
包含机密信息且不能使用,则此项非常有用。类型: keyword
-
user.target.id
-
用户的唯一标识符。
类型: keyword
示例:S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.target.name
-
用户的短名称或登录名。
类型: keyword
示例:a.einstein
-
user.target.name.text
-
类型: match_only_text
-
user.target.roles
-
事件发生时用户角色的数组。
类型: keyword
示例:["kibana_admin", "reporting_user"]
user_agent 字段通常来自浏览器请求。它们经常出现在来自解析的用户代理字符串的 Web 服务日志中。
-
user_agent.device.name
-
设备名称。
类型: keyword
示例:iPhone
-
user_agent.name
-
用户代理的名称。
类型: keyword
示例:Safari
-
user_agent.original
-
未解析的 user_agent 字符串。
类型: keyword
示例:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1
-
user_agent.original.text
-
类型: match_only_text
-
user_agent.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
user_agent.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
user_agent.os.full.text
-
类型: match_only_text
-
user_agent.os.kernel
-
操作系统内核版本,为原始字符串。
类型: keyword
示例:4.4.0-112-generic
-
user_agent.os.name
-
操作系统名称,不包含版本。
类型: keyword
示例:Mac OS X
-
user_agent.os.name.text
-
类型: match_only_text
-
user_agent.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
user_agent.os.type
-
使用
os.type
字段将操作系统归类到以下大型商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提交问题来告知我们,以建议添加它。类型: keyword
示例:macos
-
user_agent.os.version
-
操作系统版本,为原始字符串。
类型: keyword
示例:10.14.1
-
user_agent.version
-
用户代理的版本。
类型: keyword
示例:12.0
VLAN 字段用于标识数据包的 802.1q 标签,以及观察者与特定数据包或连接相关的入口和出口 VLAN 关联。 Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标签,或者在 q-in-q 封装情况下记录外部标签,通常由被动报告流量的网络传感器(例如 Zeek、Wireshark)提供。 Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签(多个 802.1q 封装),通常由被动报告流量的网络传感器(例如 Zeek、Wireshark)提供。 Network.inner VLAN 字段应仅与 network.vlan 字段一起使用,以指示 q-in-q 标记。 观察者入口和观察者出口 VLAN 值用于记录观察者事件包含离散入口和出口 VLAN 信息时的观察者特定信息,通常由防火墙、路由器或负载均衡器提供。
-
vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
漏洞字段描述与事件相关的漏洞信息。
-
vulnerability.category
-
漏洞影响的系统或体系结构的类型。这些可能是特定于平台的(例如,Debian 或 SUSE)或通用的(例如,数据库或防火墙)。例如(Qualys 漏洞类别)此字段必须是一个数组。
类型: keyword
示例:["防火墙"]
-
vulnerability.classification
-
漏洞评分系统的分类。例如(https://www.first.org/cvss/)
类型: keyword
示例:CVSS
-
vulnerability.description
-
提供漏洞其他上下文的漏洞描述。例如(常见漏洞和披露 CVE 描述)
类型: keyword
示例:在 2.12.6 之前的 macOS 中,RPC 中存在一个漏洞…
-
vulnerability.description.text
-
类型: match_only_text
-
vulnerability.enumeration
-
用于此漏洞的标识符类型。例如(https://cve.mitre.org/about/)
类型: keyword
示例:CVE
-
vulnerability.id
-
标识 (ID) 是漏洞条目的数字部分。它包括漏洞的唯一标识号。例如(常见漏洞和披露 CVE ID)
类型: keyword
示例:CVE-2019-00001
-
vulnerability.reference
-
提供有关已识别漏洞的更多信息、上下文和缓解措施的资源。
类型: keyword
示例:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111
-
vulnerability.report_id
-
报告或扫描标识号。
类型: keyword
示例:20191018.0001
-
vulnerability.scanner.vendor
-
漏洞扫描器供应商的名称。
类型: keyword
示例:Tenable
-
vulnerability.score.base
-
分数范围可以从 0.0 到 10.0,10.0 为最严重。基本分数涵盖对可利用性指标(攻击向量、复杂性、特权和用户交互)、影响指标(机密性、完整性和可用性)以及范围的评估。例如(https://www.first.org/cvss/specification-document)
类型: float
示例:5.5
-
vulnerability.score.environmental
-
分数范围可以从 0.0 到 10.0,10.0 为最严重。环境分数涵盖对任何修改的基本指标、机密性、完整性和可用性要求的评估。例如(https://www.first.org/cvss/specification-document)
类型: float
示例:5.5
-
vulnerability.score.temporal
-
分数范围可以从 0.0 到 10.0,10.0 为最严重。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如(https://www.first.org/cvss/specification-document)
类型: float
-
vulnerability.score.version
-
美国国家漏洞数据库 (NVD) 为 CVSS v2.0 基本分数范围提供了“低”、“中”和“高”的定性严重性等级,以及 CVSS v3.0 规范中定义的 CVSS v3.0 的严重性评级。 CVSS 由一家总部位于美国的非营利组织 FIRST.Org, Inc. (FIRST) 拥有和管理,其使命是帮助世界各地的计算机安全事件响应团队。 例如 (https://nvd.nist.gov/vuln-metrics/cvss)
类型: keyword
示例:2.0
-
vulnerability.severity
-
漏洞的严重性可以帮助衡量指标和内部修复优先级。例如(https://nvd.nist.gov/vuln-metrics/cvss)
类型: keyword
示例:严重
这实现了 x509 证书的公共核心字段。此信息很可能与 TLS 会话、可执行二进制文件中找到的数字签名、电子邮件正文中的 S/MIME 信息或对磁盘上文件的分析一起记录。当证书与文件相关时,请使用 file.x509
中的字段。当 DER 编码证书的哈希可用时,也应填充 hash
数据集(例如,file.hash.sha256
)。包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509
和/或 tls.client.x509
。
-
x509.alternative_names
-
使用者可选名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
x509.issuer.common_name
-
颁发证书颁发机构的公用名 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
x509.issuer.country
-
国家/地区 (C) 代码列表
类型: keyword
示例:US
-
x509.issuer.distinguished_name
-
颁发证书颁发机构的专有名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
x509.issuer.locality
-
地点名称 (L) 的列表
类型: keyword
示例:Mountain View
-
x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 的列表。
类型: keyword
示例:Example Inc
-
x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单元 (OU) 的列表。
类型: keyword
示例:www.example.com
-
x509.issuer.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
x509.public_key_exponent
-
用于导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未编制索引。
-
x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
x509.serial_number
-
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在不使用冒号和使用大写字符的情况下对其进行格式化。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
x509.subject.common_name
-
使用者公用名 (CN) 的列表。
类型: keyword
示例:shared.global.example.net
-
x509.subject.country
-
国家/地区 (C) 代码的列表
类型: keyword
示例:US
-
x509.subject.distinguished_name
-
证书主题实体的专有名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
x509.subject.locality
-
地点名称 (L) 的列表
类型: keyword
示例:San Francisco
-
x509.subject.organization
-
主题的组织 (O) 的列表。
类型: keyword
示例:Example, Inc.
-
x509.subject.organizational_unit
-
主题的组织单元 (OU) 的列表。
类型: keyword
-
x509.subject.state_or_province
-
州或省/自治区名称 (ST、S 或 P) 的列表
类型: keyword
示例:California
-
x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3