思科字段

处理思科网络设备日志的模块。

cisco.amp

用于解析思科 AMP 日志的模块。

cisco.amp.timestamp_nanoseconds

以纪元纳秒为单位的时间戳。

类型:日期

cisco.amp.event_type_id

事件的子 ID,取决于事件类型。

类型:关键字

cisco.amp.detection

检测到的恶意软件名称。

类型:关键字

cisco.amp.detection_id

检测的 ID。

类型:关键字

cisco.amp.connector_guid

将信息发送到 AMP 的连接器的 GUID。

类型:关键字

cisco.amp.group_guids

将信息发送到 AMP 的连接器相关的组 GUID 数组。

类型:关键字

cisco.amp.vulnerabilities

与恶意事件相关的漏洞数组。

类型:扁平化

cisco.amp.scan.description

与启动扫描相关的事件的描述,例如特定目录名称。

类型:关键字

cisco.amp.scan.clean

扫描的文件是否干净的布尔值。

类型:布尔值

cisco.amp.scan.scanned_files

扫描目录中文件的数量。

类型:长整型

cisco.amp.scan.scanned_processes

与单个扫描事件相关的已扫描进程数。

类型:长整型

cisco.amp.scan.scanned_paths

与单个扫描事件相关的已扫描不同目录数。

类型:长整型

cisco.amp.scan.malicious_detections

与单个扫描事件相关的检测到的恶意文件或文档数量。

类型:长整型

cisco.amp.computer.connector_guid

连接器的 GUID,类似于顶级 connector_guid,但如果涉及多个连接器则唯一。

类型:关键字

cisco.amp.computer.external_ip

相关主机的外部 IP。

类型:IP 地址

cisco.amp.computer.active

当前端点是否处于活动状态。

类型:布尔值

cisco.amp.computer.network_addresses

相关主机上的所有网络接口信息。

类型:扁平化

cisco.amp.file.disposition

文件的分类,例如“恶意”或“干净”。

类型:关键字

cisco.amp.network_info.disposition

与文件相关的网络事件的分类,例如“恶意”或“干净”。

类型:关键字

cisco.amp.network_info.nfm.direction

基于源 IP 和目标 IP 的当前方向。

类型:关键字

cisco.amp.related.mac

所有相关 MAC 地址的数组。

类型:关键字

cisco.amp.related.cve

所有相关 MAC 地址的数组。

类型:关键字

cisco.amp.cloud_ioc.description

来自 AMP 的特定 IOC 事件的相关 IOC 的描述。

类型:关键字

cisco.amp.cloud_ioc.short_description

来自 AMP 的特定 IOC 事件的相关 IOC 的简短描述。

类型:关键字

cisco.amp.network_info.parent.disposition

IOC 的分类,例如“恶意”或“干净”。

类型:关键字

cisco.amp.network_info.parent.identity.md5

相关 IOC 的 MD5 哈希值。

类型:关键字

cisco.amp.network_info.parent.identity.sha1

相关 IOC 的 SHA1 哈希值。

类型:关键字

cisco.amp.network_info.parent.identify.sha256

相关 IOC 的 SHA256 哈希值。

类型:关键字

cisco.amp.file.archived_file.disposition

与文件相关的文件归档的分类,例如“恶意”或“干净”。

类型:关键字

cisco.amp.file.archived_file.identity.md5

与恶意事件相关的已归档文件的 MD5 哈希值。

类型:关键字

cisco.amp.file.archived_file.identity.sha1

与恶意事件相关的已归档文件的 SHA1 哈希值。

类型:关键字

cisco.amp.file.archived_file.identity.sha256

与恶意事件相关的已归档文件的 SHA256 哈希值。

类型:关键字

cisco.amp.file.attack_details.application

与漏洞利用防护事件相关的应用程序名称。

类型:关键字

cisco.amp.file.attack_details.attacked_module

漏洞利用防护检测到的受攻击和检测的可执行文件或 dll 的路径。

类型:关键字

cisco.amp.file.attack_details.base_address

与检测到的漏洞利用相关的基本内存地址。

类型:关键字

cisco.amp.file.attack_details.suspicious_files

漏洞利用防护检测到攻击时相关文件的数组。

类型:关键字

cisco.amp.file.parent.disposition

父级的分类,例如“恶意”或“干净”。

类型:关键字

cisco.amp.error.description

端点错误事件的描述。

类型:关键字

cisco.amp.error.error_code

描述相关错误事件的错误代码。

类型:关键字

cisco.amp.threat_hunting.severity

注册到恶意事件的威胁狩猎的严重性结果。可以是低-严重。

类型:关键字

cisco.amp.threat_hunting.incident_report_guid

相关威胁狩猎报告的 GUID。

类型:关键字

cisco.amp.threat_hunting.incident_hunt_guid

相关调查跟踪问题的 GUID。

类型:关键字

cisco.amp.threat_hunting.incident_title

与威胁狩猎活动相关的事件标题。

类型:关键字

cisco.amp.threat_hunting.incident_summary

威胁狩猎活动结果的摘要。

类型:关键字

cisco.amp.threat_hunting.incident_remediation

解决漏洞或受攻击主机的建议。

类型:关键字

cisco.amp.threat_hunting.incident_id

与威胁狩猎活动相关的事件 ID。

类型:关键字

cisco.amp.threat_hunting.incident_end_time

威胁狩猎完成或关闭的时间。

类型:日期

cisco.amp.threat_hunting.incident_start_time

威胁狩猎启动的时间。

类型:日期

cisco.amp.file.attack_details.indicators

与检测到的漏洞利用匹配的不同指标类型,例如不同的 MITRE 战术。

类型:扁平化

cisco.amp.threat_hunting.tactics

与发现的事件相关的所有 MITRE 战术列表。

类型:扁平化

cisco.amp.threat_hunting.techniques

与发现的事件相关的所有 MITRE 技术列表。

类型:扁平化

cisco.amp.tactics

与发现的事件相关的所有 MITRE 战术列表。

类型:扁平化

cisco.amp.mitre_tactics

所有相关 mitre 战术 ID 的数组

类型:关键字

cisco.amp.techniques

与发现的事件相关的所有 MITRE 技术列表。

类型:扁平化

cisco.amp.mitre_techniques

所有相关 mitre 技术 ID 的数组

类型:关键字

cisco.amp.command_line.arguments

思科报告的云威胁 IOC 相关的 CLI 参数。

类型:关键字

cisco.amp.bp_data

端点隔离信息

类型:扁平化

cisco.asa

思科 ASA 防火墙字段。

cisco.asa.message_id

思科 ASA 消息标识符。

类型:关键字

cisco.asa.suffix

%ASA 标识符后的可选后缀。

类型:关键字

示例:session

cisco.asa.source_interface

流或事件的源接口。

类型:关键字

cisco.asa.destination_interface

流或事件的目标接口。

类型:关键字

cisco.asa.rule_name

与该事件匹配的访问控制列表规则的名称。

类型:关键字

cisco.asa.source_username

作为此事件源的用户名称。

类型:关键字

cisco.asa.source_user_security_group_tag

源用户的安全组标签。安全组标签是 16 位标识符,用于表示逻辑组权限。

类型:长整型

cisco.asa.destination_username

作为此事件目标的用户名称。

类型:关键字

cisco.asa.destination_user_security_group_tag

目标用户的安全组标签。安全组标签是 16 位标识符,用于表示逻辑组权限。

类型:长整型

cisco.asa.mapped_source_ip

转换后的源 IP 地址。

类型:IP 地址

cisco.asa.mapped_source_host

转换后的源主机。

类型:关键字

cisco.asa.mapped_source_port

转换后的源端口。

类型:长整型

cisco.asa.mapped_destination_ip

转换后的目标 IP 地址。

类型:IP 地址

cisco.asa.mapped_destination_host

转换后的目标主机。

类型:关键字

cisco.asa.mapped_destination_port

转换后的目标端口。

类型:长整型

cisco.asa.threat_level

恶意软件/僵尸网络流量的威胁级别。极低、低、中等、高或极高。

类型:关键字

cisco.asa.threat_category

恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、特洛伊木马等。

类型:关键字

cisco.asa.connection_id

流的唯一标识符。

类型:关键字

cisco.asa.icmp_type

ICMP 类型。

类型:短整型

cisco.asa.icmp_code

ICMP 代码。

类型:短整型

cisco.asa.connection_type

VPN 连接类型

类型:关键字

cisco.asa.dap_records

分配的 DAP 记录

类型:关键字

cisco.asa.command_line_arguments

本地审计日志记录的命令行参数

类型:关键字

cisco.asa.assigned_ip

成功连接的 VPN 客户端分配的 IP 地址

类型:IP 地址

cisco.asa.privilege.old

更改用户权限时,这是旧值

类型:关键字

cisco.asa.privilege.new

更改用户权限时,这是新值

类型:关键字

cisco.asa.burst.object

突发警告的相关对象

类型:关键字

cisco.asa.burst.id

突发警告的相关速率 ID

类型:关键字

cisco.asa.burst.current_rate

当前看到的突发速率

类型:关键字

cisco.asa.burst.configured_rate

当前配置的突发速率

类型:关键字

cisco.asa.burst.avg_rate

当前看到的平均突发速率

类型:关键字

cisco.asa.burst.configured_avg_rate

当前配置的允许平均突发速率

类型:关键字

cisco.asa.burst.cumulative_count

自对象创建或清除以来突发速率命中总数

类型:关键字

cisco.asa.termination_user

请求终止的用户的 AAA 名称

类型:关键字

cisco.asa.webvpn.group_name

用户所属的 WebVPN 组名称

类型:关键字

cisco.asa.termination_initiator

启动拆除的一方的接口名称

类型:关键字

cisco.asa.tunnel_type

SA 类型(远程访问或 L2L)

类型:关键字

cisco.asa.session_type

会话类型(例如,IPsec 或 UDP)

类型:关键字

cisco.ftd

思科 Firepower 威胁防御防火墙字段。

cisco.ftd.message_id

思科 FTD 消息标识符。

类型:关键字

cisco.ftd.suffix

%FTD 标识符后的可选后缀。

类型:关键字

示例:session

cisco.ftd.source_interface

流或事件的源接口。

类型:关键字

cisco.ftd.destination_interface

流或事件的目标接口。

类型:关键字

cisco.ftd.rule_name

与该事件匹配的访问控制列表规则的名称。

类型:关键字

cisco.ftd.source_username

作为此事件源的用户名称。

类型:关键字

cisco.ftd.destination_username

作为此事件目标的用户名称。

类型:关键字

cisco.ftd.mapped_source_ip

转换后的源 IP 地址。使用 ECS source.nat.ip。

类型:IP 地址

cisco.ftd.mapped_source_host

转换后的源主机。

类型:关键字

cisco.ftd.mapped_source_port

转换后的源端口。使用 ECS source.nat.port。

类型:长整型

cisco.ftd.mapped_destination_ip

转换后的目标 IP 地址。使用 ECS destination.nat.ip。

类型:IP 地址

cisco.ftd.mapped_destination_host

转换后的目标主机。

类型:关键字

cisco.ftd.mapped_destination_port

转换后的目标端口。使用 ECS destination.nat.port。

类型:长整型

cisco.ftd.threat_level

恶意软件/僵尸网络流量的威胁级别。极低、低、中等、高或极高。

类型:关键字

cisco.ftd.threat_category

恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、特洛伊木马等。

类型:关键字

cisco.ftd.connection_id

流的唯一标识符。

类型:关键字

cisco.ftd.icmp_type

ICMP 类型。

类型:短整型

cisco.ftd.icmp_code

ICMP 代码。

类型:短整型

cisco.ftd.security

安全事件的原始字段。

类型:对象

cisco.ftd.connection_type

VPN 连接类型

类型:关键字

cisco.ftd.dap_records

分配的 DAP 记录

类型:关键字

cisco.ftd.termination_user

请求终止的用户的 AAA 名称

类型:关键字

cisco.ftd.webvpn.group_name

用户所属的 WebVPN 组名称

类型:关键字

cisco.ftd.termination_initiator

启动拆除的一方的接口名称

类型:关键字

cisco.ios

思科 IOS 日志字段。

cisco.ios.access_list

IP 访问列表的名称。

类型:关键字

cisco.ios.facility

消息引用的设备(例如,SNMP、SYS 等)。设备可以是硬件设备、协议或系统软件的模块。它表示系统消息的来源或原因。

类型:关键字

示例:SEC

cisco.umbrella

思科 Umbrella 字段。

cisco.umbrella.identities

与事件相关的不同身份的数组。

类型:关键字

cisco.umbrella.categories

目标匹配的安全或内容类别。

类型:关键字

cisco.umbrella.policy_identity_type

与此请求匹配的第一个身份类型。在 3.0 及更高版本中可用。

类型:关键字

cisco.umbrella.identity_types

发出请求的身份类型。例如,漫游计算机或网络。

类型:关键字

cisco.umbrella.blocked_categories

导致目标被阻止的类别。在 4.0 及更高版本中可用。

类型:关键字

cisco.umbrella.content_type

Web 内容的类型,通常为 text/html。

类型:关键字

cisco.umbrella.sha_sha256

响应内容的十六进制摘要。

类型:关键字

cisco.umbrella.av_detections

根据在文件检查中使用的防病毒引擎的检测名称。

类型:关键字

cisco.umbrella.puas

防病毒扫描程序返回的所有潜在不需要的应用程序 (PUA) 结果列表。

类型:关键字

cisco.umbrella.amp_disposition

思科高级恶意软件防护 (AMP) 在 Umbrella 文件检查功能中对代理和扫描的文件的状态;可以是干净、恶意或未知。

类型:关键字

cisco.umbrella.amp_malware_name

如果为恶意软件,则为 AMP 确定的恶意软件名称。

类型:关键字

cisco.umbrella.amp_score

AMP 给出的恶意软件评分。此字段目前未使用,将为空白。

类型:关键字

cisco.umbrella.datacenter

处理用户生成流量的 Umbrella 数据中心名称。

类型:关键字

cisco.umbrella.origin_id

网络隧道的唯一标识。

类型:关键字