处理思科网络设备日志的模块。
用于解析思科 AMP 日志的模块。
-
cisco.amp.timestamp_nanoseconds
-
以纪元纳秒为单位的时间戳。
类型:日期
-
cisco.amp.event_type_id
-
事件的子 ID,取决于事件类型。
类型:关键字
-
cisco.amp.detection
-
检测到的恶意软件名称。
类型:关键字
-
cisco.amp.detection_id
-
检测的 ID。
类型:关键字
-
cisco.amp.connector_guid
-
将信息发送到 AMP 的连接器的 GUID。
类型:关键字
-
cisco.amp.group_guids
-
将信息发送到 AMP 的连接器相关的组 GUID 数组。
类型:关键字
-
cisco.amp.vulnerabilities
-
与恶意事件相关的漏洞数组。
类型:扁平化
-
cisco.amp.scan.description
-
与启动扫描相关的事件的描述,例如特定目录名称。
类型:关键字
-
cisco.amp.scan.clean
-
扫描的文件是否干净的布尔值。
类型:布尔值
-
cisco.amp.scan.scanned_files
-
扫描目录中文件的数量。
类型:长整型
-
cisco.amp.scan.scanned_processes
-
与单个扫描事件相关的已扫描进程数。
类型:长整型
-
cisco.amp.scan.scanned_paths
-
与单个扫描事件相关的已扫描不同目录数。
类型:长整型
-
cisco.amp.scan.malicious_detections
-
与单个扫描事件相关的检测到的恶意文件或文档数量。
类型:长整型
-
cisco.amp.computer.connector_guid
-
连接器的 GUID,类似于顶级 connector_guid,但如果涉及多个连接器则唯一。
类型:关键字
-
cisco.amp.computer.external_ip
-
相关主机的外部 IP。
类型:IP 地址
-
cisco.amp.computer.active
-
当前端点是否处于活动状态。
类型:布尔值
-
cisco.amp.computer.network_addresses
-
相关主机上的所有网络接口信息。
类型:扁平化
-
cisco.amp.file.disposition
-
文件的分类,例如“恶意”或“干净”。
类型:关键字
-
cisco.amp.network_info.disposition
-
与文件相关的网络事件的分类,例如“恶意”或“干净”。
类型:关键字
-
cisco.amp.network_info.nfm.direction
-
基于源 IP 和目标 IP 的当前方向。
类型:关键字
-
cisco.amp.related.mac
-
所有相关 MAC 地址的数组。
类型:关键字
-
cisco.amp.related.cve
-
所有相关 MAC 地址的数组。
类型:关键字
-
cisco.amp.cloud_ioc.description
-
来自 AMP 的特定 IOC 事件的相关 IOC 的描述。
类型:关键字
-
cisco.amp.cloud_ioc.short_description
-
来自 AMP 的特定 IOC 事件的相关 IOC 的简短描述。
类型:关键字
-
cisco.amp.network_info.parent.disposition
-
IOC 的分类,例如“恶意”或“干净”。
类型:关键字
-
cisco.amp.network_info.parent.identity.md5
-
相关 IOC 的 MD5 哈希值。
类型:关键字
-
cisco.amp.network_info.parent.identity.sha1
-
相关 IOC 的 SHA1 哈希值。
类型:关键字
-
cisco.amp.network_info.parent.identify.sha256
-
相关 IOC 的 SHA256 哈希值。
类型:关键字
-
cisco.amp.file.archived_file.disposition
-
与文件相关的文件归档的分类,例如“恶意”或“干净”。
类型:关键字
-
cisco.amp.file.archived_file.identity.md5
-
与恶意事件相关的已归档文件的 MD5 哈希值。
类型:关键字
-
cisco.amp.file.archived_file.identity.sha1
-
与恶意事件相关的已归档文件的 SHA1 哈希值。
类型:关键字
-
cisco.amp.file.archived_file.identity.sha256
-
与恶意事件相关的已归档文件的 SHA256 哈希值。
类型:关键字
-
cisco.amp.file.attack_details.application
-
与漏洞利用防护事件相关的应用程序名称。
类型:关键字
-
cisco.amp.file.attack_details.attacked_module
-
漏洞利用防护检测到的受攻击和检测的可执行文件或 dll 的路径。
类型:关键字
-
cisco.amp.file.attack_details.base_address
-
与检测到的漏洞利用相关的基本内存地址。
类型:关键字
-
cisco.amp.file.attack_details.suspicious_files
-
漏洞利用防护检测到攻击时相关文件的数组。
类型:关键字
-
cisco.amp.file.parent.disposition
-
父级的分类,例如“恶意”或“干净”。
类型:关键字
-
cisco.amp.error.description
-
端点错误事件的描述。
类型:关键字
-
cisco.amp.error.error_code
-
描述相关错误事件的错误代码。
类型:关键字
-
cisco.amp.threat_hunting.severity
-
注册到恶意事件的威胁狩猎的严重性结果。可以是低-严重。
类型:关键字
-
cisco.amp.threat_hunting.incident_report_guid
-
相关威胁狩猎报告的 GUID。
类型:关键字
-
cisco.amp.threat_hunting.incident_hunt_guid
-
相关调查跟踪问题的 GUID。
类型:关键字
-
cisco.amp.threat_hunting.incident_title
-
与威胁狩猎活动相关的事件标题。
类型:关键字
-
cisco.amp.threat_hunting.incident_summary
-
威胁狩猎活动结果的摘要。
类型:关键字
-
cisco.amp.threat_hunting.incident_remediation
-
解决漏洞或受攻击主机的建议。
类型:关键字
-
cisco.amp.threat_hunting.incident_id
-
与威胁狩猎活动相关的事件 ID。
类型:关键字
-
cisco.amp.threat_hunting.incident_end_time
-
威胁狩猎完成或关闭的时间。
类型:日期
-
cisco.amp.threat_hunting.incident_start_time
-
威胁狩猎启动的时间。
类型:日期
-
cisco.amp.file.attack_details.indicators
-
与检测到的漏洞利用匹配的不同指标类型,例如不同的 MITRE 战术。
类型:扁平化
-
cisco.amp.threat_hunting.tactics
-
与发现的事件相关的所有 MITRE 战术列表。
类型:扁平化
-
cisco.amp.threat_hunting.techniques
-
与发现的事件相关的所有 MITRE 技术列表。
类型:扁平化
-
cisco.amp.tactics
-
与发现的事件相关的所有 MITRE 战术列表。
类型:扁平化
-
cisco.amp.mitre_tactics
-
所有相关 mitre 战术 ID 的数组
类型:关键字
-
cisco.amp.techniques
-
与发现的事件相关的所有 MITRE 技术列表。
类型:扁平化
-
cisco.amp.mitre_techniques
-
所有相关 mitre 技术 ID 的数组
类型:关键字
-
cisco.amp.command_line.arguments
-
思科报告的云威胁 IOC 相关的 CLI 参数。
类型:关键字
-
cisco.amp.bp_data
-
端点隔离信息
类型:扁平化
思科 ASA 防火墙字段。
-
cisco.asa.message_id
-
思科 ASA 消息标识符。
类型:关键字
-
cisco.asa.suffix
-
%ASA 标识符后的可选后缀。
类型:关键字
示例:session
-
cisco.asa.source_interface
-
流或事件的源接口。
类型:关键字
-
cisco.asa.destination_interface
-
流或事件的目标接口。
类型:关键字
-
cisco.asa.rule_name
-
与该事件匹配的访问控制列表规则的名称。
类型:关键字
-
cisco.asa.source_username
-
作为此事件源的用户名称。
类型:关键字
-
cisco.asa.source_user_security_group_tag
-
源用户的安全组标签。安全组标签是 16 位标识符,用于表示逻辑组权限。
类型:长整型
-
cisco.asa.destination_username
-
作为此事件目标的用户名称。
类型:关键字
-
cisco.asa.destination_user_security_group_tag
-
目标用户的安全组标签。安全组标签是 16 位标识符,用于表示逻辑组权限。
类型:长整型
-
cisco.asa.mapped_source_ip
-
转换后的源 IP 地址。
类型:IP 地址
-
cisco.asa.mapped_source_host
-
转换后的源主机。
类型:关键字
-
cisco.asa.mapped_source_port
-
转换后的源端口。
类型:长整型
-
cisco.asa.mapped_destination_ip
-
转换后的目标 IP 地址。
类型:IP 地址
-
cisco.asa.mapped_destination_host
-
转换后的目标主机。
类型:关键字
-
cisco.asa.mapped_destination_port
-
转换后的目标端口。
类型:长整型
-
cisco.asa.threat_level
-
恶意软件/僵尸网络流量的威胁级别。极低、低、中等、高或极高。
类型:关键字
-
cisco.asa.threat_category
-
恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、特洛伊木马等。
类型:关键字
-
cisco.asa.connection_id
-
流的唯一标识符。
类型:关键字
-
cisco.asa.icmp_type
-
ICMP 类型。
类型:短整型
-
cisco.asa.icmp_code
-
ICMP 代码。
类型:短整型
-
cisco.asa.connection_type
-
VPN 连接类型
类型:关键字
-
cisco.asa.dap_records
-
分配的 DAP 记录
类型:关键字
-
cisco.asa.command_line_arguments
-
本地审计日志记录的命令行参数
类型:关键字
-
cisco.asa.assigned_ip
-
成功连接的 VPN 客户端分配的 IP 地址
类型:IP 地址
-
cisco.asa.privilege.old
-
更改用户权限时,这是旧值
类型:关键字
-
cisco.asa.privilege.new
-
更改用户权限时,这是新值
类型:关键字
-
cisco.asa.burst.object
-
突发警告的相关对象
类型:关键字
-
cisco.asa.burst.id
-
突发警告的相关速率 ID
类型:关键字
-
cisco.asa.burst.current_rate
-
当前看到的突发速率
类型:关键字
-
cisco.asa.burst.configured_rate
-
当前配置的突发速率
类型:关键字
-
cisco.asa.burst.avg_rate
-
当前看到的平均突发速率
类型:关键字
-
cisco.asa.burst.configured_avg_rate
-
当前配置的允许平均突发速率
类型:关键字
-
cisco.asa.burst.cumulative_count
-
自对象创建或清除以来突发速率命中总数
类型:关键字
-
cisco.asa.termination_user
-
请求终止的用户的 AAA 名称
类型:关键字
-
cisco.asa.webvpn.group_name
-
用户所属的 WebVPN 组名称
类型:关键字
-
cisco.asa.termination_initiator
-
启动拆除的一方的接口名称
类型:关键字
-
cisco.asa.tunnel_type
-
SA 类型(远程访问或 L2L)
类型:关键字
-
cisco.asa.session_type
-
会话类型(例如,IPsec 或 UDP)
类型:关键字
思科 Firepower 威胁防御防火墙字段。
-
cisco.ftd.message_id
-
思科 FTD 消息标识符。
类型:关键字
-
cisco.ftd.suffix
-
%FTD 标识符后的可选后缀。
类型:关键字
示例:session
-
cisco.ftd.source_interface
-
流或事件的源接口。
类型:关键字
-
cisco.ftd.destination_interface
-
流或事件的目标接口。
类型:关键字
-
cisco.ftd.rule_name
-
与该事件匹配的访问控制列表规则的名称。
类型:关键字
-
cisco.ftd.source_username
-
作为此事件源的用户名称。
类型:关键字
-
cisco.ftd.destination_username
-
作为此事件目标的用户名称。
类型:关键字
-
cisco.ftd.mapped_source_ip
-
转换后的源 IP 地址。使用 ECS source.nat.ip。
类型:IP 地址
-
cisco.ftd.mapped_source_host
-
转换后的源主机。
类型:关键字
-
cisco.ftd.mapped_source_port
-
转换后的源端口。使用 ECS source.nat.port。
类型:长整型
-
cisco.ftd.mapped_destination_ip
-
转换后的目标 IP 地址。使用 ECS destination.nat.ip。
类型:IP 地址
-
cisco.ftd.mapped_destination_host
-
转换后的目标主机。
类型:关键字
-
cisco.ftd.mapped_destination_port
-
转换后的目标端口。使用 ECS destination.nat.port。
类型:长整型
-
cisco.ftd.threat_level
-
恶意软件/僵尸网络流量的威胁级别。极低、低、中等、高或极高。
类型:关键字
-
cisco.ftd.threat_category
-
恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、特洛伊木马等。
类型:关键字
-
cisco.ftd.connection_id
-
流的唯一标识符。
类型:关键字
-
cisco.ftd.icmp_type
-
ICMP 类型。
类型:短整型
-
cisco.ftd.icmp_code
-
ICMP 代码。
类型:短整型
-
cisco.ftd.security
-
安全事件的原始字段。
类型:对象
-
cisco.ftd.connection_type
-
VPN 连接类型
类型:关键字
-
cisco.ftd.dap_records
-
分配的 DAP 记录
类型:关键字
-
cisco.ftd.termination_user
-
请求终止的用户的 AAA 名称
类型:关键字
-
cisco.ftd.webvpn.group_name
-
用户所属的 WebVPN 组名称
类型:关键字
-
cisco.ftd.termination_initiator
-
启动拆除的一方的接口名称
类型:关键字
思科 IOS 日志字段。
-
cisco.ios.access_list
-
IP 访问列表的名称。
类型:关键字
-
cisco.ios.facility
-
消息引用的设备(例如,SNMP、SYS 等)。设备可以是硬件设备、协议或系统软件的模块。它表示系统消息的来源或原因。
类型:关键字
示例:SEC
思科 Umbrella 字段。
-
cisco.umbrella.identities
-
与事件相关的不同身份的数组。
类型:关键字
-
cisco.umbrella.categories
-
目标匹配的安全或内容类别。
类型:关键字
-
cisco.umbrella.policy_identity_type
-
与此请求匹配的第一个身份类型。在 3.0 及更高版本中可用。
类型:关键字
-
cisco.umbrella.identity_types
-
发出请求的身份类型。例如,漫游计算机或网络。
类型:关键字
-
cisco.umbrella.blocked_categories
-
导致目标被阻止的类别。在 4.0 及更高版本中可用。
类型:关键字
-
cisco.umbrella.content_type
-
Web 内容的类型,通常为 text/html。
类型:关键字
-
cisco.umbrella.sha_sha256
-
响应内容的十六进制摘要。
类型:关键字
-
cisco.umbrella.av_detections
-
根据在文件检查中使用的防病毒引擎的检测名称。
类型:关键字
-
cisco.umbrella.puas
-
防病毒扫描程序返回的所有潜在不需要的应用程序 (PUA) 结果列表。
类型:关键字
-
cisco.umbrella.amp_disposition
-
思科高级恶意软件防护 (AMP) 在 Umbrella 文件检查功能中对代理和扫描的文件的状态;可以是干净、恶意或未知。
类型:关键字
-
cisco.umbrella.amp_malware_name
-
如果为恶意软件,则为 AMP 确定的恶意软件名称。
类型:关键字
-
cisco.umbrella.amp_score
-
AMP 给出的恶意软件评分。此字段目前未使用,将为空白。
类型:关键字
-
cisco.umbrella.datacenter
-
处理用户生成流量的 Umbrella 数据中心名称。
类型:关键字
-
cisco.umbrella.origin_id
-
网络隧道的唯一标识。
类型:关键字