用于处理来自 MISP 的威胁信息的模块。
来自 MISP 威胁信息的字段。
字段提供对指定有关攻击模式的信息的支持。
-
misp.attack_pattern.id -
威胁指标的标识符。
类型:keyword
-
misp.attack_pattern.name -
攻击模式的名称。
类型:keyword
-
misp.attack_pattern.description -
攻击模式的描述。
类型:text
-
misp.attack_pattern.kill_chain_phases -
此攻击模式对应的杀伤链阶段。
类型:keyword
字段提供对指定有关活动的信息的支持。
-
misp.campaign.id -
活动的标识符。
类型:keyword
-
misp.campaign.name -
活动的名称。
类型:keyword
-
misp.campaign.description -
活动的描述。
类型:text
-
misp.campaign.aliases -
用于标识此活动的替代名称。
类型:text
-
misp.campaign.first_seen -
首次发现此活动的时间,采用 RFC3339 格式。
类型:date
-
misp.campaign.last_seen -
最后一次发现此活动的时间,采用 RFC3339 格式。
类型:date
-
misp.campaign.objective -
此字段定义了活动的首要目标、目的、预期结果或预期影响。
类型:keyword
行动方案是在采取措施防止攻击或应对正在进行的攻击时采取的行动。
-
misp.course_of_action.id -
行动方案的标识符。
类型:keyword
-
misp.course_of_action.name -
用于标识行动方案的名称。
类型:keyword
-
misp.course_of_action.description -
行动方案的描述。
类型:text
身份可以代表实际的个人、组织或团体,以及个人、组织或团体的类别。
-
misp.identity.id -
身份的标识符。
类型:keyword
-
misp.identity.name -
用于标识身份的名称。
类型:keyword
-
misp.identity.description -
身份的描述。
类型:text
-
misp.identity.identity_class -
此身份描述的实体类型,例如个人或组织。开放词汇表 - identity-class-ov
类型:keyword
-
misp.identity.labels -
此身份执行的角色列表。
类型:keyword
示例:CEO
-
misp.identity.sectors -
此身份所属的行业部门列表。开放词汇表 - industry-sector-ov
类型:keyword
-
misp.identity.contact_information -
此身份的联系信息(电子邮件、电话号码等)。
类型:text
入侵集是一组具有共同属性的攻击者行为和资源,据信是由单个组织策划的。
-
misp.intrusion_set.id -
入侵集的标识符。
类型:keyword
-
misp.intrusion_set.name -
用于标识入侵集的名称。
类型:keyword
-
misp.intrusion_set.description -
入侵集的描述。
类型:text
-
misp.intrusion_set.aliases -
用于标识入侵集的替代名称。
类型:text
-
misp.intrusion_set.first_seen -
首次发现此入侵集的时间,采用 RFC3339 格式。
类型:date
-
misp.intrusion_set.last_seen -
最后一次发现此入侵集的时间,采用 RFC3339 格式。
类型:date
-
misp.intrusion_set.goals -
此入侵集的高级目标,即他们试图做什么。
类型:text
-
misp.intrusion_set.resource_level -
这定义了此入侵集通常工作的组织级别。开放词汇表 - attack-resource-level-ov
类型:text
-
misp.intrusion_set.primary_motivation -
此入侵集背后的主要原因、动机或目的。开放词汇表 - attack-motivation-ov
类型:text
-
misp.intrusion_set.secondary_motivations -
此入侵集背后的次要原因、动机或目的。开放词汇表 - attack-motivation-ov
类型:text
恶意软件是一种 TTP 类型,也称为恶意代码和恶意软件,指的是插入系统(通常是秘密插入)的程序,目的是损害受害者数据的机密性、完整性或可用性,应用程序或操作系统 (OS),或以其他方式烦扰或干扰受害者。
-
misp.malware.id -
恶意软件的标识符。
类型:keyword
-
misp.malware.name -
用于标识恶意软件的名称。
类型:keyword
-
misp.malware.description -
恶意软件的描述。
类型:text
-
misp.malware.labels -
所描述的恶意软件类型。开放词汇表 - malware-label-ov。广告软件、后门、机器人、ddos、投放器、漏洞利用工具包、键盘记录器、勒索软件、远程访问木马、资源利用、流氓安全软件、rootkit、屏幕截图、间谍软件、木马、病毒、蠕虫
类型:keyword
-
misp.malware.kill_chain_phases -
此恶意软件实例可用于的杀伤链阶段列表。
类型:keyword
格式:string
注释是包含信息文本的评论或注释,有助于解释一个或多个 STIX 对象 (SDO 或 SRO) 的上下文,或提供原始对象中未包含的其他分析。
-
misp.note.id -
注释的标识符。
类型:keyword
-
misp.note.summary -
用作注释摘要的简短描述。
类型:keyword
-
misp.note.description -
注释的内容。
类型:text
-
misp.note.authors -
此注释作者的姓名。
类型:keyword
-
misp.note.object_refs -
正在应用注释的 STIX 对象 (SDO 和 SRO)。
类型:keyword
字段提供对指定有关威胁指标和相关匹配模式的信息的支持。
-
misp.threat_indicator.labels -
指定指标类型的开放词汇表类型列表。
类型:keyword
示例:域名监视列表
-
misp.threat_indicator.id -
威胁指标的标识符。
类型:keyword
-
misp.threat_indicator.version -
威胁指标的版本。
类型:keyword
-
misp.threat_indicator.type -
威胁指标的类型。
类型:keyword
-
misp.threat_indicator.description -
威胁指标的描述。
类型:text
-
misp.threat_indicator.feed -
威胁源的名称。
类型:text
-
misp.threat_indicator.valid_from -
从此指标应被视为有价值的情报的时间开始,采用 RFC3339 格式。
类型:date
-
misp.threat_indicator.valid_until -
此指标不再应被视为有价值的情报的时间。如果省略 valid_until 属性,则对指标应使用的最新时间没有约束,采用 RFC3339 格式。
类型:date
-
misp.threat_indicator.severity -
此指标对应的威胁严重程度。
类型:keyword
示例:高
格式:string
-
misp.threat_indicator.confidence -
此指标对应的置信度级别。
类型:keyword
示例:高
-
misp.threat_indicator.kill_chain_phases -
此指标对应的杀伤链阶段。
类型:keyword
格式:string
-
misp.threat_indicator.mitre_tactic -
此指标对应的 MITRE 战术。
类型:keyword
示例:初始访问
格式:string
-
misp.threat_indicator.mitre_technique -
此指标对应的 MITRE 技术。
类型:keyword
示例:驾车式入侵
格式:string
-
misp.threat_indicator.attack_pattern -
此指标的 attack_pattern 是 STIX 版本 2.0 第 5 部分 - STIX 模式中指定的 STIX 模式。
类型:keyword
示例:[destination:ip = 91.219.29.188/32]
-
misp.threat_indicator.attack_pattern_kql -
此指标的 attack_pattern 是与 STIX 模式格式中指定的 attack_pattern 匹配的 KQL 查询。
类型:keyword
示例:destination.ip: "91.219.29.188/32"
-
misp.threat_indicator.negate -
设置为 true 时,表示 attack_pattern 不存在。
类型:boolean
-
misp.threat_indicator.intrusion_set -
如果已知,则为入侵集的名称。
类型:keyword
-
misp.threat_indicator.campaign -
如果已知,则为攻击活动的名称。
类型:keyword
-
misp.threat_indicator.threat_actor -
如果已知,则为威胁参与者的名称。
类型:keyword
观察到的数据传达在系统和网络上观察到的信息,例如日志数据或网络流量,使用 Cyber Observable 规范。
-
misp.observed_data.id -
观察到的数据的标识符。
类型:keyword
-
misp.observed_data.first_observed -
观察到数据的时间窗口的开始,采用 RFC3339 格式。
类型:date
-
misp.observed_data.last_observed -
观察到数据的时间窗口的结束,采用 RFC3339 格式。
类型:date
-
misp.observed_data.number_observed -
对象属性中表示的数据被观察到的次数。这必须是介于 1 和 999,999,999(含)之间的整数。
类型:integer
-
misp.observed_data.objects -
描述观察到的单个事实的网络可观察对象字典。
类型:keyword
报告是专注于一个或多个主题的威胁情报集合,例如威胁参与者、恶意软件或攻击技术的描述,包括上下文和相关详细信息。
-
misp.report.id -
报告的标识符。
类型:keyword
-
misp.report.labels -
此字段是开放词汇表,指定此报告的主要主题。开放词汇表 - report-label-ov。威胁报告、攻击模式、活动、身份、指标、恶意软件、观察到的数据、威胁参与者、工具、漏洞
类型:keyword
-
misp.report.name -
用于标识报告的名称。
类型:keyword
-
misp.report.description -
提供有关报告的更多详细信息和上下文的描述。
类型:text
-
misp.report.published -
此报告对象由报告创建者正式发布的日期,采用 RFC3339 格式。
类型:date
-
misp.report.object_refs -
指定此报告引用的 STIX 对象。
类型:text
威胁参与者是据信怀有恶意意图的实际个人、团体或组织。
-
misp.threat_actor.id -
威胁参与者的标识符。
类型:keyword
-
misp.threat_actor.labels -
此字段指定威胁参与者的类型。开放词汇表 - threat-actor-label-ov。活动家、竞争对手、犯罪集团、罪犯、黑客、意外内部人员、心怀不满的内部人员、民族国家、哗众取宠者、间谍、恐怖分子
类型:keyword
-
misp.threat_actor.name -
用于标识此威胁参与者或威胁参与者组的名称。
类型:keyword
-
misp.threat_actor.description -
提供关于威胁行为者更多详细信息和背景信息。
类型:text
-
misp.threat_actor.aliases -
此威胁行为者据信使用的其他名称列表。
类型:text
-
misp.threat_actor.roles -
这是威胁行为者扮演的角色列表。开放词汇表 - threat-actor-role-ov. 代理、主管、独立、赞助者、基础设施运营商、基础设施架构师、恶意软件作者
类型:text
-
misp.threat_actor.goals -
此威胁行为者的高级目标,即他们试图做什么。
类型:text
-
misp.threat_actor.sophistication -
威胁行为者必须具备的执行攻击的技能、特定知识、特殊培训或专业知识。开放词汇表 - threat-actor-sophistication-ov. 无、最低、中等、高级、战略级、专家级、创新者
类型:text
-
misp.threat_actor.resource_level -
这定义了此威胁行为者通常工作的组织级别。开放词汇表 - attack-resource-level-ov. 个人、俱乐部、竞赛、团队、组织、政府
类型:text
-
misp.threat_actor.primary_motivation -
此威胁行为者背后的主要原因、动机或目的。开放词汇表 - attack-motivation-ov. 意外、胁迫、支配、意识形态、臭名昭著、组织利益、个人利益、个人满足感、报复、不可预测
类型:text
-
misp.threat_actor.secondary_motivations -
此威胁行为者背后的次要原因、动机或目的。开放词汇表 - attack-motivation-ov. 意外、胁迫、支配、意识形态、臭名昭著、组织利益、个人利益、个人满足感、报复、不可预测
类型:text
-
misp.threat_actor.personal_motivations -
无论组织目标如何,威胁行为者的个人原因、动机或目的。开放词汇表 - attack-motivation-ov. 意外、胁迫、支配、意识形态、臭名昭著、组织利益、个人利益、个人满足感、报复、不可预测
类型:text
工具是合法软件,威胁行为者可以使用它们来执行攻击。
-
misp.tool.id -
工具的标识符。
类型:keyword
-
misp.tool.labels -
所描述的工具类型。开放词汇表 - tool-label-ov. 拒绝服务、利用、信息收集、网络捕获、凭据利用、远程访问、漏洞扫描
类型:keyword
-
misp.tool.name -
用于识别工具的名称。
类型:keyword
-
misp.tool.description -
提供关于工具更多详细信息和背景信息。
类型:text
-
misp.tool.tool_version -
与工具关联的版本标识符。
类型:keyword
-
misp.tool.kill_chain_phases -
此工具实例可用于的杀伤链阶段列表。
类型:text
漏洞是软件中的错误,黑客可以直接利用它来访问系统或网络。
-
misp.vulnerability.id -
漏洞的标识符。
类型:keyword
-
misp.vulnerability.name -
用于识别漏洞的名称。
类型:keyword
-
misp.vulnerability.description -
提供关于漏洞更多详细信息和背景信息。
类型:text