威胁情报 Filebeat 模块。
-
threat.indicator.file.hash.tlsh -
文件的导入 tlsh,如果可用。
类型:keyword
-
threat.indicator.file.hash.sha384 -
文件的 sha384 哈希值,如果可用。
类型:keyword
-
threat.feed.name -
类型:keyword
-
threat.feed.dashboard_id -
类型:keyword
AbuseCH 恶意软件威胁情报字段
-
abusech.malware.file_type -
URLhaus 推测的文件类型。
类型:keyword
-
abusech.malware.signature -
恶意软件家族。
类型:keyword
-
abusech.malware.urlhaus_download -
可以下载此文件副本的位置(URL)。
类型:keyword
-
abusech.malware.virustotal.result -
AV 检测比率。
类型:keyword
-
abusech.malware.virustotal.percent -
AV 检测百分比。
类型:float
-
abusech.malware.virustotal.link -
到 VirusTotal 报告的链接。
类型:keyword
AbuseCH 恶意软件威胁情报字段
-
abusech.url.id -
URL 的 ID。
类型:keyword
-
abusech.url.urlhaus_reference -
到 URLhaus 条目的链接。
类型:keyword
-
abusech.url.url_status -
URL 的当前状态。可能的值为:online、offline 和 unknown。
类型:keyword
-
abusech.url.threat -
与该恶意软件 URL 对应的威胁。
类型:keyword
-
abusech.url.blacklists.surbl -
SURBL 黑名单状态。可能的值为:listed 和 not_listed
类型:keyword
-
abusech.url.blacklists.spamhaus_dbl -
Spamhaus DBL 黑名单状态。
类型:keyword
-
abusech.url.reporter -
报告该恶意软件 URL 的报告者的 Twitter 句柄(或匿名)。
类型:keyword
-
abusech.url.larted -
指示是否已将恶意软件 URL 报告给托管服务提供商(true 或 false)
类型:boolean
-
abusech.url.tags -
与查询的恶意软件 URL 关联的一系列标签
类型:keyword
Anomali 威胁情报字段
-
anomali.limo.id -
指示器的 ID。
类型:keyword
-
anomali.limo.name -
指示器的名称。
类型:keyword
-
anomali.limo.pattern -
指示器的模式 ID。
类型:keyword
-
anomali.limo.valid_from -
首次发现指示器或被视为有效的时间。
类型:date
-
anomali.limo.modified -
指示器上次修改的时间
类型:date
-
anomali.limo.labels -
与指示器相关的标签
类型:keyword
-
anomali.limo.indicator -
指示器的值,例如,如果类型是域,则此为该值。
类型:keyword
-
anomali.limo.description -
指示器的描述。
类型:keyword
-
anomali.limo.title -
描述指示器的标题。
类型:keyword
-
anomali.limo.content -
与指示器相关的额外文本或描述性内容。
类型:keyword
-
anomali.limo.type -
指示器类型,例如可以是“domain、email、FileHash-SHA256”。
类型:keyword
-
anomali.limo.object_marking_refs -
STIX 参考对象。
类型:keyword
Anomali ThreatStream 字段
-
anomali.threatstream.classification -
指示指示器是私有的还是来自公共提要并公开可用。可能的值:private、public。
类型:keyword
示例:private
-
anomali.threatstream.confidence -
ThreatStream 的预测分析技术为指示器分配的准确性度量(从 0 到 100)。
类型:short
-
anomali.threatstream.detail2 -
指示器的详细信息文本。
类型:text
示例:由用户 42 导入。
-
anomali.threatstream.id -
指示器的 ID。
类型:keyword
-
anomali.threatstream.import_session_id -
在 ThreatStream 上创建指示器的导入会话的 ID。
类型:keyword
-
anomali.threatstream.itype -
指示器类型。可能的值:“apt_domain”、“apt_email”、“apt_ip”、“apt_url”、“bot_ip”、“c2_domain”、“c2_ip”、“c2_url”、“i2p_ip”、“mal_domain”、“mal_email”、“mal_ip”、“mal_md5”、“mal_url”、“parked_ip”、“phish_email”、“phish_ip”、“phish_url”、“scan_ip”、“spam_domain”、“ssh_ip”、“suspicious_domain”、“tor_ip” 和 “torrent_tracker_url”。
类型:keyword
-
anomali.threatstream.maltype -
有关恶意软件家族、CVE ID 或其他攻击或威胁的信息,与指示器相关。
类型:wildcard
-
anomali.threatstream.md5 -
指示器的哈希值。
类型:keyword
-
anomali.threatstream.resource_uri -
指示器详细信息的相对 URI。
类型:keyword
-
anomali.threatstream.severity -
与提供指示器的威胁提要相关的严重性。可能的值:low、medium、high、very-high。
类型:keyword
-
anomali.threatstream.source -
指示器的来源。
类型:keyword
示例:分析师
-
anomali.threatstream.source_feed_id -
集成源的 ID。
类型:keyword
-
anomali.threatstream.state -
此指示器的状态。
类型:keyword
示例:active
-
anomali.threatstream.trusted_circle_ids -
导入指示器的信任圈的 ID。
类型:keyword
-
anomali.threatstream.update_id -
更新 ID。
类型:keyword
-
anomali.threatstream.url -
指示器的 URL。
类型:keyword
-
anomali.threatstream.value_type -
指示器的的数据类型。可能的值:ip、domain、url、email、md5。
类型:keyword
恶意软件集市威胁情报字段
-
abusech.malwarebazaar.file_type -
恶意软件集市推测的文件类型。
类型:keyword
-
abusech.malwarebazaar.signature -
恶意软件家族。
类型:keyword
-
abusech.malwarebazaar.tags -
与查询的恶意软件样本关联的一系列标签。
类型:keyword
-
abusech.malwarebazaar.intelligence.downloads -
来自恶意软件集市的下载次数。
类型:long
-
abusech.malwarebazaar.intelligence.uploads -
来自恶意软件集市的上传次数。
类型:long
-
abusech.malwarebazaar.intelligence.mail.Generic -
在通用垃圾邮件流量中看到的恶意软件。
类型:keyword
-
abusech.malwarebazaar.intelligence.mail.IT -
在 IT 垃圾邮件流量中看到的恶意软件。
类型:keyword
-
abusech.malwarebazaar.anonymous -
标识样本是否匿名提交。
类型:long
-
abusech.malwarebazaar.code_sign -
样本的代码签名信息。
类型:nested
MISP 威胁情报字段
-
misp.id -
属性 ID。
类型:keyword
-
misp.orgc_id -
事件的组织社区 ID。
类型:keyword
-
misp.org_id -
事件的组织 ID。
类型:keyword
-
misp.threat_level_id -
威胁级别,从 5 到 1,其中 1 为最严重。
类型:long
-
misp.info -
与事件相关的其他文本或信息。
类型:keyword
-
misp.published -
事件发布的时间。
类型:boolean
-
misp.uuid -
事件对象的 UUID。
类型:keyword
-
misp.date -
创建事件对象的时间。
类型:date
-
misp.attribute_count -
单个事件对象中包含多少个属性。
类型:long
-
misp.timestamp -
创建事件对象的时间戳。
类型:date
-
misp.distribution -
与 MISP 相关的分发类型。
类型:keyword
-
misp.proposal_email_lock -
在 MISP 上为该事件对象配置的电子邮件锁定设置。
类型:boolean
-
misp.locked -
当前 MISP 事件对象是否已锁定。
类型:boolean
-
misp.publish_timestamp -
事件对象发布的时间。
类型:date
-
misp.sharing_group_id -
事件的分组事件或来源的 ID。
类型:keyword
-
misp.disable_correlation -
是否在 MISP 事件对象上禁用关联。
类型:boolean
-
misp.extends_uuid -
它可能扩展的事件对象的 UUID。
类型:keyword
-
misp.org.id -
与事件对象相关的组织 ID。
类型:keyword
-
misp.org.name -
与事件对象相关的组织名称。
类型:keyword
-
misp.org.uuid -
与事件对象相关的组织的 UUID。
类型:keyword
-
misp.org.local -
事件对象是本地的还是来自远程来源。
类型:boolean
-
misp.orgc.id -
报告事件对象的组织社区 ID。
类型:keyword
-
misp.orgc.name -
报告事件对象的组织社区名称。
类型:keyword
-
misp.orgc.uuid -
报告事件对象的组织社区 UUID。
类型:keyword
-
misp.orgc.local -
组织社区是本地的还是从远程来源同步的。
类型:boolean
-
misp.attribute.id -
与事件对象相关的属性的 ID。
类型:keyword
-
misp.attribute.type -
与事件对象相关的属性的类型。例如 email、ipv4、sha1 等。
类型:keyword
-
misp.attribute.category -
与事件对象相关的属性的类别。例如“网络活动”。
类型:keyword
-
misp.attribute.to_ids -
属性是否应自动与 IDS 同步。
类型:boolean
-
misp.attribute.uuid -
与事件相关的属性的 UUID。
类型:keyword
-
misp.attribute.event_id -
与事件相关的属性的本地事件 ID。
类型:keyword
-
misp.attribute.distribution -
属性的分布方式,以整数表示。
类型:long
-
misp.attribute.timestamp -
将属性附加到事件对象的时间戳。
类型:date
-
misp.attribute.comment -
对属性本身的评论。
类型:keyword
-
misp.attribute.sharing_group_id -
与特定属性相关的共享组的组 ID。
类型:keyword
-
misp.attribute.deleted -
属性是否已从事件对象中删除。
类型:boolean
-
misp.attribute.disable_correlation -
是否已在与事件对象相关的属性上启用关联。
类型:boolean
-
misp.attribute.object_id -
附加属性的对象的 ID。
类型:keyword
-
misp.attribute.object_relation -
属性与事件对象本身的关系类型。
类型:keyword
-
misp.attribute.value -
属性的值,具体取决于类型,例如“url、sha1、email-src”。
类型:keyword
-
misp.context.attribute.id -
与事件对象相关的辅助属性的 ID。
类型:keyword
-
misp.context.attribute.type -
与事件对象相关的辅助属性的类型。例如 email、ipv4、sha1 等。
类型:keyword
-
misp.context.attribute.category -
与事件对象相关的辅助属性的类别。例如“网络活动”。
类型:keyword
-
misp.context.attribute.to_ids -
辅助属性是否应自动与 IDS 同步。
类型:boolean
-
misp.context.attribute.uuid -
与事件相关的辅助属性的 UUID。
类型:keyword
-
misp.context.attribute.event_id -
与事件相关的辅助属性的本地事件 ID。
类型:keyword
-
misp.context.attribute.distribution -
辅助属性的分布方式,以整数表示。
类型:long
-
misp.context.attribute.timestamp -
将辅助属性附加到事件对象的时间戳。
类型:date
-
misp.context.attribute.comment -
对辅助属性本身的评论。
类型:keyword
-
misp.context.attribute.sharing_group_id -
与特定辅助属性相关的共享组的组 ID。
类型:keyword
-
misp.context.attribute.deleted -
辅助属性是否已从事件对象中删除。
类型:boolean
-
misp.context.attribute.disable_correlation -
如果已在与事件对象相关的辅助属性上启用了关联。
类型:boolean
-
misp.context.attribute.object_id -
附加辅助属性的对象的ID。
类型:keyword
-
misp.context.attribute.object_relation -
辅助属性与事件对象本身的关系类型。
类型:keyword
-
misp.context.attribute.value -
属性的值,具体取决于类型,例如“url、sha1、email-src”。
类型:keyword
OTX 威胁情报字段
-
otx.id -
指示器的 ID。
类型:keyword
-
otx.indicator -
指示器的值,例如,如果类型是域,则此为该值。
类型:keyword
-
otx.description -
指示器的描述。
类型:keyword
-
otx.title -
描述指示器的标题。
类型:keyword
-
otx.content -
与指示器相关的额外文本或描述性内容。
类型:keyword
-
otx.type -
指示器类型,例如可以是“domain、email、FileHash-SHA256”。
类型:keyword
ThreatQ 威胁库字段
-
threatq.updated_at -
最后修改时间
类型:date
-
threatq.created_at -
对象创建时间
类型:date
-
threatq.expires_at -
过期时间
类型:date
-
threatq.expires_calculated_at -
过期计算时间
类型:date
-
threatq.published_at -
对象发布时间
类型:date
-
threatq.status -
对象在威胁库中的状态
类型:keyword
-
threatq.indicator_value -
原始指标值
类型:keyword
-
threatq.adversaries -
与对象关联的对手
类型:keyword
-
threatq.attributes -
这些提供了有关对象的更多上下文
类型:扁平化