Cisco 字段

用于处理 Cisco 网络设备日志的模块。

cisco.amp

用于解析 Cisco AMP 日志的模块。

cisco.amp.timestamp_nanoseconds

以 Epoch 纳秒为单位的时间戳。

类型:date

cisco.amp.event_type_id

事件的子 ID,取决于事件类型。

类型:keyword

cisco.amp.detection

检测到的恶意软件的名称。

类型:keyword

cisco.amp.detection_id

检测的 ID。

类型:keyword

cisco.amp.connector_guid

将信息发送到 AMP 的连接器的 GUID。

类型:keyword

cisco.amp.group_guids

与将信息发送到 AMP 的连接器相关的组 GUID 数组。

类型:keyword

cisco.amp.vulnerabilities

与恶意事件相关的漏洞数组。

类型:flattened

cisco.amp.scan.description

与启动扫描相关的事件的描述,例如特定目录名称。

类型:keyword

cisco.amp.scan.clean

扫描的文件是否干净的布尔值。

类型:boolean

cisco.amp.scan.scanned_files

在目录中扫描的文件数。

类型:long

cisco.amp.scan.scanned_processes

与单个扫描事件相关的扫描进程数。

类型:long

cisco.amp.scan.scanned_paths

与单个扫描事件相关的不同扫描目录数。

类型:long

cisco.amp.scan.malicious_detections

与单个扫描事件相关的检测到的恶意文件或文档数。

类型:long

cisco.amp.computer.connector_guid

连接器的 GUID,类似于顶级 connector_guid,但如果涉及多个连接器,则唯一。

类型:keyword

cisco.amp.computer.external_ip

相关主机的外部 IP。

类型:ip

cisco.amp.computer.active

当前端点是否处于活动状态。

类型:boolean

cisco.amp.computer.network_addresses

相关主机上的所有网络接口信息。

类型:flattened

cisco.amp.file.disposition

文件分类,例如“恶意”或“干净”。

类型:keyword

cisco.amp.network_info.disposition

与文件相关的网络事件的分类,例如“恶意”或“干净”。

类型:keyword

cisco.amp.network_info.nfm.direction

基于源 IP 和目标 IP 的当前方向。

类型:keyword

cisco.amp.related.mac

所有相关 MAC 地址的数组。

类型:keyword

cisco.amp.related.cve

所有相关 MAC 地址的数组。

类型:keyword

cisco.amp.cloud_ioc.description

来自 AMP 的特定 IOC 事件的相关 IOC 的描述。

类型:keyword

cisco.amp.cloud_ioc.short_description

来自 AMP 的特定 IOC 事件的相关 IOC 的简短描述。

类型:keyword

cisco.amp.network_info.parent.disposition

IOC 的分类,例如“恶意”或“干净”。

类型:keyword

cisco.amp.network_info.parent.identity.md5

相关 IOC 的 MD5 哈希。

类型:keyword

cisco.amp.network_info.parent.identity.sha1

相关 IOC 的 SHA1 哈希。

类型:keyword

cisco.amp.network_info.parent.identify.sha256

相关 IOC 的 SHA256 哈希。

类型:keyword

cisco.amp.file.archived_file.disposition

与文件相关的存档文件的分类,例如“恶意”或“干净”。

类型:keyword

cisco.amp.file.archived_file.identity.md5

与恶意事件相关的存档文件的 MD5 哈希。

类型:keyword

cisco.amp.file.archived_file.identity.sha1

与恶意事件相关的存档文件的 SHA1 哈希。

类型:keyword

cisco.amp.file.archived_file.identity.sha256

与恶意事件相关的存档文件的 SHA256 哈希。

类型:keyword

cisco.amp.file.attack_details.application

与漏洞利用防御事件相关的应用程序名称。

类型:keyword

cisco.amp.file.attack_details.attacked_module

被漏洞利用防御攻击和检测到的可执行文件或 dll 的路径。

类型:keyword

cisco.amp.file.attack_details.base_address

与检测到的漏洞利用相关的基本内存地址。

类型:keyword

cisco.amp.file.attack_details.suspicious_files

当漏洞利用防御检测到攻击时,相关文件的数组。

类型:keyword

cisco.amp.file.parent.disposition

父级的分类,例如“恶意”或“干净”。

类型:keyword

cisco.amp.error.description

端点错误事件的描述。

类型:keyword

cisco.amp.error.error_code

描述相关错误事件的错误代码。

类型:keyword

cisco.amp.threat_hunting.severity

注册到恶意事件的威胁搜索的严重性结果。可以是低-严重。

类型:keyword

cisco.amp.threat_hunting.incident_report_guid

相关威胁搜索报告的 GUID。

类型:keyword

cisco.amp.threat_hunting.incident_hunt_guid

相关调查跟踪问题的 GUID。

类型:keyword

cisco.amp.threat_hunting.incident_title

与威胁搜索活动相关的事件标题。

类型:keyword

cisco.amp.threat_hunting.incident_summary

关于威胁搜索活动结果的摘要。

类型:keyword

cisco.amp.threat_hunting.incident_remediation

解决漏洞或受攻击主机的建议。

类型:keyword

cisco.amp.threat_hunting.incident_id

与威胁搜索活动相关的事件的 ID。

类型:keyword

cisco.amp.threat_hunting.incident_end_time

威胁搜索完成或关闭的时间。

类型:date

cisco.amp.threat_hunting.incident_start_time

威胁搜索启动的时间。

类型:date

cisco.amp.file.attack_details.indicators

与检测到的漏洞利用相匹配的不同指示器类型,例如不同的 MITRE 战术。

类型:flattened

cisco.amp.threat_hunting.tactics

与发现的事件相关的所有 MITRE 战术的列表。

类型:flattened

cisco.amp.threat_hunting.techniques

与发现的事件相关的所有 MITRE 技术列表。

类型:flattened

cisco.amp.tactics

与发现的事件相关的所有 MITRE 战术的列表。

类型:flattened

cisco.amp.mitre_tactics

所有相关 mitre 战术 ID 的数组

类型:keyword

cisco.amp.techniques

与发现的事件相关的所有 MITRE 技术列表。

类型:flattened

cisco.amp.mitre_techniques

所有相关 mitre 技术 ID 的数组

类型:keyword

cisco.amp.command_line.arguments

与 Cisco 报告的云威胁 IOC 相关的 CLI 参数。

类型:keyword

cisco.amp.bp_data

端点隔离信息

类型:flattened

cisco.asa

Cisco ASA 防火墙的字段。

cisco.asa.message_id

Cisco ASA 消息标识符。

类型:keyword

cisco.asa.suffix

%ASA 标识符之后的可选后缀。

类型:keyword

示例:session

cisco.asa.source_interface

流或事件的源接口。

类型:keyword

cisco.asa.destination_interface

流或事件的目标接口。

类型:keyword

cisco.asa.rule_name

与此事件匹配的访问控制列表规则的名称。

类型:keyword

cisco.asa.source_username

作为此事件的源的用户的名称。

类型:keyword

cisco.asa.source_user_security_group_tag

源用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。

类型:long

cisco.asa.destination_username

作为此事件的目标的用户的名称。

类型:keyword

cisco.asa.destination_user_security_group_tag

目标用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。

类型:long

cisco.asa.mapped_source_ip

转换后的源 IP 地址。

类型:ip

cisco.asa.mapped_source_host

转换后的源主机。

类型:keyword

cisco.asa.mapped_source_port

转换后的源端口。

类型:long

cisco.asa.mapped_destination_ip

转换后的目标 IP 地址。

类型:ip

cisco.asa.mapped_destination_host

转换后的目标主机。

类型:keyword

cisco.asa.mapped_destination_port

转换后的目标端口。

类型:long

cisco.asa.threat_level

恶意软件/僵尸网络流量的威胁级别。可以是 very-low、low、moderate、high 或 very-high 之一。

类型:keyword

cisco.asa.threat_category

恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、木马等。

类型:keyword

cisco.asa.connection_id

流的唯一标识符。

类型:keyword

cisco.asa.icmp_type

ICMP 类型。

类型:short

cisco.asa.icmp_code

ICMP 代码。

类型:short

cisco.asa.connection_type

VPN 连接类型

类型:keyword

cisco.asa.dap_records

分配的 DAP 记录

类型:keyword

cisco.asa.command_line_arguments

本地审核日志记录的命令行参数

类型:keyword

cisco.asa.assigned_ip

成功连接的 VPN 客户端分配的 IP 地址

类型:ip

cisco.asa.privilege.old

当用户的权限更改时,这是旧值

类型:keyword

cisco.asa.privilege.new

当用户的权限更改时,这是新值

类型:keyword

cisco.asa.burst.object

与突发警告相关的对象

类型:keyword

cisco.asa.burst.id

与突发警告相关的速率 ID

类型:keyword

cisco.asa.burst.current_rate

看到的当前突发速率

类型:keyword

cisco.asa.burst.configured_rate

当前配置的突发速率

类型:keyword

cisco.asa.burst.avg_rate

看到的当前平均突发速率

类型:keyword

cisco.asa.burst.configured_avg_rate

当前配置的允许的平均突发速率

类型:keyword

cisco.asa.burst.cumulative_count

自创建或清除对象以来,突发速率命中的总计数

类型:keyword

cisco.asa.termination_user

请求终止的用户的 AAA 名称

类型:keyword

cisco.asa.webvpn.group_name

用户所属的 WebVPN 组名称

类型:keyword

cisco.asa.termination_initiator

启动拆卸的一侧的接口名称

类型:keyword

cisco.asa.tunnel_type

SA 类型(远程访问或 L2L)

类型:keyword

cisco.asa.session_type

会话类型(例如,IPsec 或 UDP)

类型:keyword

cisco.ftd

Cisco Firepower Threat Defense 防火墙的字段。

cisco.ftd.message_id

Cisco FTD 消息标识符。

类型:keyword

cisco.ftd.suffix

%FTD 标识符之后的可选后缀。

类型:keyword

示例:session

cisco.ftd.source_interface

流或事件的源接口。

类型:keyword

cisco.ftd.destination_interface

流或事件的目标接口。

类型:keyword

cisco.ftd.rule_name

与此事件匹配的访问控制列表规则的名称。

类型:keyword

cisco.ftd.source_username

作为此事件的源的用户的名称。

类型:keyword

cisco.ftd.destination_username

作为此事件的目标的用户的名称。

类型:keyword

cisco.ftd.mapped_source_ip

转换后的源 IP 地址。使用 ECS source.nat.ip。

类型:ip

cisco.ftd.mapped_source_host

转换后的源主机。

类型:keyword

cisco.ftd.mapped_source_port

转换后的源端口。使用 ECS source.nat.port。

类型:long

cisco.ftd.mapped_destination_ip

转换后的目标 IP 地址。使用 ECS destination.nat.ip。

类型:ip

cisco.ftd.mapped_destination_host

转换后的目标主机。

类型:keyword

cisco.ftd.mapped_destination_port

转换后的目标端口。使用 ECS destination.nat.port。

类型:long

cisco.ftd.threat_level

恶意软件/僵尸网络流量的威胁级别。可以是 very-low、low、moderate、high 或 very-high 之一。

类型:keyword

cisco.ftd.threat_category

恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、木马等。

类型:keyword

cisco.ftd.connection_id

流的唯一标识符。

类型:keyword

cisco.ftd.icmp_type

ICMP 类型。

类型:short

cisco.ftd.icmp_code

ICMP 代码。

类型:short

cisco.ftd.security

安全事件的原始字段。

类型:object

cisco.ftd.connection_type

VPN 连接类型

类型:keyword

cisco.ftd.dap_records

分配的 DAP 记录

类型:keyword

cisco.ftd.termination_user

请求终止的用户的 AAA 名称

类型:keyword

cisco.ftd.webvpn.group_name

用户所属的 WebVPN 组名称

类型:keyword

cisco.ftd.termination_initiator

启动拆卸的一侧的接口名称

类型:keyword

cisco.ios

Cisco IOS 日志的字段。

cisco.ios.access_list

IP 访问列表的名称。

类型:keyword

cisco.ios.facility

消息引用的工具(例如,SNMP、SYS 等)。工具可以是硬件设备、协议或系统软件模块。它表示系统消息的来源或原因。

类型:keyword

示例:SEC

cisco.umbrella

Cisco Umbrella 的字段。

cisco.umbrella.identities

与事件相关的不同身份的数组。

类型:keyword

cisco.umbrella.categories

目标匹配的安全或内容类别。

类型:keyword

cisco.umbrella.policy_identity_type

与此请求匹配的第一个身份类型。在版本 3 及更高版本中可用。

类型:keyword

cisco.umbrella.identity_types

发出请求的身份类型。例如,漫游计算机或网络。

类型:keyword

cisco.umbrella.blocked_categories

导致目标被阻止的类别。在版本 4 及更高版本中可用。

类型:keyword

cisco.umbrella.content_type

Web 内容的类型,通常为 text/html。

类型:keyword

cisco.umbrella.sha_sha256

响应内容的十六进制摘要。

类型:keyword

cisco.umbrella.av_detections

根据文件检查中使用的防病毒引擎给出的检测名称。

类型:keyword

cisco.umbrella.puas

防病毒扫描程序返回的代理文件的所有潜在有害应用程序 (PUA) 结果列表。

类型:keyword

cisco.umbrella.amp_disposition

由 Cisco 高级恶意软件防护 (AMP) 作为 Umbrella 文件检查功能一部分代理和扫描的文件的状态;可以是“安全”、“恶意”或“未知”。

类型:keyword

cisco.umbrella.amp_malware_name

如果为“恶意”,则为 AMP 提供的恶意软件名称。

类型:keyword

cisco.umbrella.amp_score

来自 AMP 的恶意软件得分。此字段目前未使用,将为空白。

类型:keyword

cisco.umbrella.datacenter

处理用户生成流量的 Umbrella 数据中心的名称。

类型:keyword

cisco.umbrella.origin_id

网络隧道的唯一标识符。

类型:keyword