用于处理 Cisco 网络设备日志的模块。
用于解析 Cisco AMP 日志的模块。
-
cisco.amp.timestamp_nanoseconds -
以 Epoch 纳秒为单位的时间戳。
类型:date
-
cisco.amp.event_type_id -
事件的子 ID,取决于事件类型。
类型:keyword
-
cisco.amp.detection -
检测到的恶意软件的名称。
类型:keyword
-
cisco.amp.detection_id -
检测的 ID。
类型:keyword
-
cisco.amp.connector_guid -
将信息发送到 AMP 的连接器的 GUID。
类型:keyword
-
cisco.amp.group_guids -
与将信息发送到 AMP 的连接器相关的组 GUID 数组。
类型:keyword
-
cisco.amp.vulnerabilities -
与恶意事件相关的漏洞数组。
类型:flattened
-
cisco.amp.scan.description -
与启动扫描相关的事件的描述,例如特定目录名称。
类型:keyword
-
cisco.amp.scan.clean -
扫描的文件是否干净的布尔值。
类型:boolean
-
cisco.amp.scan.scanned_files -
在目录中扫描的文件数。
类型:long
-
cisco.amp.scan.scanned_processes -
与单个扫描事件相关的扫描进程数。
类型:long
-
cisco.amp.scan.scanned_paths -
与单个扫描事件相关的不同扫描目录数。
类型:long
-
cisco.amp.scan.malicious_detections -
与单个扫描事件相关的检测到的恶意文件或文档数。
类型:long
-
cisco.amp.computer.connector_guid -
连接器的 GUID,类似于顶级 connector_guid,但如果涉及多个连接器,则唯一。
类型:keyword
-
cisco.amp.computer.external_ip -
相关主机的外部 IP。
类型:ip
-
cisco.amp.computer.active -
当前端点是否处于活动状态。
类型:boolean
-
cisco.amp.computer.network_addresses -
相关主机上的所有网络接口信息。
类型:flattened
-
cisco.amp.file.disposition -
文件分类,例如“恶意”或“干净”。
类型:keyword
-
cisco.amp.network_info.disposition -
与文件相关的网络事件的分类,例如“恶意”或“干净”。
类型:keyword
-
cisco.amp.network_info.nfm.direction -
基于源 IP 和目标 IP 的当前方向。
类型:keyword
-
cisco.amp.related.mac -
所有相关 MAC 地址的数组。
类型:keyword
-
cisco.amp.related.cve -
所有相关 MAC 地址的数组。
类型:keyword
-
cisco.amp.cloud_ioc.description -
来自 AMP 的特定 IOC 事件的相关 IOC 的描述。
类型:keyword
-
cisco.amp.cloud_ioc.short_description -
来自 AMP 的特定 IOC 事件的相关 IOC 的简短描述。
类型:keyword
-
cisco.amp.network_info.parent.disposition -
IOC 的分类,例如“恶意”或“干净”。
类型:keyword
-
cisco.amp.network_info.parent.identity.md5 -
相关 IOC 的 MD5 哈希。
类型:keyword
-
cisco.amp.network_info.parent.identity.sha1 -
相关 IOC 的 SHA1 哈希。
类型:keyword
-
cisco.amp.network_info.parent.identify.sha256 -
相关 IOC 的 SHA256 哈希。
类型:keyword
-
cisco.amp.file.archived_file.disposition -
与文件相关的存档文件的分类,例如“恶意”或“干净”。
类型:keyword
-
cisco.amp.file.archived_file.identity.md5 -
与恶意事件相关的存档文件的 MD5 哈希。
类型:keyword
-
cisco.amp.file.archived_file.identity.sha1 -
与恶意事件相关的存档文件的 SHA1 哈希。
类型:keyword
-
cisco.amp.file.archived_file.identity.sha256 -
与恶意事件相关的存档文件的 SHA256 哈希。
类型:keyword
-
cisco.amp.file.attack_details.application -
与漏洞利用防御事件相关的应用程序名称。
类型:keyword
-
cisco.amp.file.attack_details.attacked_module -
被漏洞利用防御攻击和检测到的可执行文件或 dll 的路径。
类型:keyword
-
cisco.amp.file.attack_details.base_address -
与检测到的漏洞利用相关的基本内存地址。
类型:keyword
-
cisco.amp.file.attack_details.suspicious_files -
当漏洞利用防御检测到攻击时,相关文件的数组。
类型:keyword
-
cisco.amp.file.parent.disposition -
父级的分类,例如“恶意”或“干净”。
类型:keyword
-
cisco.amp.error.description -
端点错误事件的描述。
类型:keyword
-
cisco.amp.error.error_code -
描述相关错误事件的错误代码。
类型:keyword
-
cisco.amp.threat_hunting.severity -
注册到恶意事件的威胁搜索的严重性结果。可以是低-严重。
类型:keyword
-
cisco.amp.threat_hunting.incident_report_guid -
相关威胁搜索报告的 GUID。
类型:keyword
-
cisco.amp.threat_hunting.incident_hunt_guid -
相关调查跟踪问题的 GUID。
类型:keyword
-
cisco.amp.threat_hunting.incident_title -
与威胁搜索活动相关的事件标题。
类型:keyword
-
cisco.amp.threat_hunting.incident_summary -
关于威胁搜索活动结果的摘要。
类型:keyword
-
cisco.amp.threat_hunting.incident_remediation -
解决漏洞或受攻击主机的建议。
类型:keyword
-
cisco.amp.threat_hunting.incident_id -
与威胁搜索活动相关的事件的 ID。
类型:keyword
-
cisco.amp.threat_hunting.incident_end_time -
威胁搜索完成或关闭的时间。
类型:date
-
cisco.amp.threat_hunting.incident_start_time -
威胁搜索启动的时间。
类型:date
-
cisco.amp.file.attack_details.indicators -
与检测到的漏洞利用相匹配的不同指示器类型,例如不同的 MITRE 战术。
类型:flattened
-
cisco.amp.threat_hunting.tactics -
与发现的事件相关的所有 MITRE 战术的列表。
类型:flattened
-
cisco.amp.threat_hunting.techniques -
与发现的事件相关的所有 MITRE 技术列表。
类型:flattened
-
cisco.amp.tactics -
与发现的事件相关的所有 MITRE 战术的列表。
类型:flattened
-
cisco.amp.mitre_tactics -
所有相关 mitre 战术 ID 的数组
类型:keyword
-
cisco.amp.techniques -
与发现的事件相关的所有 MITRE 技术列表。
类型:flattened
-
cisco.amp.mitre_techniques -
所有相关 mitre 技术 ID 的数组
类型:keyword
-
cisco.amp.command_line.arguments -
与 Cisco 报告的云威胁 IOC 相关的 CLI 参数。
类型:keyword
-
cisco.amp.bp_data -
端点隔离信息
类型:flattened
Cisco ASA 防火墙的字段。
-
cisco.asa.message_id -
Cisco ASA 消息标识符。
类型:keyword
-
cisco.asa.suffix -
%ASA 标识符之后的可选后缀。
类型:keyword
示例:session
-
cisco.asa.source_interface -
流或事件的源接口。
类型:keyword
-
cisco.asa.destination_interface -
流或事件的目标接口。
类型:keyword
-
cisco.asa.rule_name -
与此事件匹配的访问控制列表规则的名称。
类型:keyword
-
cisco.asa.source_username -
作为此事件的源的用户的名称。
类型:keyword
-
cisco.asa.source_user_security_group_tag -
源用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。
类型:long
-
cisco.asa.destination_username -
作为此事件的目标的用户的名称。
类型:keyword
-
cisco.asa.destination_user_security_group_tag -
目标用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。
类型:long
-
cisco.asa.mapped_source_ip -
转换后的源 IP 地址。
类型:ip
-
cisco.asa.mapped_source_host -
转换后的源主机。
类型:keyword
-
cisco.asa.mapped_source_port -
转换后的源端口。
类型:long
-
cisco.asa.mapped_destination_ip -
转换后的目标 IP 地址。
类型:ip
-
cisco.asa.mapped_destination_host -
转换后的目标主机。
类型:keyword
-
cisco.asa.mapped_destination_port -
转换后的目标端口。
类型:long
-
cisco.asa.threat_level -
恶意软件/僵尸网络流量的威胁级别。可以是 very-low、low、moderate、high 或 very-high 之一。
类型:keyword
-
cisco.asa.threat_category -
恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、木马等。
类型:keyword
-
cisco.asa.connection_id -
流的唯一标识符。
类型:keyword
-
cisco.asa.icmp_type -
ICMP 类型。
类型:short
-
cisco.asa.icmp_code -
ICMP 代码。
类型:short
-
cisco.asa.connection_type -
VPN 连接类型
类型:keyword
-
cisco.asa.dap_records -
分配的 DAP 记录
类型:keyword
-
cisco.asa.command_line_arguments -
本地审核日志记录的命令行参数
类型:keyword
-
cisco.asa.assigned_ip -
成功连接的 VPN 客户端分配的 IP 地址
类型:ip
-
cisco.asa.privilege.old -
当用户的权限更改时,这是旧值
类型:keyword
-
cisco.asa.privilege.new -
当用户的权限更改时,这是新值
类型:keyword
-
cisco.asa.burst.object -
与突发警告相关的对象
类型:keyword
-
cisco.asa.burst.id -
与突发警告相关的速率 ID
类型:keyword
-
cisco.asa.burst.current_rate -
看到的当前突发速率
类型:keyword
-
cisco.asa.burst.configured_rate -
当前配置的突发速率
类型:keyword
-
cisco.asa.burst.avg_rate -
看到的当前平均突发速率
类型:keyword
-
cisco.asa.burst.configured_avg_rate -
当前配置的允许的平均突发速率
类型:keyword
-
cisco.asa.burst.cumulative_count -
自创建或清除对象以来,突发速率命中的总计数
类型:keyword
-
cisco.asa.termination_user -
请求终止的用户的 AAA 名称
类型:keyword
-
cisco.asa.webvpn.group_name -
用户所属的 WebVPN 组名称
类型:keyword
-
cisco.asa.termination_initiator -
启动拆卸的一侧的接口名称
类型:keyword
-
cisco.asa.tunnel_type -
SA 类型(远程访问或 L2L)
类型:keyword
-
cisco.asa.session_type -
会话类型(例如,IPsec 或 UDP)
类型:keyword
Cisco Firepower Threat Defense 防火墙的字段。
-
cisco.ftd.message_id -
Cisco FTD 消息标识符。
类型:keyword
-
cisco.ftd.suffix -
%FTD 标识符之后的可选后缀。
类型:keyword
示例:session
-
cisco.ftd.source_interface -
流或事件的源接口。
类型:keyword
-
cisco.ftd.destination_interface -
流或事件的目标接口。
类型:keyword
-
cisco.ftd.rule_name -
与此事件匹配的访问控制列表规则的名称。
类型:keyword
-
cisco.ftd.source_username -
作为此事件的源的用户的名称。
类型:keyword
-
cisco.ftd.destination_username -
作为此事件的目标的用户的名称。
类型:keyword
-
cisco.ftd.mapped_source_ip -
转换后的源 IP 地址。使用 ECS source.nat.ip。
类型:ip
-
cisco.ftd.mapped_source_host -
转换后的源主机。
类型:keyword
-
cisco.ftd.mapped_source_port -
转换后的源端口。使用 ECS source.nat.port。
类型:long
-
cisco.ftd.mapped_destination_ip -
转换后的目标 IP 地址。使用 ECS destination.nat.ip。
类型:ip
-
cisco.ftd.mapped_destination_host -
转换后的目标主机。
类型:keyword
-
cisco.ftd.mapped_destination_port -
转换后的目标端口。使用 ECS destination.nat.port。
类型:long
-
cisco.ftd.threat_level -
恶意软件/僵尸网络流量的威胁级别。可以是 very-low、low、moderate、high 或 very-high 之一。
类型:keyword
-
cisco.ftd.threat_category -
恶意软件/僵尸网络流量的类别。例如:病毒、僵尸网络、木马等。
类型:keyword
-
cisco.ftd.connection_id -
流的唯一标识符。
类型:keyword
-
cisco.ftd.icmp_type -
ICMP 类型。
类型:short
-
cisco.ftd.icmp_code -
ICMP 代码。
类型:short
-
cisco.ftd.security -
安全事件的原始字段。
类型:object
-
cisco.ftd.connection_type -
VPN 连接类型
类型:keyword
-
cisco.ftd.dap_records -
分配的 DAP 记录
类型:keyword
-
cisco.ftd.termination_user -
请求终止的用户的 AAA 名称
类型:keyword
-
cisco.ftd.webvpn.group_name -
用户所属的 WebVPN 组名称
类型:keyword
-
cisco.ftd.termination_initiator -
启动拆卸的一侧的接口名称
类型:keyword
Cisco IOS 日志的字段。
-
cisco.ios.access_list -
IP 访问列表的名称。
类型:keyword
-
cisco.ios.facility -
消息引用的工具(例如,SNMP、SYS 等)。工具可以是硬件设备、协议或系统软件模块。它表示系统消息的来源或原因。
类型:keyword
示例:SEC
Cisco Umbrella 的字段。
-
cisco.umbrella.identities -
与事件相关的不同身份的数组。
类型:keyword
-
cisco.umbrella.categories -
目标匹配的安全或内容类别。
类型:keyword
-
cisco.umbrella.policy_identity_type -
与此请求匹配的第一个身份类型。在版本 3 及更高版本中可用。
类型:keyword
-
cisco.umbrella.identity_types -
发出请求的身份类型。例如,漫游计算机或网络。
类型:keyword
-
cisco.umbrella.blocked_categories -
导致目标被阻止的类别。在版本 4 及更高版本中可用。
类型:keyword
-
cisco.umbrella.content_type -
Web 内容的类型,通常为 text/html。
类型:keyword
-
cisco.umbrella.sha_sha256 -
响应内容的十六进制摘要。
类型:keyword
-
cisco.umbrella.av_detections -
根据文件检查中使用的防病毒引擎给出的检测名称。
类型:keyword
-
cisco.umbrella.puas -
防病毒扫描程序返回的代理文件的所有潜在有害应用程序 (PUA) 结果列表。
类型:keyword
-
cisco.umbrella.amp_disposition -
由 Cisco 高级恶意软件防护 (AMP) 作为 Umbrella 文件检查功能一部分代理和扫描的文件的状态;可以是“安全”、“恶意”或“未知”。
类型:keyword
-
cisco.umbrella.amp_malware_name -
如果为“恶意”,则为 AMP 提供的恶意软件名称。
类型:keyword
-
cisco.umbrella.amp_score -
来自 AMP 的恶意软件得分。此字段目前未使用,将为空白。
类型:keyword
-
cisco.umbrella.datacenter -
处理用户生成流量的 Umbrella 数据中心的名称。
类型:keyword
-
cisco.umbrella.origin_id -
网络隧道的唯一标识符。
类型:keyword