MISP 字段

用于处理来自 MISP 的威胁信息的模块。

misp

来自 MISP 威胁信息的字段。

attack_pattern

字段提供对指定有关攻击模式的信息的支持。

misp.attack_pattern.id

威胁指标的标识符。

type: keyword

misp.attack_pattern.name

攻击模式的名称。

type: keyword

misp.attack_pattern.description

攻击模式的描述。

type: text

misp.attack_pattern.kill_chain_phases

此攻击模式对应的杀伤链阶段。

type: keyword

campaign

字段提供对指定有关活动的信息的支持。

misp.campaign.id

活动的标识符。

type: keyword

misp.campaign.name

活动的名称。

type: keyword

misp.campaign.description

活动的描述。

type: text

misp.campaign.aliases

用于标识此活动的其他名称。

type: text

misp.campaign.first_seen

此活动首次被看到的时间,格式为 RFC3339。

type: date

misp.campaign.last_seen

此活动最后一次被看到的时间,格式为 RFC3339。

type: date

misp.campaign.objective

此字段定义活动的主要目标、目的、期望结果或预期效果。

type: keyword

course_of_action

行动方案是为防止攻击或响应正在进行的攻击而采取的行动。

misp.course_of_action.id

行动方案的标识符。

type: keyword

misp.course_of_action.name

用于标识行动方案的名称。

type: keyword

misp.course_of_action.description

行动方案的描述。

type: text

identity

身份可以表示实际的个人、组织或团体,以及个人、组织或团体的类别。

misp.identity.id

身份的标识符。

type: keyword

misp.identity.name

用于标识身份的名称。

type: keyword

misp.identity.description

身份的描述。

type: text

misp.identity.identity_class

此身份描述的实体类型,例如,个人或组织。开放词汇表 - identity-class-ov

type: keyword

misp.identity.labels

此身份执行的角色列表。

type: keyword

示例:CEO

misp.identity.sectors

此身份所属的部门列表。开放词汇表 - industry-sector-ov

type: keyword

misp.identity.contact_information

此身份的联系信息(电子邮件、电话号码等)。

type: text

intrusion_set

入侵集是一组具有共同属性的对手行为和资源的组合,据信由单个组织协调。

misp.intrusion_set.id

入侵集的标识符。

type: keyword

misp.intrusion_set.name

用于标识入侵集的名称。

type: keyword

misp.intrusion_set.description

入侵集的描述。

type: text

misp.intrusion_set.aliases

用于标识入侵集的其他名称。

type: text

misp.intrusion_set.first_seen

此入侵集首次被看到的时间,格式为 RFC3339。

type: date

misp.intrusion_set.last_seen

此入侵集最后一次被看到的时间,格式为 RFC3339。

type: date

misp.intrusion_set.goals

此入侵集的高级目标,即他们试图做什么。

type: text

misp.intrusion_set.resource_level

这定义了此入侵集通常工作的组织级别。开放词汇表 - attack-resource-level-ov

type: text

misp.intrusion_set.primary_motivation

此入侵集背后的主要原因、动机或目的。开放词汇表 - attack-motivation-ov

type: text

misp.intrusion_set.secondary_motivations

此入侵集背后的次要原因、动机或目的。开放词汇表 - attack-motivation-ov

type: text

malware

恶意软件是一种 TTP 类型,也称为恶意代码和恶意软件,指的是插入系统中的程序,通常是秘密地,目的是损害受害者的数据、应用程序或操作系统 (OS) 的机密性、完整性或可用性,或以其他方式烦扰或扰乱受害者。

misp.malware.id

恶意软件的标识符。

type: keyword

misp.malware.name

用于标识恶意软件的名称。

type: keyword

misp.malware.description

恶意软件的描述。

type: text

misp.malware.labels

所描述的恶意软件的类型。开放词汇表 - malware-label-ov。广告软件、后门、僵尸网络、DDoS、投放器、漏洞利用工具包、键盘记录器、勒索软件、远程访问木马、资源利用、恶意安全软件、Rootkit、屏幕捕获、间谍软件、木马、病毒、蠕虫

type: keyword

misp.malware.kill_chain_phases

此恶意软件实例可以使用的杀伤链阶段列表。

type: keyword

format: string

note

注释是一条评论或注释,其中包含信息性文本,以帮助解释一个或多个 STIX 对象(SDO 或 SRO)的上下文,或提供原始对象中未包含的其他分析。

misp.note.id

注释的标识符。

type: keyword

misp.note.summary

用作注释摘要的简短描述。

type: keyword

misp.note.description

注释的内容。

type: text

misp.note.authors

此注释的作者姓名。

type: keyword

misp.note.object_refs

应用注释的 STIX 对象(SDO 和 SRO)。

type: keyword

threat_indicator

字段提供对指定有关威胁指标和相关匹配模式的信息的支持。

misp.threat_indicator.labels

指定指标类型的开放词汇类型列表。

type: keyword

示例:域监视列表

misp.threat_indicator.id

威胁指标的标识符。

type: keyword

misp.threat_indicator.version

威胁指标的版本。

type: keyword

misp.threat_indicator.type

威胁指标的类型。

type: keyword

misp.threat_indicator.description

威胁指标的描述。

type: text

misp.threat_indicator.feed

威胁源的名称。

type: text

misp.threat_indicator.valid_from

应将此指标视为有价值情报的时间,格式为 RFC3339。

type: date

misp.threat_indicator.valid_until

不应再将此指标视为有价值情报的时间。如果省略 valid_until 属性,则不对应使用指标的最晚时间施加约束,格式为 RFC3339。

type: date

misp.threat_indicator.severity

此指标对应的威胁严重性。

type: keyword

示例:高

format: string

misp.threat_indicator.confidence

此指标对应的置信度。

type: keyword

示例:高

misp.threat_indicator.kill_chain_phases

此指标对应的杀伤链阶段。

type: keyword

format: string

misp.threat_indicator.mitre_tactic

此指标对应的 MITRE 战术。

type: keyword

示例:初始访问

format: string

misp.threat_indicator.mitre_technique

此指标对应的 MITRE 技术。

type: keyword

示例:路过式入侵

format: string

misp.threat_indicator.attack_pattern

此指标的 attack_pattern 是 STIX 版本 2.0 第 5 部分 - STIX 模式中指定的 STIX 模式。

type: keyword

示例:[destination:ip = 91.219.29.188/32]

misp.threat_indicator.attack_pattern_kql

此指标的 attack_pattern 是与 STIX 模式格式中指定的 attack_pattern 匹配的 KQL 查询。

type: keyword

示例:destination.ip: "91.219.29.188/32"

misp.threat_indicator.negate

设置为 true 时,它指定不存在 attack_pattern。

type: boolean

misp.threat_indicator.intrusion_set

如果已知,则为入侵集的名称。

type: keyword

misp.threat_indicator.campaign

如果已知,则为攻击活动的名称。

type: keyword

misp.threat_indicator.threat_actor

如果已知,则为威胁参与者的名称。

type: keyword

observed_data

观察到的数据使用网络可观察规范传达在系统和网络上观察到的信息,例如日志数据或网络流量。

misp.observed_data.id

观察到的数据的标识符。

type: keyword

misp.observed_data.first_observed

观察到数据的开始时间窗口,格式为 RFC3339。

type: date

misp.observed_data.last_observed

观察到数据的结束时间窗口,格式为 RFC3339。

type: date

misp.observed_data.number_observed

观察到 objects 属性中表示的数据的次数。这必须是介于 1 和 999,999,999 之间的整数(含 1 和 999,999,999)。

type: integer

misp.observed_data.objects

描述所观察到的单个事实的网络可观察对象字典。

type: keyword

report

报告是侧重于一个或多个主题的威胁情报的集合,例如对威胁参与者、恶意软件或攻击技术的描述,包括上下文和相关详细信息。

misp.report.id

报告的标识符。

type: keyword

misp.report.labels

此字段是一个开放词汇表,用于指定此报告的主要主题。开放词汇表 - report-label-ov。威胁报告、攻击模式、活动、身份、指标、恶意软件、观察到的数据、威胁参与者、工具、漏洞

type: keyword

misp.report.name

用于标识报告的名称。

type: keyword

misp.report.description

提供有关报告的更多详细信息和上下文的描述。

type: text

misp.report.published

此报告对象由报告创建者正式发布的日期,格式为 RFC3339。

type: date

misp.report.object_refs

指定此报告引用的 STIX 对象。

type: text

threat_actor

威胁参与者是据信以恶意意图运作的实际个人、团体或组织。

misp.threat_actor.id

威胁参与者的标识符。

type: keyword

misp.threat_actor.labels

此字段指定威胁参与者的类型。开放词汇表 - threat-actor-label-ov。激进分子、竞争对手、犯罪集团、罪犯、黑客、内部人员 - 意外、内部人员 - 不满、民族国家、耸人听闻者、间谍、恐怖分子

type: keyword

misp.threat_actor.name

用于标识此威胁参与者或威胁参与者组的名称。

type: keyword

misp.threat_actor.description

提供有关威胁参与者的更多详细信息和上下文的描述。

type: text

misp.threat_actor.aliases

据信此威胁参与者使用的其他名称的列表。

type: text

misp.threat_actor.roles

这是威胁参与者扮演的角色列表。开放词汇表 - threat-actor-role-ov。代理、主管、独立、赞助商、基础设施运营者、基础设施架构师、恶意软件作者

type: text

misp.threat_actor.goals

此威胁参与者的高级目标,即他们试图做什么。

type: text

misp.threat_actor.sophistication

威胁参与者必须具备执行攻击的技能、特定知识、特殊培训或专业知识。开放词汇表 - threat-actor-sophistication-ov。无、最小、中等、高级、战略、专家、创新者

type: text

misp.threat_actor.resource_level

这定义了此威胁参与者通常工作的组织级别。开放词汇表 - attack-resource-level-ov。个人、俱乐部、竞赛、团队、组织、政府

type: text

misp.threat_actor.primary_motivation

此威胁参与者背后的主要原因、动机或目的。开放词汇表 - attack-motivation-ov。意外、胁迫、支配、意识形态、恶名、组织利益、个人利益、个人满足感、复仇、不可预测

type: text

misp.threat_actor.secondary_motivations

此威胁参与者背后的次要原因、动机或目的。开放词汇表 - attack-motivation-ov。意外、胁迫、支配、意识形态、恶名、组织利益、个人利益、个人满足感、复仇、不可预测

type: text

misp.threat_actor.personal_motivations

威胁行动者的个人原因、动机或目的,不考虑组织目标。开放词汇 - attack-motivation-ov。意外,胁迫,支配,意识形态,恶名,组织利益,个人利益,个人满足感,复仇,不可预测

type: text

工具

工具是合法的软件,威胁行动者可以使用它们来执行攻击。

misp.tool.id

工具的标识符。

type: keyword

misp.tool.labels

所描述的工具的种类。开放词汇 - tool-label-ov。拒绝服务,漏洞利用,信息收集,网络捕获,凭证利用,远程访问,漏洞扫描

type: keyword

misp.tool.name

用于标识工具的名称。

type: keyword

misp.tool.description

提供有关工具的更多详细信息和背景的描述。

type: text

misp.tool.tool_version

与工具关联的版本标识符。

type: keyword

misp.tool.kill_chain_phases

可以使用此工具实例的杀伤链阶段列表。

type: text

漏洞

漏洞是软件中的一个错误,黑客可以直接利用它来获取对系统或网络的访问权限。

misp.vulnerability.id

漏洞的标识符。

type: keyword

misp.vulnerability.name

用于标识漏洞的名称。

type: keyword

misp.vulnerability.description

提供有关漏洞的更多详细信息和背景的描述。

type: text