思科字段

以 Epoch 纳秒为单位的时间戳。

类型：日期

事件的子 ID，具体取决于事件类型。

类型：关键字

检测到的恶意软件的名称。

类型：关键字

检测的 ID。

类型：关键字

将信息发送到 AMP 的连接器的 GUID。

类型：关键字

与将信息发送到 AMP 的连接器相关的组 GUID 数组。

类型：关键字

与恶意事件相关的漏洞数组。

类型：扁平化

与已启动扫描相关的事件的描述，例如特定目录名称。

类型：关键字

布尔值，表示扫描的文件是否干净。

类型：布尔值

在目录中扫描的文件数。

类型：长整型

与单个扫描事件相关的已扫描进程数。

类型：长整型

与单个扫描事件相关的已扫描不同目录数。

类型：长整型

与单个扫描事件相关的检测到的恶意文件或文档数。

类型：长整型

连接器的 GUID，类似于顶级 connector_guid，但如果涉及多个连接器，则唯一。

类型：关键字

相关主机的外部 IP。

类型：IP

当前端点是否处于活动状态。

类型：布尔值

相关主机上的所有网络接口信息。

类型：扁平化

文件分类，例如“恶意”或“干净”。

类型：关键字

与文件相关的网络事件的分类，例如“恶意”或“干净”。

类型：关键字

基于源 IP 和目标 IP 的当前方向。

类型：关键字

所有相关 MAC 地址的数组。

类型：关键字

所有相关 MAC 地址的数组。

类型：关键字

来自 AMP 的特定 IOC 事件的相关 IOC 的描述。

类型：关键字

来自 AMP 的特定 IOC 事件的相关 IOC 的简短描述。

类型：关键字

IOC 的分类，例如“恶意”或“干净”。

类型：关键字

相关 IOC 的 MD5 哈希值。

类型：关键字

相关 IOC 的 SHA1 哈希值。

类型：关键字

相关 IOC 的 SHA256 哈希值。

类型：关键字

与文件相关的文件存档的分类，例如“恶意”或“干净”。

类型：关键字

与恶意事件相关的存档文件的 MD5 哈希值。

类型：关键字

与恶意事件相关的存档文件的 SHA1 哈希值。

类型：关键字

与恶意事件相关的存档文件的 SHA256 哈希值。

类型：关键字

与漏洞利用防御事件相关的应用程序名称。

类型：关键字

被攻击并被漏洞利用防御检测到的可执行文件或 dll 的路径。

类型：关键字

与检测到的漏洞利用相关的基内存地址。

类型：关键字

漏洞利用防御检测到攻击时，相关文件的数组。

类型：关键字

父级的分类，例如“恶意”或“干净”。

类型：关键字

端点错误事件的描述。

类型：关键字

描述相关错误事件的错误代码。

类型：关键字

注册到恶意事件的威胁搜寻的严重性结果。可以是低-严重。

类型：关键字

相关威胁搜寻报告的 GUID。

类型：关键字

相关调查跟踪问题的 GUID。

类型：关键字

与威胁搜寻活动相关的事件的标题。

类型：关键字

威胁搜寻活动结果的摘要。

类型：关键字

解决漏洞或被利用主机的建议。

类型：关键字

威胁搜寻活动的相关事件的 ID。

类型：关键字

威胁搜寻完成或关闭的时间。

类型：日期

威胁搜寻开始的时间。

类型：日期

与检测到的漏洞利用相匹配的不同指标类型，例如不同的 MITRE 策略。

类型：扁平化

与发现的事件相关的所有 MITRE 策略的列表。

类型：扁平化

与发现的事件相关的所有 MITRE 技术的列表。

类型：扁平化

与发现的事件相关的所有 MITRE 策略的列表。

类型：扁平化

所有相关的 mitre 策略 ID 的数组

类型：关键字

与发现的事件相关的所有 MITRE 技术的列表。

类型：扁平化

所有相关的 mitre 技术 ID 的数组

类型：关键字

思科报告的云威胁 IOC 相关的 CLI 参数。

类型：关键字

端点隔离信息

类型：扁平化

思科 ASA 消息标识符。

类型：关键字

%ASA 标识符后的可选后缀。

类型：关键字

示例：session

流或事件的源接口。

类型：关键字

流或事件的目标接口。

类型：关键字

与此事件匹配的访问控制列表规则的名称。

类型：关键字

作为此事件源的用户的名称。

类型：关键字

源用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。

类型：长整型

作为此事件目标的用户的名称。

类型：关键字

目标用户的安全组标签。安全组标签是用于表示逻辑组权限的 16 位标识符。

类型：长整型

转换后的源 IP 地址。

类型：IP

转换后的源主机。

类型：关键字

转换后的源端口。

类型：长整型

转换后的目标 IP 地址。

类型：IP

转换后的目标主机。

类型：关键字

转换后的目标端口。

类型：长整型

恶意软件/僵尸网络流量的威胁级别。可以是极低、低、中等、高或极高。

类型：关键字

恶意软件/僵尸网络流量的类别。例如：病毒、僵尸网络、木马等。

类型：关键字

流的唯一标识符。

类型：关键字

ICMP 类型。

类型：短整型

ICMP 代码。

类型：短整型

VPN 连接类型

类型：关键字

分配的 DAP 记录

类型：关键字

本地审计日志记录的命令行参数

类型：关键字

分配给成功连接的 VPN 客户端的 IP 地址

类型：IP

更改用户权限时，这是旧值

类型：关键字

更改用户权限时，这是新值

类型：关键字

与突发警告相关的对象

类型：关键字

与突发警告相关的速率 ID

类型：关键字

看到的当前突发速率

类型：关键字

当前配置的突发速率

类型：关键字

看到的当前平均突发速率

类型：关键字

当前配置的允许的平均突发速率

类型：关键字

自对象创建或清除以来突发速率命中总数

类型：关键字

请求终止的用户的 AAA 名称

类型：关键字

用户所属的 WebVPN 组名称

类型：关键字

发起拆除的一侧的接口名称

类型：关键字

SA 类型（远程访问或 L2L）

类型：关键字

会话类型（例如，IPsec 或 UDP）

类型：关键字

思科 FTD 消息标识符。

类型：关键字

%FTD 标识符后的可选后缀。

类型：关键字

示例：session

流或事件的源接口。

类型：关键字

流或事件的目标接口。

类型：关键字

与此事件匹配的访问控制列表规则的名称。

类型：关键字

作为此事件源的用户的名称。

类型：关键字

作为此事件目标的用户的名称。

类型：关键字

转换后的源 IP 地址。使用 ECS source.nat.ip。

类型：IP

转换后的源主机。

类型：关键字

转换后的源端口。使用 ECS source.nat.port。

类型：长整型

转换后的目标 IP 地址。使用 ECS destination.nat.ip。

类型：IP

转换后的目标主机。

类型：关键字

转换后的目标端口。使用 ECS destination.nat.port。

类型：长整型

恶意软件/僵尸网络流量的威胁级别。可以是极低、低、中等、高或极高。

类型：关键字

恶意软件/僵尸网络流量的类别。例如：病毒、僵尸网络、木马等。

类型：关键字

流的唯一标识符。

类型：关键字

ICMP 类型。

类型：短整型

ICMP 代码。

类型：短整型

安全事件的原始字段。

类型：对象

VPN 连接类型

类型：关键字

分配的 DAP 记录

类型：关键字

请求终止的用户的 AAA 名称

类型：关键字

用户所属的 WebVPN 组名称

类型：关键字

发起拆除的一侧的接口名称

类型：关键字

IP 访问列表的名称。

类型：关键字

消息引用的设备（例如，SNMP、SYS 等）。设备可以是硬件设备、协议或系统软件模块。它表示系统消息的来源或原因。

类型：关键字

示例：SEC

与事件相关的不同身份的数组。

类型：关键字

目标匹配的安全或内容类别。

类型：关键字

与此请求匹配的第一个身份类型。在版本 3 及更高版本中可用。

类型：关键字

发出请求的身份类型。例如，漫游计算机或网络。

类型：关键字

导致目标被阻止的类别。在版本 4 及更高版本中可用。

类型：关键字

Web 内容类型，通常为 text/html。

类型：关键字

响应内容的十六进制摘要。

类型：关键字

根据文件检查中使用的防病毒引擎的检测名称。

类型：关键字

防病毒扫描程序返回的代理文件的全部潜在有害应用程序 (PUA) 结果的列表。

类型：关键字

作为 Umbrella 文件检查功能的一部分，由思科高级恶意软件防护 (AMP) 代理和扫描的文件的状态；可以是干净、恶意或未知。

类型：关键字

如果为恶意，则为根据 AMP 的恶意软件名称。

类型：关键字

来自 AMP 的恶意软件评分。此字段当前未使用，将为空白。

类型：关键字

处理用户生成流量的 Umbrella 数据中心的名称。

类型：关键字

网络隧道的唯一标识。

类型：关键字