用于处理来自 MISP 的威胁信息的模块。
misp
来自 MISP 威胁信息的字段。
attack_pattern
字段提供对指定有关攻击模式的信息的支持。
-
misp.attack_pattern.id -
威胁指标的标识符。
type: keyword
-
misp.attack_pattern.name -
攻击模式的名称。
type: keyword
-
misp.attack_pattern.description -
攻击模式的描述。
type: text
-
misp.attack_pattern.kill_chain_phases -
此攻击模式对应的杀伤链阶段。
type: keyword
campaign
字段提供对指定有关战役的信息的支持。
-
misp.campaign.id -
战役的标识符。
type: keyword
-
misp.campaign.name -
战役的名称。
type: keyword
-
misp.campaign.description -
战役的描述。
type: text
-
misp.campaign.aliases -
用于识别此战役的替代名称。
type: text
-
misp.campaign.first_seen -
第一次看到此战役的时间,以 RFC3339 格式表示。
type: date
-
misp.campaign.last_seen -
最后一次看到此战役的时间,以 RFC3339 格式表示。
type: date
-
misp.campaign.objective -
此字段定义了战役的主要目标、目标、预期结果或预期影响。
type: keyword
course_of_action
行动方案是采取的行动,要么是为了防止攻击,要么是为了应对正在进行的攻击。
-
misp.course_of_action.id -
行动方案的标识符。
type: keyword
-
misp.course_of_action.name -
用于识别行动方案的名称。
type: keyword
-
misp.course_of_action.description -
行动方案的描述。
type: text
identity
身份可以代表实际的个人、组织或团体,以及个人、组织或团体的类别。
-
misp.identity.id -
身份的标识符。
type: keyword
-
misp.identity.name -
用于识别身份的名称。
type: keyword
-
misp.identity.description -
身份的描述。
type: text
-
misp.identity.identity_class -
此身份描述的实体类型,例如个人或组织。 开放词汇表 - identity-class-ov
type: keyword
-
misp.identity.labels -
此身份扮演的角色列表。
type: keyword
示例:CEO
-
misp.identity.sectors -
此身份所属的行业部门列表。 开放词汇表 - industry-sector-ov
type: keyword
-
misp.identity.contact_information -
此身份的联系信息(电子邮件、电话号码等)。
type: text
intrusion_set
入侵集是一组具有共同属性的攻击者行为和资源,据信是由单个组织策划的。
-
misp.intrusion_set.id -
入侵集的标识符。
type: keyword
-
misp.intrusion_set.name -
用于识别入侵集的名称。
type: keyword
-
misp.intrusion_set.description -
入侵集的描述。
type: text
-
misp.intrusion_set.aliases -
用于识别入侵集的替代名称。
type: text
-
misp.intrusion_set.first_seen -
第一次看到此入侵集的时间,以 RFC3339 格式表示。
type: date
-
misp.intrusion_set.last_seen -
最后一次看到此入侵集的时间,以 RFC3339 格式表示。
type: date
-
misp.intrusion_set.goals -
此入侵集的高级目标,即它们试图做什么。
type: text
-
misp.intrusion_set.resource_level -
这定义了此入侵集通常工作的组织级别。 开放词汇表 - attack-resource-level-ov
type: text
-
misp.intrusion_set.primary_motivation -
此入侵集背后的主要原因、动机或目的。 开放词汇表 - attack-motivation-ov
type: text
-
misp.intrusion_set.secondary_motivations -
此入侵集背后的次要原因、动机或目的。 开放词汇表 - attack-motivation-ov
type: text
malware
恶意软件是一种 TTP 类型,也称为恶意代码和恶意软件,指的是一种程序,通常以隐蔽的方式插入系统,目的是破坏受害者数据、应用程序或操作系统 (OS) 的机密性、完整性或可用性,或以其他方式惹恼或扰乱受害者。
-
misp.malware.id -
恶意软件的标识符。
type: keyword
-
misp.malware.name -
用于识别恶意软件的名称。
type: keyword
-
misp.malware.description -
恶意软件的描述。
type: text
-
misp.malware.labels -
正在描述的恶意软件类型。 开放词汇表 - malware-label-ov。 广告软件、后门、机器人、ddos、投放程序、漏洞利用工具包、键盘记录器、勒索软件、远程访问木马、资源利用、伪造的安全软件、rootkit、屏幕截图、间谍软件、木马、病毒、蠕虫
type: keyword
-
misp.malware.kill_chain_phases -
此恶意软件实例可用于的杀伤链阶段列表。
type: keyword
format: string
note
注释是一个包含信息性文本的注释或说明,用于帮助解释一个或多个 STIX 对象 (SDO 或 SRO) 的上下文,或提供原始对象中不包含的其他分析。
-
misp.note.id -
注释的标识符。
type: keyword
-
misp.note.summary -
用作注释摘要的简短描述。
type: keyword
-
misp.note.description -
注释的内容。
type: text
-
misp.note.authors -
此注释的作者姓名。
type: keyword
-
misp.note.object_refs -
注释应用于的 STIX 对象 (SDO 和 SRO)。
type: keyword
threat_indicator
字段提供对指定有关威胁指标以及相关匹配模式的信息的支持。
-
misp.threat_indicator.labels -
指定指标类型的开放词汇表类型列表。
type: keyword
示例:域监视列表
-
misp.threat_indicator.id -
威胁指标的标识符。
type: keyword
-
misp.threat_indicator.version -
威胁指标的版本。
type: keyword
-
misp.threat_indicator.type -
威胁指标的类型。
type: keyword
-
misp.threat_indicator.description -
威胁指标的描述。
type: text
-
misp.threat_indicator.feed -
威胁源的名称。
type: text
-
misp.threat_indicator.valid_from -
从该时间起,此指标应被视为有价值的情报,以 RFC3339 格式表示。
type: date
-
misp.threat_indicator.valid_until -
此指标不再被视为有价值情报的时间。 如果省略 valid_until 属性,则对指标应使用的最新时间没有限制,以 RFC3339 格式表示。
type: date
-
misp.threat_indicator.severity -
此指标对应的威胁严重程度。
type: keyword
示例:高
format: string
-
misp.threat_indicator.confidence -
此指标对应的置信度级别。
type: keyword
示例:高
-
misp.threat_indicator.kill_chain_phases -
此指标对应的杀伤链阶段。
type: keyword
format: string
-
misp.threat_indicator.mitre_tactic -
此指标对应的 MITRE 战术。
type: keyword
示例:初始访问
format: string
-
misp.threat_indicator.mitre_technique -
此指标对应的 MITRE 技术。
type: keyword
示例:驱动式妥协
format: string
-
misp.threat_indicator.attack_pattern -
此指标的 attack_pattern 是 STIX 模式,如 STIX 版本 2.0 第 5 部分 - STIX 模式的规定。
type: keyword
示例: [destination:ip = 91.219.29.188/32]
-
misp.threat_indicator.attack_pattern_kql -
此指标的 attack_pattern 是与 STIX 模式格式中指定的 attack_pattern 匹配的 KQL 查询。
type: keyword
示例:destination.ip: "91.219.29.188/32"
-
misp.threat_indicator.negate -
设置为 true 时,它指定 attack_pattern 的不存在。
type: boolean
-
misp.threat_indicator.intrusion_set -
已知入侵集的名称。
type: keyword
-
misp.threat_indicator.campaign -
已知攻击战役的名称。
type: keyword
-
misp.threat_indicator.threat_actor -
已知威胁行为者的名称。
type: keyword
observed_data
观察到的数据传达了在系统和网络上观察到的信息,例如日志数据或网络流量,使用网络可观察规范。
-
misp.observed_data.id -
观察到的数据的标识符。
type: keyword
-
misp.observed_data.first_observed -
观察到数据的时窗的开始,以 RFC3339 格式表示。
type: date
-
misp.observed_data.last_observed -
观察到数据的时窗的结束,以 RFC3339 格式表示。
type: date
-
misp.observed_data.number_observed -
对象属性中表示的数据被观察到的次数。 这必须是一个介于 1 到 999,999,999(含)之间的整数。
type: integer
-
misp.observed_data.objects -
描述观察到的单一事实的网络可观察对象的字典。
type: keyword
report
报告是围绕一个或多个主题的威胁情报集合,例如攻击者、恶意软件或攻击技术的描述,包括上下文和相关细节。
-
misp.report.id -
报告的标识符。
type: keyword
-
misp.report.labels -
此字段是一个开放词汇表,指定此报告的主要主题。 开放词汇表 - report-label-ov。 威胁报告、攻击模式、战役、身份、指标、恶意软件、观察到的数据、威胁行为者、工具、漏洞
type: keyword
-
misp.report.name -
用于识别报告的名称。
type: keyword
-
misp.report.description -
提供有关报告的更多详细信息和上下文的描述。
type: text
-
misp.report.published -
此报告对象由报告创建者正式发布的日期,以 RFC3339 格式表示。
type: date
-
misp.report.object_refs -
指定此报告引用的 STIX 对象。
type: text
threat_actor
威胁行为者是据信怀有恶意意图的实际个人、团体或组织。
-
misp.threat_actor.id -
威胁行为者的标识符。
type: keyword
-
misp.threat_actor.labels -
此字段指定威胁行为者的类型。 开放词汇表 - threat-actor-label-ov。 积极分子、竞争对手、犯罪集团、罪犯、黑客、内部人员意外、内部人员不满、民族国家、哗众取宠者、间谍、恐怖分子
type: keyword
-
misp.threat_actor.name -
用于识别此威胁行为者或威胁行为者团体的名称。
type: keyword
-
misp.threat_actor.description -
提供有关威胁行为者的更多详细信息和上下文的描述。
type: text
-
misp.threat_actor.aliases -
据信此威胁行为者使用的其他名称列表。
type: text
-
misp.threat_actor.roles -
这是威胁行为者扮演的角色列表。 开放词汇表 - threat-actor-role-ov。 代理人、主管、独立、赞助商、基础设施运营商、基础设施架构师、恶意软件作者
type: text
-
misp.threat_actor.goals -
此威胁行为者的高级目标,即它们试图做什么。
type: text
-
misp.threat_actor.sophistication -
威胁行为者必须具备的技能、特定知识、特殊培训或专业知识才能执行攻击。 开放词汇表 - threat-actor-sophistication-ov。 无、最少、中等、高级、战略、专家、创新者
type: text
-
misp.threat_actor.resource_level -
这定义了此威胁行为者通常工作的组织级别。 开放词汇表 - attack-resource-level-ov。 个人、俱乐部、竞赛、团队、组织、政府
type: text
-
misp.threat_actor.primary_motivation -
此威胁行为者背后的主要原因、动机或目的。 开放词汇表 - attack-motivation-ov。 意外、胁迫、统治、意识形态、声名狼藉、组织利益、个人利益、个人满足、报复、不可预测
type: text
-
misp.threat_actor.secondary_motivations -
此威胁行为者背后的次要原因、动机或目的。 开放词汇表 - attack-motivation-ov。 意外、胁迫、统治、意识形态、声名狼藉、组织利益、个人利益、个人满足、报复、不可预测
type: text
-
misp.threat_actor.personal_motivations -
威胁行为者的个人原因、动机或目的,无论组织目标如何。 开放词汇表 - attack-motivation-ov。 意外、胁迫、统治、意识形态、声名狼藉、组织利益、个人利益、个人满足、报复、不可预测
type: text
tool
工具是威胁行为者可以用来执行攻击的合法软件。
-
misp.tool.id -
工具的标识符。
type: keyword
-
misp.tool.labels -
正在描述的工具类型。 开放词汇表 - tool-label-ov。 拒绝服务、漏洞利用、信息收集、网络捕获、凭据利用、远程访问、漏洞扫描
type: keyword
-
misp.tool.name -
用于识别工具的名称。
type: keyword
-
misp.tool.description -
提供有关工具的更多详细信息和上下文的描述。
type: text
-
misp.tool.tool_version -
与工具关联的版本标识符。
type: keyword
-
misp.tool.kill_chain_phases -
此工具实例可用于的杀伤链阶段列表。
type: text
vulnerability
漏洞是软件中的错误,黑客可以直接利用它来访问系统或网络。
-
misp.vulnerability.id -
漏洞的标识符。
type: keyword
-
misp.vulnerability.name -
用于识别漏洞的名称。
type: keyword
-
misp.vulnerability.description -
对漏洞的更详细描述和上下文。
type: text