« 系统字段 Traefik 字段 »
Elastic 文档 Filebeat 参考 [8.14] 导出字段

threatintel 字段

threatintel 字段

威胁情报 Filebeat 模块。

threat.indicator.file.hash.tlsh

文件的导入 tlsh(如果可用)。

类型:keyword

threat.indicator.file.hash.sha384

文件的 sha384 哈希值(如果可用)。

类型:keyword

threat.feed.name

类型:keyword

threat.feed.dashboard_id

类型:keyword

abusech.malware

AbuseCH 恶意软件威胁情报字段

abusech.malware.file_type

URLhaus 猜测的文件类型。

类型:keyword

abusech.malware.signature

恶意软件家族。

类型:keyword

abusech.malware.urlhaus_download

可以下载此文件副本的位置(URL)。

类型:keyword

abusech.malware.virustotal.result

AV 检测率。

类型:keyword

abusech.malware.virustotal.percent

AV 检测百分比。

类型:float

abusech.malware.virustotal.link

指向 Virustotal 报告的链接。

类型:keyword

abusech.url

AbuseCH 恶意软件威胁情报字段

abusech.url.id

网址的 ID。

类型:keyword

abusech.url.urlhaus_reference

指向 URLhaus 条目的链接。

类型:keyword

abusech.url.url_status

URL 的当前状态。可能的值为:online、offline 和 unknown。

类型:keyword

abusech.url.threat

与此恶意软件 URL 相对应的威胁。

类型:keyword

abusech.url.blacklists.surbl

SURBL 黑名单状态。可能的值为:listed 和 not_listed

类型:keyword

abusech.url.blacklists.spamhaus_dbl

Spamhaus DBL 黑名单状态。

类型:keyword

abusech.url.reporter

报告此恶意软件 URL 的报告者的 Twitter 账号(或匿名)。

类型:keyword

abusech.url.larted

指示是否已向托管服务提供商报告了恶意软件 URL(true 或 false)

类型:boolean

abusech.url.tags

与此查询的恶意软件 URL 关联的标签列表

类型:keyword

anomali.limo

Anomali 威胁情报字段

anomali.limo.id

指标的 ID。

类型:keyword

anomali.limo.name

指标的名称。

类型:keyword

anomali.limo.pattern

指标的模式 ID。

类型:keyword

anomali.limo.valid_from

首次发现指标的时间或被视为有效的时间。

类型:date

anomali.limo.modified

指标的最后修改时间

类型:date

anomali.limo.labels

与指标相关的标签

类型:keyword

anomali.limo.indicator

指标的值,例如,如果类型是域,则这将是值。

类型:keyword

anomali.limo.description

指标的描述。

类型:keyword

anomali.limo.title

描述指标的标题。

类型:keyword

anomali.limo.content

与指标相关的额外文本或描述性内容。

类型:keyword

anomali.limo.type

指标类型,例如可以是“domain、email、FileHash-SHA256”。

类型:keyword

anomali.limo.object_marking_refs

STIX 参考对象。

类型:keyword

anomali.threatstream

Anomali ThreatStream 字段

anomali.threatstream.classification

指示指标是私有的还是来自公共提要并且公开可用。可能的值:private、public。

类型:keyword

例如:private

anomali.threatstream.confidence

ThreatStream 的预测分析技术分配给指标的准确度度量(从 0 到 100)。

类型:short

anomali.threatstream.detail2

指标的详细信息文本。

类型:text

例如:由用户 42 导入。

anomali.threatstream.id

指标的 ID。

类型:keyword

anomali.threatstream.import_session_id

在 ThreatStream 上创建指标的导入会话的 ID。

类型:keyword

anomali.threatstream.itype

指标类型。可能的值:“apt_domain”、“apt_email”、“apt_ip”、“apt_url”、“bot_ip”、“c2_domain”、“c2_ip”、“c2_url”、“i2p_ip”、“mal_domain”、“mal_email”、“mal_ip”、“mal_md5”、“mal_url”、“parked_ip”、“phish_email”、“phish_ip”、“phish_url”、“scan_ip”、“spam_domain”、“ssh_ip”、“suspicious_domain”、“tor_ip” 和 “torrent_tracker_url”。

类型:keyword

anomali.threatstream.maltype

与指标关联的恶意软件家族、CVE ID 或其他攻击或威胁的信息。

类型:wildcard

anomali.threatstream.md5

指标的哈希值。

类型:keyword

anomali.threatstream.resource_uri

指标详细信息的相对 URI。

类型:keyword

anomali.threatstream.severity

与提供指标的威胁情报源相关的严重性。可能的值:low、medium、high、very-high。

类型:keyword

anomali.threatstream.source

指标的来源。

类型:keyword

例如:Analyst

anomali.threatstream.source_feed_id

集成器源的 ID。

类型:keyword

anomali.threatstream.state

此指标的状态。

类型:keyword

例如:active

anomali.threatstream.trusted_circle_ids

导入指标的可信圈的 ID。

类型:keyword

anomali.threatstream.update_id

更新 ID。

类型:keyword

anomali.threatstream.url

指标的 URL。

类型:keyword

anomali.threatstream.value_type

指标的数据类型。可能的值:ip、domain、url、email、md5。

类型:keyword

abusech.malwarebazaar

Malware Bazaar 威胁情报字段

abusech.malwarebazaar.file_type

Malware Bazaar 猜测的文件类型。

类型:keyword

abusech.malwarebazaar.signature

恶意软件家族。

类型:keyword

abusech.malwarebazaar.tags

与此查询的恶意软件样本关联的标签列表。

类型:keyword

abusech.malwarebazaar.intelligence.downloads

MalwareBazaar 的下载次数。

类型:long

abusech.malwarebazaar.intelligence.uploads

MalwareBazaar 的上传次数。

类型:long

abusech.malwarebazaar.intelligence.mail.Generic

在通用垃圾邮件流量中看到的恶意软件。

类型:keyword

abusech.malwarebazaar.intelligence.mail.IT

在 IT 垃圾邮件流量中看到的恶意软件。

类型:keyword

abusech.malwarebazaar.anonymous

标识样本是否匿名提交。

类型:long

abusech.malwarebazaar.code_sign

样本的代码签名信息。

类型:nested

misp

MISP 威胁情报字段

misp.id

属性 ID。

类型:keyword

misp.orgc_id

事件的组织社区 ID。

类型:keyword

misp.org_id

事件的组织 ID。

类型:keyword

misp.threat_level_id

从 5 到 1 的威胁级别,其中 1 是最严重的。

类型:long

misp.info

与事件相关的其他文本或信息。

类型:keyword

misp.published

事件发布时间。

类型:boolean

misp.uuid

事件对象的 UUID。

类型:keyword

misp.date

事件对象创建日期。

类型:date

misp.attribute_count

单个事件对象中包含的属性数量。

类型:long

misp.timestamp

事件对象创建的时间戳。

类型:date

misp.distribution

与 MISP 相关的分发类型。

类型:keyword

misp.proposal_email_lock

在 MISP 上为此事件对象配置的电子邮件锁定设置。

类型:boolean

misp.locked

当前 MISP 事件对象是否被锁定。

类型:boolean

misp.publish_timestamp

事件对象发布时间

类型:date

misp.sharing_group_id

事件的群组事件或来源的 ID。

类型:keyword

misp.disable_correlation

是否在 MISP 事件对象上禁用了关联。

类型:boolean

misp.extends_uuid

它可能扩展的事件对象的 UUID。

类型:keyword

misp.org.id

与事件对象相关的组织 ID。

类型:keyword

misp.org.name

与事件对象相关的组织名称。

类型:keyword

misp.org.uuid

与事件对象相关的组织的 UUID。

类型:keyword

misp.org.local

事件对象是本地的还是来自远程源。

类型:boolean

misp.orgc.id

报告事件对象的组织社区 ID。

类型:keyword

misp.orgc.name

报告事件对象的组织社区名称。

类型:keyword

misp.orgc.uuid

报告事件对象的组织社区 UUID。

类型:keyword

misp.orgc.local

组织社区是本地的还是从远程源同步的。

类型:boolean

misp.attribute.id

与事件对象相关的属性的 ID。

类型:keyword

misp.attribute.type

与事件对象相关的属性的类型。例如 email、ipv4、sha1 等。

类型:keyword

misp.attribute.category

与事件对象相关的属性的类别。例如“网络活动”。

类型:keyword

misp.attribute.to_ids

该属性是否应与 IDS 自动同步。

类型:boolean

misp.attribute.uuid

与事件相关的属性的 UUID。

类型:keyword

misp.attribute.event_id

与事件相关的属性的本地事件 ID。

类型:keyword

misp.attribute.distribution

属性如何分发,由整数表示。

类型:long

misp.attribute.timestamp

将属性附加到事件对象的时间戳。

类型:date

misp.attribute.comment

对属性本身所做的注释。

类型:keyword

misp.attribute.sharing_group_id

与特定属性相关的共享组的组 ID。

类型:keyword

misp.attribute.deleted

该属性是否已从事件对象中删除。

类型:boolean

misp.attribute.disable_correlation

是否在与事件对象相关的属性上启用了关联。

类型:boolean

misp.attribute.object_id

附加属性的对象的 ID。

类型:keyword

misp.attribute.object_relation

属性与事件对象本身的关系类型。

类型:keyword

misp.attribute.value

属性的值,取决于类型,如“url、sha1、email-src”。

类型:keyword

misp.context.attribute.id

与事件对象相关的辅助属性的 ID。

类型:keyword

misp.context.attribute.type

与事件对象相关的辅助属性的类型。例如 email、ipv4、sha1 等。

类型:keyword

misp.context.attribute.category

与事件对象相关的辅助属性的类别。例如“网络活动”。

类型:keyword

misp.context.attribute.to_ids

辅助属性是否应与 IDS 自动同步。

类型:boolean

misp.context.attribute.uuid

与事件相关的辅助属性的 UUID。

类型:keyword

misp.context.attribute.event_id

与事件相关的辅助属性的本地事件 ID。

类型:keyword

misp.context.attribute.distribution

辅助属性如何分发,由整数表示。

类型:long

misp.context.attribute.timestamp

将辅助属性附加到事件对象的时间戳。

类型:date

misp.context.attribute.comment

对辅助属性本身所做的注释。

类型:keyword

misp.context.attribute.sharing_group_id

与特定辅助属性相关的共享组的组 ID。

类型:keyword

misp.context.attribute.deleted

辅助属性是否已从事件对象中删除。

类型:boolean

misp.context.attribute.disable_correlation

是否在与事件对象相关的辅助属性上启用了关联。

类型:boolean

misp.context.attribute.object_id

附加辅助属性的对象的 ID。

类型:keyword

misp.context.attribute.object_relation

辅助属性与事件对象本身的关系类型。

类型:keyword

misp.context.attribute.value

属性的值,取决于类型,如“url、sha1、email-src”。

类型:keyword

otx

OTX 威胁情报字段

otx.id

指标的 ID。

类型:keyword

otx.indicator

指标的值,例如,如果类型是域,则这将是值。

类型:keyword

otx.description

指标的描述。

类型:keyword

otx.title

描述指标的标题。

类型:keyword

otx.content

与指标相关的额外文本或描述性内容。

类型:keyword

otx.type

指标类型,例如可以是“domain、email、FileHash-SHA256”。

类型:keyword

threatq

ThreatQ 威胁库字段

threatq.updated_at

最后修改时间

类型:date

threatq.created_at

对象创建时间

类型:date

threatq.expires_at

过期时间

类型:date

threatq.expires_calculated_at

过期时间计算时间

类型:date

threatq.published_at

对象发布时间

类型:date

threatq.status

威胁库中的对象状态

类型:keyword

threatq.indicator_value

原始指标值

类型:keyword

threatq.adversaries

与对象链接的对手

类型:keyword

threatq.attributes

这些提供了有关对象的附加上下文

类型:flattened

« 系统字段 Traefik 字段 »