ECS 字段

本节定义了 Elastic Common Schema (ECS) 字段— 一组用于在 Elasticsearch 中存储事件数据的通用字段。

这是一个详尽的列表,此处列出的字段不一定会被 Heartbeat 使用。ECS 的目标是启用并鼓励 Elasticsearch 的用户规范化他们的事件数据,以便他们可以更好地分析、可视化和关联其事件中表示的数据。

有关更多信息,请参阅 ECS 参考

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。

类型:date

示例:2016-05-23T08:05:34.853Z

必填:True

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为 keyword。示例:dockerk8s 标签。

类型:object

示例:{"application": "foo-bar", "env": "production"}

message

对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始 message 字段的结构化日志,可以连接其他字段以形成事件的人可读摘要。如果存在多个消息,则可以将它们组合成一个消息。

类型:match_only_text

示例:Hello World

tags

用于标记每个事件的关键字列表。

类型:keyword

示例:["production", "env2"]

agent

agent 字段包含有关软件实体(如果有)的数据,该实体在主机上收集、检测或观察事件,或在主机上进行测量。示例包括 Beats。代理也可能在观察者上运行。ECS agent.* 字段应填充在事件发生或进行测量的的主机或观察者上运行的代理的详细信息。

agent.build.original

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息,不需要特定的格式。

类型:keyword

示例:metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

agent.ephemeral_id

此代理的临时标识符(如果存在)。此 ID 通常在重启时更改,但 agent.id 不会。

类型:keyword

示例:8a4f500f

agent.id

此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。

类型:keyword

示例:8a4f500d

agent.name

代理的自定义名称。这是一个可以给代理的名称。如果例如在同一主机上运行两个 Filebeat 实例,但需要对数据来自哪个 Filebeat 实例进行人工可读的分隔,这将很有帮助。如果未给出名称,则名称通常为空。

类型:keyword

示例:foo

agent.type

代理的类型。代理类型始终保持不变,应由使用的代理给出。在 Filebeat 的情况下,即使在同一台机器上运行两个 Filebeat 实例,代理也始终是 Filebeat。

类型:keyword

示例:filebeat

agent.version

代理的版本。

类型:keyword

示例:6.0.0-rc2

as

自治系统 (AS) 是一个连接的 Internet 协议 (IP) 路由前缀的集合,这些前缀在一个或多个网络运营商的控制下,代表一个单一的管理实体或域,该实体或域向互联网呈现一个通用的、明确定义的路由策略。

as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

as.organization.name

组织名称。

类型:keyword

示例:Google LLC

as.organization.name.text

类型:match_only_text

client

客户端被定义为关于会话、连接或双向流记录的事件的网络连接的启动者。对于 TCP 事件,客户端是发送 SYN 数据包的 TCP 连接的启动者。对于其他协议,客户端通常是网络事务中的启动者或请求者。一些系统使用术语“发起者”来指代 TCP 连接中的客户端。client 字段描述了在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。客户端字段通常不会为数据包级事件填充。客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于该类别,您仍应确保源和目标已正确填写。

client.address

一些事件客户端地址的定义模棱两可。该事件有时会列出一个 IP、一个域名或一个 unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip.domain,具体取决于它是哪个。

类型:keyword

client.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

client.as.organization.name

组织名称。

类型:keyword

示例:Google LLC

client.as.organization.name.text

类型:match_only_text

client.bytes

从客户端发送到服务器的字节数。

类型:long

示例:184

格式:bytes

client.domain

客户端系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从富化中添加。

类型:keyword

示例:foo.example.com

client.geo.city_name

城市名称。

类型:keyword

示例:Montreal

client.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

client.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

client.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

client.geo.country_name

国家名称。

类型:keyword

示例:Canada

client.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

client.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

client.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

client.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

client.geo.region_name

地区名称。

类型:keyword

示例:Quebec

client.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

client.ip

客户端的 IP 地址(IPv4 或 IPv6)。

类型:ip

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型:keyword

示例:00-00-5E-00-53-23

client.nat.ip

基于 NAT 会话的源的转换 IP(例如,内部客户端到 Internet)。通常是遍历负载均衡器、防火墙或路由器的连接。

类型:ip

client.nat.port

基于 NAT 会话的源的转换端口(例如,内部客户端到 Internet)。通常是遍历负载均衡器、防火墙或路由器的连接。

类型:long

格式:string

client.packets

从客户端发送到服务器的数据包数。

类型:long

示例:12

client.port

客户端的端口。

类型:long

格式:string

client.registered_domain

最高注册的客户端域,去除子域。例如,“foo.example.com”的注册域是“example.com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将无法很好地工作。

类型:keyword

示例:example.com

client.subdomain

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

client.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

client.user.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

client.user.email

用户电子邮件地址。

类型:keyword

client.user.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

client.user.full_name.text

类型:match_only_text

client.user.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

client.user.group.id

系统/平台上组的唯一标识符。

类型:keyword

client.user.group.name

组的名称。

类型:keyword

client.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

client.user.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

client.user.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

client.user.name.text

类型:match_only_text

client.user.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

cloud

与事件来源的云或基础设施相关的字段。

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型:keyword

示例:666777888999

cloud.account.name

云账户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 账户名称、Google Cloud ORG 显示名称。

类型:keyword

示例:elastic-dev

cloud.availability_zone

此主机、资源或服务所在的可用区。

类型:keyword

示例:us-east-1c

cloud.instance.id

主机机器的实例 ID。

类型:keyword

示例:i-1234567890abcdef0

cloud.instance.name

主机机器的实例名称。

类型:keyword

cloud.machine.type

主机机器的机器类型。

类型:keyword

示例:t2.medium

cloud.origin.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型:keyword

示例:666777888999

cloud.origin.account.name

云账户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 账户名称、Google Cloud ORG 显示名称。

类型:keyword

示例:elastic-dev

cloud.origin.availability_zone

此主机、资源或服务所在的可用区。

类型:keyword

示例:us-east-1c

cloud.origin.instance.id

主机机器的实例 ID。

类型:keyword

示例:i-1234567890abcdef0

cloud.origin.instance.name

主机机器的实例名称。

类型:keyword

cloud.origin.machine.type

主机机器的机器类型。

类型:keyword

示例:t2.medium

cloud.origin.project.id

云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。

类型:keyword

示例:my-project

cloud.origin.project.name

云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。

类型:keyword

示例:my project

cloud.origin.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型:keyword

示例:aws

cloud.origin.region

此主机、资源或服务所在的区域。

类型:keyword

示例:us-east-1

cloud.origin.service.name

云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。

类型:keyword

示例:lambda

cloud.project.id

云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。

类型:keyword

示例:my-project

cloud.project.name

云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。

类型:keyword

示例:my project

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型:keyword

示例:aws

cloud.region

此主机、资源或服务所在的区域。

类型:keyword

示例:us-east-1

cloud.service.name

云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。

类型:keyword

示例:lambda

cloud.target.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型:keyword

示例:666777888999

cloud.target.account.name

云账户名称或别名,用于在多租户环境中标识不同的实体。示例:AWS 账户名称、Google Cloud ORG 显示名称。

类型:keyword

示例:elastic-dev

cloud.target.availability_zone

此主机、资源或服务所在的可用区。

类型:keyword

示例:us-east-1c

cloud.target.instance.id

主机机器的实例 ID。

类型:keyword

示例:i-1234567890abcdef0

cloud.target.instance.name

主机机器的实例名称。

类型:keyword

cloud.target.machine.type

主机机器的机器类型。

类型:keyword

示例:t2.medium

cloud.target.project.id

云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。

类型:keyword

示例:my-project

cloud.target.project.name

云项目名称。示例:Google Cloud 项目名称、Azure 项目名称。

类型:keyword

示例:my project

cloud.target.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型:keyword

示例:aws

cloud.target.region

此主机、资源或服务所在的区域。

类型:keyword

示例:us-east-1

cloud.target.service.name

云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例:app engine、app service、cloud run、fargate、lambda。

类型:keyword

示例:lambda

code_signature

这些字段包含有关二进制代码签名的信息。

code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

container

容器字段用于有关作为信息来源的特定容器的元信息。这些字段有助于关联来自任何运行时的基于容器的数据。

container.cpu.usage

CPU 使用率百分比,该百分比由 CPU 核心数归一化,范围从 0 到 1。缩放因子:1000。

类型:scaled_float

container.disk.read.bytes

自上次指标收集以来成功读取的字节总数(仪表值)(从所有磁盘聚合)。

类型:long

container.disk.write.bytes

自上次指标收集以来成功写入的字节总数(仪表值)(从所有磁盘聚合)。

类型:long

container.id

唯一的容器 ID。

类型:keyword

container.image.name

构建容器所基于的映像的名称。

类型:keyword

container.image.tag

容器映像标签。

类型:keyword

container.labels

映像标签。

类型:object

container.memory.usage

内存使用率百分比,范围从 0 到 1。缩放因子:1000。

类型:scaled_float

container.name

容器名称。

类型:keyword

container.network.egress.bytes

自上次指标收集以来,容器在所有网络接口上发送的字节数(仪表值)。

类型:long

container.network.ingress.bytes

自上次指标收集以来,容器在所有网络接口上接收的字节数(仪表值)。

类型:long

container.runtime

管理此容器的运行时。

类型:keyword

示例:docker

data_stream

data_stream 字段参与定义新的数据流命名方案。在新的数据流命名方案中,数据流字段的值按以下方式组合到实际数据流的名称:{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}。这意味着这些字段只能包含作为数据流名称一部分有效的字符。有关此的更多详细信息,请参阅此博客文章。Elasticsearch 数据流由一个或多个后备索引组成,数据流名称构成后备索引名称的一部分。由于此约定,数据流也必须遵循索引命名限制。例如,数据流名称不能包含 \/*?"<>|、` `(空格字符)、,#。有关其他限制,请参阅 Elasticsearch 参考。

data_stream.dataset

该字段可以包含任何有意义的内容,以表示数据的来源。示例包括 nginx.accessprometheusendpoint 等。对于其他方面适合但未设置数据集的数据流,我们使用值“generic”作为数据集值。event.dataset 应与 data_stream.dataset 具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外,dataset 值还有其他限制:* 不得包含 - * 长度不得超过 100 个字符

类型:constant_keyword

示例:nginx.access

data_stream.namespace

用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供此最佳实践作为默认值。许多用户将使用 default 填充此字段。如果未使用任何值,则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外,namespace 值还有其他限制:* 不得包含 - * 长度不得超过 100 个字符

类型:constant_keyword

示例:production

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。

类型:constant_keyword

示例:logs

destination

目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。目标字段通常与源字段结合填充。源和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。

destination.address

某些事件目标地址的定义含糊不清。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip.domain,具体取决于它是哪个。

类型:keyword

destination.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

destination.as.organization.name

组织名称。

类型:keyword

示例:Google LLC

destination.as.organization.name.text

类型:match_only_text

destination.bytes

从目标发送到源的字节数。

类型:long

示例:184

格式:bytes

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从增强功能中添加。

类型:keyword

示例:foo.example.com

destination.geo.city_name

城市名称。

类型:keyword

示例:Montreal

destination.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

destination.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

destination.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

destination.geo.country_name

国家名称。

类型:keyword

示例:Canada

destination.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

destination.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

destination.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

destination.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

destination.geo.region_name

地区名称。

类型:keyword

示例:Quebec

destination.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

destination.ip

目标的 IP 地址(IPv4 或 IPv6)。

类型:ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节以连字符分隔。

类型:keyword

示例:00-00-5E-00-53-23

destination.nat.ip

基于 NAT 会话的转换后目标 IP(例如,Internet 到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。

类型:ip

destination.nat.port

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型:long

格式:string

destination.packets

从目标发送到源的数据包。

类型:long

示例:12

destination.port

目标的端口。

类型:long

格式:string

destination.registered_domain

最高的已注册目标域,已剥离子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地取最后两个标签来近似此值对于 TLD(例如“co.uk”)将不起作用。

类型:keyword

示例:example.com

destination.subdomain

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

destination.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

destination.user.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

destination.user.email

用户电子邮件地址。

类型:keyword

destination.user.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

destination.user.full_name.text

类型:match_only_text

destination.user.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

destination.user.group.id

系统/平台上组的唯一标识符。

类型:keyword

destination.user.group.name

组的名称。

类型:keyword

destination.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

destination.user.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

destination.user.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

destination.user.name.text

类型:match_only_text

destination.user.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

dll

这些字段包含有关动态加载到进程中的代码库的信息。

许多操作系统使用不同的名称来引用“共享代码库”,但此字段集引用以下所有内容:* 通常在 Windows 上使用的动态链接库 (.dll) * 通常在类 Unix 操作系统上使用的共享对象 (.so) * 通常在 macOS 上使用的动态库 (.dylib)

dll.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

dll.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

dll.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

dll.code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

dll.code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

dll.code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

dll.code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

dll.hash.md5

MD5 哈希。

类型:keyword

dll.hash.sha1

SHA1 哈希。

类型:keyword

dll.hash.sha256

SHA256 哈希。

类型:keyword

dll.hash.sha512

SHA512 哈希值。

类型:keyword

dll.hash.ssdeep

SSDEEP 哈希值。

类型:keyword

dll.name

库的名称。这通常映射到磁盘上的文件名。

类型:keyword

示例:kernel32.dll

dll.path

库的完整文件路径。

类型:keyword

示例:C:\Windows\System32\kernel32.dll

dll.pe.architecture

该文件面向的 CPU 架构。

类型:keyword

示例:x64

dll.pe.company

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

dll.pe.description

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

dll.pe.file_version

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

dll.pe.original_file_name

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

dll.pe.product

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

dns

描述 DNS 查询和应答的字段。DNS 事件应表示在获取应答之前的单个 DNS 查询(dns.type:query),或者应表示完整的交换并包含查询详细信息以及为此查询提供的所有应答(dns.type:answer)。

dns.answers

一个数组,其中包含服务器返回的每个应答部分的对象。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 应答的所有详细信息。至少,应答对象必须包含 data 键。如果可以获得更多信息,请尽可能将其映射到 ECS,并将任何其他字段作为自定义字段添加到应答对象中。

类型:object

dns.answers.class

此资源记录中包含的 DNS 数据的类。

类型:keyword

示例:IN

dns.answers.data

描述资源的数据。此数据的含义取决于资源记录的类型和类。

类型:keyword

示例:10.10.10.10

dns.answers.name

此资源记录所涉及的域名。如果要解析 CNAME 链,则每个应答的 name 都应该是与应答的 data 相对应的那个。它不应仅仅是重复的原始 question.name

类型:keyword

示例:www.example.com

dns.answers.ttl

此资源记录可以在被丢弃之前缓存的时间间隔(以秒为单位)。零值表示不应缓存数据。

类型:long

示例:180

dns.answers.type

此资源记录中包含的数据类型。

类型:keyword

示例:CNAME

dns.header_flags

由 2 个字母组成的 DNS 标头标志的数组。预期值是:AA、TC、RD、RA、AD、CD、DO。

类型:keyword

示例:["RD", "RA"]

dns.id

生成查询的程序分配的 DNS 数据包标识符。标识符被复制到响应中。

类型:keyword

示例:62111

dns.op_code

指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置并复制到响应中。

类型:keyword

示例:QUERY

dns.question.class

正在查询的记录的类。

类型:keyword

示例:IN

dns.question.name

正在查询的名称。如果 name 字段包含不可打印字符(低于 32 或高于 126),则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型:keyword

示例:www.example.com

dns.question.registered_domain

已剥离子域的最高注册域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用诸如公共后缀列表之类的列表准确地确定此值(http://publicsuffix.org)。尝试通过简单地获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 效果不佳。

类型:keyword

示例:example.com

dns.question.subdomain

子域是 registered_domain 下的所有标签。如果该域有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且没有尾随句点。

类型:keyword

示例:www

dns.question.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

dns.question.type

正在查询的记录类型。

类型:keyword

示例:AAAA

dns.resolved_ip

包含 answers.data 中看到的所有 IP 的数组。answers 数组可能很难使用,因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 dns.resolved_ip 可以将它们作为 IP 地址进行索引,并使它们更容易可视化和查询。

类型:ip

示例:["10.10.10.10", "10.10.10.11"]

dns.response_code

DNS 响应代码。

类型:keyword

示例:NOERROR

dns.type

捕获的 DNS 事件的类型,查询或应答。如果您的 DNS 事件源仅为您提供 DNS 查询,则您应该仅创建 dns.type:query 类型的 dns 事件。如果您的 DNS 事件源也为您提供应答,则您应该为每个查询创建一个事件(可选地在看到查询时立即创建)。以及包含所有查询详细信息以及应答数组的第二个事件。

类型:keyword

示例:answer

ecs

特定于 ECS 的元信息。

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段,必须存在于所有事件中。在跨多个索引进行查询时(这些索引可能符合略有不同的 ECS 版本),此字段允许集成调整为事件的架构版本。

类型:keyword

示例:1.0.0

必填:True

elf

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

elf.architecture

ELF 文件的机器架构。

类型:keyword

示例:x86-64

elf.byte_order

ELF 文件的字节顺序。

类型:keyword

示例:小端序

elf.cpu_type

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

elf.creation_date

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

elf.exports

导出的元素名称和类型的列表。

类型:扁平化

elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

elf.header.class

ELF 文件的标头类。

类型:keyword

elf.header.data

ELF 标头的数据表。

类型:keyword

elf.header.entrypoint

ELF 文件的标头入口点。

类型:long

格式:string

elf.header.object_version

原始 ELF 文件的“0x1”。

类型:keyword

elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

elf.header.type

ELF 文件的标头类型。

类型:keyword

elf.header.version

ELF 标头的版本。

类型:keyword

elf.imports

导入的元素名称和类型的列表。

类型:扁平化

elf.sections

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

elf.sections.chi2

该部分的卡方概率分布。

类型:long

格式:数字

elf.sections.entropy

从该部分计算的香农熵。

类型:long

格式:数字

elf.sections.flags

ELF 部分列表标志。

类型:keyword

elf.sections.name

ELF 部分列表名称。

类型:keyword

elf.sections.physical_offset

ELF 部分列表偏移量。

类型:keyword

elf.sections.physical_size

ELF 部分列表物理大小。

类型:long

格式:bytes

elf.sections.type

ELF 部分列表类型。

类型:keyword

elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型:long

格式:string

elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型:long

格式:string

elf.segments

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

elf.segments.sections

ELF 对象段部分。

类型:keyword

elf.segments.type

ELF 对象段类型。

类型:keyword

elf.shared_libraries

此 ELF 对象使用的共享库的列表。

类型:keyword

elf.telfhash

ELF 文件的 telfhash 符号哈希值。

类型:keyword

error

这些字段可以表示任何类型的错误。将它们用于在获取事件时发生的错误或事件本身包含错误的情况。

error.code

描述错误错误的错误代码。

类型:keyword

error.id

错误的唯一标识符。

类型:keyword

error.message

错误消息。

类型:match_only_text

error.stack_trace

此错误的堆栈跟踪(纯文本)。

类型:通配符

error.stack_trace.text

类型:match_only_text

error.type

错误的类型,例如异常的类名。

类型:keyword

示例:java.lang.NullPointerException

event

事件字段用于有关日志或指标事件本身的上下文信息。日志被定义为包含所发生事件详细信息的事件。日志事件必须包括事件发生的时间。日志事件的示例包括主机上启动的进程、从源发送到目标的网络数据包,或者客户端和服务器之间启动或关闭的网络连接。指标被定义为包含一个或多个数值测量值以及进行测量的时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。请参阅本节中的 event.kind 定义,以了解有关指标和状态事件的更多详细信息。

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实现者定义。

类型:keyword

示例:user-password-change

event.agent_id_status

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值,则可以使用此字段来反映该验证的结果。例如,如果代理的连接通过 mTLS 进行身份验证,并且客户端证书包含颁发给该证书的代理 ID,则可以根据证书检查事件中的 agent.id 值。如果这些值匹配,则将 event.agent_id_status: verified 添加到事件中,否则应使用其他允许的值之一。如果未执行验证,则应省略该字段。允许的值为:verified - agent.id 字段值与从身份验证元数据获得的预期值匹配。mismatch - agent.id 字段值与从身份验证元数据获得的预期值不匹配。missing - 事件中没有要验证的 agent.id 字段。auth_metadata_missing - 没有身份验证元数据或缺少有关代理 ID 的信息。

类型:keyword

示例:verified

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。event.category 代表 ECS 类别的“大桶”。例如,筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。

类型:keyword

示例:身份验证

event.code

此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而不管消息语言或随时间调整的措辞如何。Windows 事件 ID 就是一个例子。

类型:keyword

示例:4648

event.created

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 的不同之处在于,@timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用差异来计算源生成事件与代理首次处理事件之间的时间延迟。这可以用于监视代理或管道跟上事件源的能力。如果两个时间戳相同,则应使用 @timestamp。

类型:date

示例:2016-05-23T08:05:34.857Z

event.dataset

数据集的名称。如果一个事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪一个。建议(但不是必须)数据集名称以模块名称开头,后跟一个点,然后是数据集名称。

类型:keyword

示例:apache.access

event.duration

事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。

类型:long

格式:持续时间

event.end

event.end 包含事件结束或最后一次观察到活动时的日期。

类型:date

event.hash

原始字段的哈希值(可能是 logstash 指纹),以便能够证明日志完整性。

类型:keyword

示例:123456789012345678901234567890ABCD

event.id

用于描述事件的唯一 ID。

类型:keyword

示例:8a4f500d

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也不同于 event.created,后者旨在捕获代理第一次看到事件的时间。在正常情况下,假设没有篡改,时间戳在时间顺序上应如下所示:@timestamp < event.created < event.ingested

类型:date

示例:2016-05-23T08:05:35.101Z

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息,而不具体说明事件的内容。例如,此字段的值将警报事件与指标事件区分开来。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制,它还有助于了解传入的数据是否以规则的时间间隔到达。

类型:keyword

示例:警报

event.module

此数据来自的模块的名称。如果您的监视代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志),则 event.module 应包含此模块的名称。

类型:keyword

示例:apache

event.original

整个事件的原始文本消息。用于演示日志完整性,或者在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下,例如,用于重新索引。此字段未编制索引,并且 doc_values 已禁用。它无法搜索,但可以从 _source 中检索。如果用户希望覆盖此设置并为该字段编制索引,请参阅 Elasticsearch 参考中的 字段数据类型

类型:keyword

示例:Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

该字段未被索引。

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体角度来看,事件是成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应使用最能从事件生成者角度捕获整体成功或失败的值进行填充。此外,请注意,并非所有事件都具有关联的结果。例如,此字段通常不为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

类型:keyword

示例:成功

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称(例如,Sysmon、httpd),或者操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。

类型:keyword

示例:内核

event.reason

根据来源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。event.action 捕获事件中的操作,而 event.reason 描述了执行该操作的原因。例如,具有 event.action 拒绝请求的 Web 代理也可能会使用原因填充 event.reason(例如,被阻止的站点)。

类型:keyword

示例:终止了意外的进程

event.reference

指向有关此事件的其他信息的参考 URL。此 URL 链接到此事件的静态定义。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型:keyword

示例:https://system.example.com/event/#0001234

event.risk_score

事件的风险评分或优先级(例如,安全解决方案)。此处使用系统的原始值。

类型:浮点数

event.risk_score_norm

事件的标准化风险评分或优先级,范围为 0 到 100。如果您使用多个分配风险评分的系统,并且希望查看所有系统的标准化值,这将非常有用。

类型:浮点数

event.sequence

事件的序列号。序列号是某些事件源发布的值,用于明确事件的确切顺序,而不管时间戳精度如何。

类型:long

格式:string

event.severity

根据事件源,事件的数字严重性。不同严重性值所代表的含义在不同的来源和用例中可能有所不同。由实施者来确保来自同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.codeevent.severity 旨在表示根据事件源(例如,防火墙、IDS)的严重性。如果事件源未发布其自己的严重性,您可以选择将 log.syslog.severity.code 复制到 event.severity

类型:long

示例:7

格式:string

event.start

event.start 包含事件开始或首次观察到活动时的日期。

类型:date

event.timezone

当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写形式(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

类型:keyword

event.type

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”,当与 event.category 字段值一起使用时,可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当分类。

类型:keyword

event.url

指向外部系统的 URL,以继续对此事件进行调查。此 URL 链接到另一个系统,可以在其中对该事件的特定发生情况进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型:keyword

示例:https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

faas

用户字段描述有关与事件相关的功能即服务的信息。

faas.coldstart

一个布尔值,指示函数的冷启动。

类型:boolean

faas.execution

当前函数执行的执行 ID。

类型:keyword

示例:af9d5aa4-a685-4c5f-a22b-444f80b3cc28

faas.trigger

有关函数触发器的详细信息。

类型:嵌套

faas.trigger.request_id

触发请求、消息、事件等的 ID。

类型:keyword

示例:123456789

faas.trigger.type

函数执行的触发器。预期值为:* http * pubsub * datasource * timer * other

类型:keyword

示例:http

file

文件被定义为在文件系统上创建或存在的一组信息。文件对象可以与主机事件、网络事件和/或文件事件相关联(例如,由文件完整性监视 [FIM] 产品或服务生成的那些事件)。文件字段提供有关与事件或指标关联的受影响文件的详细信息。

file.accessed

上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。

类型:date

file.attributes

文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型:keyword

示例:["readonly", "system"]

file.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

file.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

file.code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

file.code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

file.code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

file.code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

file.created

文件创建时间。请注意,并非所有文件系统都会存储创建时间。

类型:date

file.ctime

上次更改文件属性或元数据的时间。请注意,对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整,因为 mtime 是文件的属性。

类型:date

file.device

作为文件来源的设备。

类型:keyword

示例:sda

file.directory

文件所在的目录。如果适用,应包含盘符。

类型:keyword

示例:/home/alice

file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。该值应为大写,且不包含冒号。

类型:keyword

示例:C

file.elf.architecture

ELF 文件的机器架构。

类型:keyword

示例:x86-64

file.elf.byte_order

ELF 文件的字节顺序。

类型:keyword

示例:小端序

file.elf.cpu_type

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

file.elf.creation_date

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

file.elf.exports

导出的元素名称和类型的列表。

类型:扁平化

file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

file.elf.header.class

ELF 文件的标头类。

类型:keyword

file.elf.header.data

ELF 标头的数据表。

类型:keyword

file.elf.header.entrypoint

ELF 文件的标头入口点。

类型:long

格式:string

file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型:keyword

file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

file.elf.header.type

ELF 文件的标头类型。

类型:keyword

file.elf.header.version

ELF 标头的版本。

类型:keyword

file.elf.imports

导入的元素名称和类型的列表。

类型:扁平化

file.elf.sections

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

file.elf.sections.chi2

该部分的卡方概率分布。

类型:long

格式:数字

file.elf.sections.entropy

从该部分计算的香农熵。

类型:long

格式:数字

file.elf.sections.flags

ELF 部分列表标志。

类型:keyword

file.elf.sections.name

ELF 部分列表名称。

类型:keyword

file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型:keyword

file.elf.sections.physical_size

ELF 部分列表物理大小。

类型:long

格式:bytes

file.elf.sections.type

ELF 部分列表类型。

类型:keyword

file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型:long

格式:string

file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型:long

格式:string

file.elf.segments

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

file.elf.segments.sections

ELF 对象段部分。

类型:keyword

file.elf.segments.type

ELF 对象段类型。

类型:keyword

file.elf.shared_libraries

此 ELF 对象使用的共享库的列表。

类型:keyword

file.elf.telfhash

ELF 文件的 telfhash 符号哈希值。

类型:keyword

file.extension

文件扩展名,不包含前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

file.fork_name

分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储文件系统对象的附加数据。一个文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为:C:\path\to\filename.extension:some_fork_name,并且 some_fork_name 是应该填充 fork_name 的值。filename.extension 应填充 file.name,并且 extension 应填充 file.extension。完整路径 file.path 将包含分支名称。

类型:keyword

示例:Zone.Identifer

file.gid

文件的主要组 ID (GID)。

类型:keyword

示例:1001

file.group

文件的主要组名称。

类型:keyword

示例:alice

file.hash.md5

MD5 哈希。

类型:keyword

file.hash.sha1

SHA1 哈希。

类型:keyword

file.hash.sha256

SHA256 哈希。

类型:keyword

file.hash.sha512

SHA512 哈希值。

类型:keyword

file.hash.ssdeep

SSDEEP 哈希值。

类型:keyword

file.inode

表示文件系统中文件的 Inode。

类型:keyword

示例:256383

file.mime_type

MIME 类型应使用 IANA 官方类型标识文件或字节流的格式(如果可能)。当有多个类型适用时,应使用最具体的类型。

类型:keyword

file.mode

文件的八进制表示形式的模式。

类型:keyword

示例:0640

file.mtime

上次修改文件内容的时间。

类型:date

file.name

包含扩展名的文件名,不包含目录。

类型:keyword

示例:example.png

file.owner

文件所有者的用户名。

类型:keyword

示例:alice

file.path

文件的完整路径,包括文件名。如果适用,应包含盘符。

类型:keyword

示例:/home/alice/example.png

file.path.text

类型:match_only_text

file.pe.architecture

该文件面向的 CPU 架构。

类型:keyword

示例:x64

file.pe.company

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

file.pe.description

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

file.pe.file_version

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

file.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

file.pe.original_file_name

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

file.pe.product

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

file.size

文件大小(以字节为单位)。仅当 file.type 为“file”时相关。

类型:long

示例:16384

file.target_path

符号链接的目标路径。

类型:keyword

file.target_path.text

类型:match_only_text

file.type

文件类型(文件、目录或符号链接)。

类型:keyword

示例:file

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型:keyword

示例:1001

file.x509.alternative_names

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

file.x509.issuer.country

国家/地区代码 © 的列表

类型:keyword

示例:US

file.x509.issuer.distinguished_name

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

file.x509.issuer.locality

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

file.x509.issuer.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

file.x509.not_after

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

file.x509.not_before

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

file.x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

file.x509.public_key_exponent

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

file.x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

file.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

file.x509.subject.common_name

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

file.x509.subject.country

国家/地区代码 © 的列表

类型:keyword

示例:US

file.x509.subject.distinguished_name

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

file.x509.subject.locality

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

file.x509.subject.organization

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

file.x509.subject.organizational_unit

主题的组织单位 (OU) 的列表。

类型:keyword

file.x509.subject.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

file.x509.version_number

x509 格式的版本。

类型:keyword

示例:3

geo

Geo 字段可以携带有关与事件相关的特定位置的数据。此地理位置信息可以从 Geo IP 等技术中获得,也可以是用户提供的。

geo.city_name

城市名称。

类型:keyword

示例:Montreal

geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

geo.continent_name

大洲的名称。

类型:keyword

示例:North America

geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

geo.country_name

国家名称。

类型:keyword

示例:Canada

geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

geo.region_name

地区名称。

类型:keyword

示例:Quebec

geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

group

组字段旨在表示与事件相关的组。

group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

group.id

系统/平台上组的唯一标识符。

类型:keyword

group.name

组的名称。

类型:keyword

hash

hash 字段表示不同的按位哈希算法及其值。预定义了常用哈希(例如,MD5、SHA1)的字段名称。通过将哈希算法名称小写并根据需要使用下划线分隔符(蛇形命名法,例如 sha3_512)为其他哈希添加字段。请注意,此字段集用于可能在各种通用字节上计算的通用哈希。特定于实体的哈希(例如 ja3 或 imphash)放置在它们相关的字段集中(分别为 tls 和 pe)。

hash.md5

MD5 哈希。

类型:keyword

hash.sha1

SHA1 哈希。

类型:keyword

hash.sha256

SHA256 哈希。

类型:keyword

hash.sha512

SHA512 哈希值。

类型:keyword

hash.ssdeep

SSDEEP 哈希值。

类型:keyword

host

主机被定义为通用计算实例。ECS host.* 字段应使用有关事件发生的或从中获取度量值的主机的详细信息填充。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

host.architecture

操作系统架构。

类型:keyword

示例:x86_64

host.cpu.usage

CPU 使用率百分比,该值由 CPU 核心数归一化,范围从 0 到 1。比例因子:1000。例如:对于双核主机,此值应为两个核心的平均值,介于 0 和 1 之间。

类型:scaled_float

host.disk.read.bytes

自上次指标收集以来成功读取的字节总数(仪表值)(从所有磁盘聚合)。

类型:long

host.disk.write.bytes

自上次指标收集以来成功写入的字节总数(仪表值)(从所有磁盘聚合)。

类型:long

host.domain

主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。

类型:keyword

示例:CONTOSO

host.geo.city_name

城市名称。

类型:keyword

示例:Montreal

host.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

host.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

host.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

host.geo.country_name

国家名称。

类型:keyword

示例:Canada

host.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

host.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

host.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

host.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

host.geo.region_name

地区名称。

类型:keyword

示例:Quebec

host.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

类型:keyword

host.id

唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 beat.name

类型:keyword

host.ip

主机 IP 地址。

类型:ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型:keyword

示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

host.name

主机的名称。它可以包含 Unix 系统上的 hostname 返回的内容、完全限定的域名或用户指定的名称。发送者决定使用哪个值。

类型:keyword

host.network.egress.bytes

自上次指标收集以来,主机在所有网络接口上发送的字节数(仪表)。

类型:long

host.network.egress.packets

自上次指标收集以来,主机在所有网络接口上发送的数据包数(仪表)。

类型:long

host.network.ingress.bytes

自上次指标收集以来,主机在所有网络接口上接收的字节数(仪表)。

类型:long

host.network.ingress.packets

自上次指标收集以来,主机在所有网络接口上接收的数据包数(仪表)。

类型:long

host.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

类型:keyword

示例:debian

host.os.full

操作系统名称,包括版本或代号。

类型:keyword

示例:Mac OS Mojave

host.os.full.text

类型:match_only_text

host.os.kernel

操作系统内核版本,作为原始字符串。

类型:keyword

示例:4.4.0-112-generic

host.os.name

操作系统名称,不含版本。

类型:keyword

示例:Mac OS X

host.os.name.text

类型:match_only_text

host.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

类型:keyword

示例:darwin

host.os.type

使用 os.type 字段将操作系统分类到广泛的商业系列中。应使用以下值之一(小写):linux、macos、unix、windows。如果您正在处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提出问题来告知我们,以便提出添加该字段的建议。

类型:keyword

示例:macos

host.os.version

操作系统版本,作为原始字符串。

类型:keyword

示例:10.14.1

host.type

主机类型。对于云提供商,这可以是机器类型,如 t2.medium。如果是虚拟机,这可以是容器,或者在您的环境中具有意义的其他信息。

类型:keyword

host.uptime

主机已运行的秒数。

类型:long

示例:1325

http

与 HTTP 活动相关的字段。使用 url 字段集来存储请求的 URL。

http.request.body.bytes

请求正文的大小(以字节为单位)。

类型:long

示例:887

格式:bytes

http.request.body.content

完整的 HTTP 请求正文。

类型:通配符

示例:Hello world

http.request.body.content.text

类型:match_only_text

http.request.bytes

请求的总大小(以字节为单位,包括正文和标头)。

类型:long

示例:1437

格式:bytes

http.request.id

每个 HTTP 请求的唯一标识符,用于关联客户端和服务器之间的事务日志。该 ID 可以包含在非标准的 HTTP 标头中,如 X-Request-IDX-Correlation-ID

类型:keyword

示例:123e4567-e89b-12d3-a456-426614174000

http.request.method

HTTP 请求方法。该值应保留原始事件中的大小写。例如,GETgetGeT 都被认为是此字段的有效值。

类型:keyword

示例:POST

http.request.mime_type

请求正文的 MIME 类型。此值必须仅根据请求正文的内容进行填充,而不是基于 Content-Type 标头。将请求的 MIME 类型与请求的 Content-Type 标头进行比较,有助于检测威胁或配置错误的客户端。

类型:keyword

示例:image/gif

http.request.referrer

此 HTTP 请求的引用者。

类型:keyword

示例:https://blog.example.com/

http.response.body.bytes

响应正文的大小(以字节为单位)。

类型:long

示例:887

格式:bytes

http.response.body.content

完整的 HTTP 响应正文。

类型:通配符

示例:Hello world

http.response.body.content.text

类型:match_only_text

http.response.bytes

响应的总大小(以字节为单位,包括正文和标头)。

类型:long

示例:1437

格式:bytes

http.response.mime_type

响应正文的 MIME 类型。此值必须仅根据响应正文的内容进行填充,而不是基于 Content-Type 标头。将响应的 MIME 类型与响应的 Content-Type 标头进行比较,有助于检测配置错误的服务器。

类型:keyword

示例:image/gif

http.response.status_code

HTTP 响应状态代码。

类型:long

示例:404

格式:string

http.version

HTTP 版本。

类型:keyword

示例:1.1

interface

当观察者(例如,防火墙、路由器、负载均衡器)在处理网络连接时报告入口和出口接口信息时,使用接口字段记录这些信息。如果只有一个观察者接口(例如,SPAN 端口上的网络传感器),则只能填充 observer.ingress 信息。

interface.alias

系统报告的接口别名,通常用于防火墙实现中,例如,内部、外部或 DMZ 逻辑接口命名。

类型:keyword

示例:outside

interface.id

观察者报告的接口 ID(通常为 SNMP 接口 ID)。

类型:keyword

示例:10

interface.name

系统报告的接口名称。

类型:keyword

示例:eth0

log

有关事件的日志记录机制或日志传输的详细信息。log.* 字段通常填充用于创建和/或传输事件的日志记录机制的详细信息。例如,syslog 的详细信息位于 log.syslog.* 下。特定于您的事件源的详细信息通常不会记录在 log.* 下,而是记录在 event.* 或其他 ECS 字段中。

log.file.path

此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请勿填充此字段。

类型:keyword

示例:/var/log/fun-times.log

log.level

日志事件的原始日志级别。如果事件的来源提供了日志级别或文本严重性,则此级别或严重性会进入 log.level。如果您的来源未指定日志级别或严重性,则可以将事件传输的严重性放在此处(例如,Syslog 严重性)。一些示例包括 warnerriinformational

类型:keyword

示例:error

log.logger

应用程序内部的记录器名称。这通常是初始化记录器的类的名称,或者可以是自定义名称。

类型:keyword

示例:org.elasticsearch.bootstrap.Bootstrap

log.origin.file.line

包含引发日志事件的源代码的文件的行号。

类型:long

示例:42

log.origin.file.name

包含引发日志事件的源代码的文件名称。请注意,此字段并非用于捕获日志文件。捕获日志文件的正确字段是 log.file.path

类型:keyword

示例:Bootstrap.java

log.origin.function

引发日志事件的函数或方法的名称。

类型:keyword

示例:init

log.syslog

事件的 Syslog 元数据(如果该事件是通过 Syslog 传输的)。请参阅 RFC 5424 或 3164。

类型:object

log.syslog.facility.code

日志事件的 Syslog 数字工具(如果可用)。根据 RFC 5424 和 3164,此值应为介于 0 和 23 之间的整数。

类型:long

示例:23

格式:string

log.syslog.facility.name

日志事件的基于文本的 Syslog 工具(如果可用)。

类型:keyword

示例:local7

log.syslog.priority

事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,此数字应包含介于 0 和 191 之间的值。

类型:long

示例:135

格式:string

log.syslog.severity.code

日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值(例如,防火墙、IDS),则您来源的数字严重性应进入 event.severity。如果事件源未指定不同的严重性,则您可以选择将 Syslog 严重性复制到 event.severity

类型:long

示例:3

log.syslog.severity.name

日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件的事件源提供了不同的严重性值(例如,防火墙、IDS),则您来源的文本严重性应进入 log.level。如果事件源未指定不同的严重性,则您可以选择将 Syslog 严重性复制到 log.level

类型:keyword

示例:Error

network

网络定义为发生主机或网络事件的通信路径。network.* 字段应填充与事件相关的网络活动的详细信息。

network.application

当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定的应用程序或服务时,此字段会捕获应用程序或服务的名称。例如,原始事件标识网络连接来自 https 网络连接中的特定 Web 服务,例如 facebooktwitter。字段值必须标准化为小写以进行查询。

类型:keyword

示例:aim

network.bytes

在两个方向上传输的总字节数。如果已知 source.bytesdestination.bytes,则 network.bytes 是它们的总和。

类型:long

示例:368

格式:bytes

network.community_id

源 IP 和目标 IP 和端口的哈希值,以及通信中使用的协议。这是一个与工具无关的标准,用于识别流。请访问 https://github.com/corelight/community-id-spec 了解更多信息。

类型:keyword

示例:1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

network.direction

网络流量的方向。建议的值为:* ingress * egress * inbound * outbound * internal * external * unknown

当映射来自基于主机的监视上下文的事件时,请使用“ingress”或“egress”值,从主机的角度填充此字段。当映射来自基于网络或外围的监视上下文的事件时,请使用“inbound”、“outbound”、“internal”或“external”值,从网络外围的角度填充此字段。请注意,“internal”并未跨越外围边界,而是用于描述外围内的两个主机之间的通信。另请注意,“external”旨在描述两个外围外部主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商很有用。

类型:keyword

示例:inbound

network.forwarded_ip

当源 IP 地址是代理时的主机 IP 地址。

类型:ip

示例:192.1.1.2

network.iana_number

IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志非常一致。

类型:keyword

示例:6

network.inner

除了 network.vlan 字段之外,还会添加 network.inner 字段来描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器(例如,Zeek、Wireshark)时,通常使用内部 VLAN 字段。

类型:object

network.inner.vlan.id

观察者报告的 VLAN ID。

类型:keyword

示例:10

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

类型:keyword

示例:outside

network.name

运营商为其网络部分指定的名称。

类型:keyword

示例:Guest Wifi

network.packets

在两个方向上传输的总数据包数。如果已知 source.packetsdestination.packets,则 network.packets 是它们的总和。

类型:long

示例:24

network.protocol

在 OSI 模型中,这将是应用层协议。例如,httpdnsssh。字段值必须标准化为小写以进行查询。

类型:keyword

示例:http

network.transport

与 network.iana_number 相同,但改为使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。

类型:keyword

示例:tcp

network.type

在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。

类型:keyword

示例:ipv4

network.vlan.id

观察者报告的 VLAN ID。

类型:keyword

示例:10

network.vlan.name

观察者报告的可选 VLAN 名称。

类型:keyword

示例:outside

observer

观察者被定义为一种特殊的网络、安全或应用程序设备,用于检测、观察或创建与网络、安全或应用程序相关的事件和指标。这可以是定制的硬件设备,也可以是配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用程序防火墙、数据丢失防护系统和 APM 服务器。如果存在检测、观察和/或创建网络、安全或应用程序事件或指标的系统,则应使用该系统的详细信息填充 observer.* 字段。在 ECS 中,用于处理事件或指标的消息队列和 ETL 组件不被视为观察者。

observer.egress

Observer.egress 包含接口编号和名称、VLAN 以及区域信息等,用于对出口流量进行分类。诸如跨接端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 来对流量进行分类。

类型:object

observer.egress.interface.alias

系统报告的接口别名,通常用于防火墙实现中,例如,内部、外部或 DMZ 逻辑接口命名。

类型:keyword

示例:outside

observer.egress.interface.id

观察者报告的接口 ID(通常为 SNMP 接口 ID)。

类型:keyword

示例:10

observer.egress.interface.name

系统报告的接口名称。

类型:keyword

示例:eth0

observer.egress.vlan.id

观察者报告的 VLAN ID。

类型:keyword

示例:10

observer.egress.vlan.name

观察者报告的可选 VLAN 名称。

类型:keyword

示例:outside

observer.egress.zone

观察者报告的出站流量的网络区域,用于对出口流量的目标区域进行分类,例如:内部、外部、DMZ、人力资源、法律等。

类型:keyword

示例:Public_Internet

observer.geo.city_name

城市名称。

类型:keyword

示例:Montreal

observer.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

observer.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

observer.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

observer.geo.country_name

国家名称。

类型:keyword

示例:Canada

observer.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

observer.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

observer.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

observer.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

observer.geo.region_name

地区名称。

类型:keyword

示例:Quebec

observer.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

observer.hostname

观察者的主机名。

类型:keyword

observer.ingress

Observer.ingress 包含接口编号和名称、VLAN 以及区域信息等,用于对入口流量进行分类。诸如跨接端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 来对流量进行分类。

类型:object

observer.ingress.interface.alias

系统报告的接口别名,通常用于防火墙实现中,例如,内部、外部或 DMZ 逻辑接口命名。

类型:keyword

示例:outside

observer.ingress.interface.id

观察者报告的接口 ID(通常为 SNMP 接口 ID)。

类型:keyword

示例:10

observer.ingress.interface.name

系统报告的接口名称。

类型:keyword

示例:eth0

observer.ingress.vlan.id

观察者报告的 VLAN ID。

类型:keyword

示例:10

observer.ingress.vlan.name

观察者报告的可选 VLAN 名称。

类型:keyword

示例:outside

observer.ingress.zone

观察者报告的入站流量的网络区域,用于对入口流量的源区域进行分类。例如:内部、外部、DMZ、人力资源、法律等。

类型:keyword

示例:DMZ

observer.ip

观察者的 IP 地址。

类型:ip

observer.mac

观察者的 MAC 地址。建议采用 RFC 7042 的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型:keyword

示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

observer.name

观察者的自定义名称。这是可以给观察者起的名称。例如,如果组织中使用多个相同型号的防火墙,这将很有帮助。如果不需要自定义名称,则可以将该字段留空。

类型:keyword

示例:1_proxySG

observer.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

类型:keyword

示例:debian

observer.os.full

操作系统名称,包括版本或代号。

类型:keyword

示例:Mac OS Mojave

observer.os.full.text

类型:match_only_text

observer.os.kernel

操作系统内核版本,作为原始字符串。

类型:keyword

示例:4.4.0-112-generic

observer.os.name

操作系统名称,不含版本。

类型:keyword

示例:Mac OS X

observer.os.name.text

类型:match_only_text

observer.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

类型:keyword

示例:darwin

observer.os.type

使用 os.type 字段将操作系统分类到广泛的商业系列中。应使用以下值之一(小写):linux、macos、unix、windows。如果您正在处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提出问题来告知我们,以便提出添加该字段的建议。

类型:keyword

示例:macos

observer.os.version

操作系统版本,作为原始字符串。

类型:keyword

示例:10.14.1

observer.product

观察者的产品名称。

类型:keyword

示例:s200

observer.serial_number

观察者的序列号。

类型:keyword

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 forwarderfirewallidsipsproxypollersensorAPM server

类型:keyword

示例:firewall

observer.vendor

观察者的供应商名称。

类型:keyword

示例:Symantec

observer.version

观察者版本。

类型:keyword

orchestrator

描述容器编排器管理或操作的资源的字段。

orchestrator.api_version

用于执行操作的 API 版本

类型:keyword

示例:v1beta1

orchestrator.cluster.name

集群的名称。

类型:keyword

orchestrator.cluster.url

用于管理集群的 API 的 URL。

类型:keyword

orchestrator.cluster.version

集群的版本。

类型:keyword

orchestrator.namespace

操作发生的命名空间。

类型:keyword

示例:kube-system

orchestrator.organization

受事件影响的组织(用于多租户编排器设置)。

类型:keyword

示例:elastic

orchestrator.resource.name

正在操作的资源的名称。

类型:keyword

示例:test-pod-cdcws

orchestrator.resource.type

正在操作的资源的类型。

类型:keyword

示例:service

orchestrator.type

编排器集群类型(例如 kubernetes、nomad 或 cloudfoundry)。

类型:keyword

示例:kubernetes

organization

组织字段使用有关数据关联的公司或实体的信息来丰富数据。这些字段可帮助您按一个或多个组织排列或筛选索引中存储的数据。

organization.id

组织的唯一标识符。

类型:keyword

organization.name

组织名称。

类型:keyword

organization.name.text

类型:match_only_text

os

OS 字段包含有关操作系统的信息。

os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

类型:keyword

示例:debian

os.full

操作系统名称,包括版本或代号。

类型:keyword

示例:Mac OS Mojave

os.full.text

类型:match_only_text

os.kernel

操作系统内核版本,作为原始字符串。

类型:keyword

示例:4.4.0-112-generic

os.name

操作系统名称,不含版本。

类型:keyword

示例:Mac OS X

os.name.text

类型:match_only_text

os.platform

操作系统平台(例如 centos、ubuntu、windows)。

类型:keyword

示例:darwin

os.type

使用 os.type 字段将操作系统分类到广泛的商业系列中。应使用以下值之一(小写):linux、macos、unix、windows。如果您正在处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提出问题来告知我们,以便提出添加该字段的建议。

类型:keyword

示例:macos

os.version

操作系统版本,作为原始字符串。

类型:keyword

示例:10.14.1

package

这些字段包含有关已安装软件包的信息。它包含有关软件包的一般信息,例如名称、版本或大小。它还包含安装详细信息,例如时间或位置。

package.architecture

软件包体系结构。

类型:keyword

示例:x86_64

package.build_version

有关已安装软件包的构建版本的其他信息。例如,使用未发布软件包的提交 SHA。

类型:keyword

示例:36f4f7e89dd61b0988b12ee000b98966867710cd

package.checksum

已安装软件包的校验和,用于验证。

类型:keyword

示例:68b329da9893e34099c7d8ad5cb9c940

package.description

软件包的描述。

类型:keyword

示例:用于构建简单/可靠/高效软件的开源编程语言。

package.install_scope

指示软件包的安装方式,例如用户本地、全局。

类型:keyword

示例:global

package.installed

软件包的安装时间。

类型:date

package.license

发布软件包所依据的许可。尽可能使用短名称,例如来自 SPDX 许可证列表的许可证标识符 (https://spdx.org/licenses/)。

类型:keyword

示例:Apache License 2.0

package.name

软件包名称

类型:keyword

示例:go

package.path

软件包的安装路径。

类型:keyword

示例:/usr/local/Cellar/go/1.12.9/

package.reference

如果可用,此软件包中软件的主页或参考 URL。

类型:keyword

示例:https://golang.ac.cn

package.size

软件包大小(以字节为单位)。

类型:long

示例:62231

格式:string

package.type

软件包的类型。这应包含软件包文件类型,而不是软件包管理器名称。示例:rpm、dpkg、brew、npm、gem、nupkg、jar。

类型:keyword

示例:rpm

package.version

软件包版本

类型:keyword

示例:1.12.9

pe

这些字段包含 Windows 可移植可执行 (PE) 元数据。

pe.architecture

该文件面向的 CPU 架构。

类型:keyword

示例:x64

pe.company

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

pe.description

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

pe.file_version

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

pe.original_file_name

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

pe.product

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

process

这些字段包含有关进程的信息。这些字段可帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid 通常保留在指标本身中,并复制到全局字段以进行关联。

process.args

进程参数的数组,从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

类型:keyword

示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表明存在可疑活动。

类型:long

示例:4

process.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

process.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

process.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

process.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

process.code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

process.code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

process.code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

process.code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

process.command_line

启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

类型:通配符

示例:/usr/bin/ssh -l user 10.0.0.16

process.command_line.text

类型:match_only_text

process.elf.architecture

ELF 文件的机器架构。

类型:keyword

示例:x86-64

process.elf.byte_order

ELF 文件的字节顺序。

类型:keyword

示例:小端序

process.elf.cpu_type

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

process.elf.creation_date

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

process.elf.exports

导出的元素名称和类型的列表。

类型:扁平化

process.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

process.elf.header.class

ELF 文件的标头类。

类型:keyword

process.elf.header.data

ELF 标头的数据表。

类型:keyword

process.elf.header.entrypoint

ELF 文件的标头入口点。

类型:long

格式:string

process.elf.header.object_version

原始 ELF 文件的“0x1”。

类型:keyword

process.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

process.elf.header.type

ELF 文件的标头类型。

类型:keyword

process.elf.header.version

ELF 标头的版本。

类型:keyword

process.elf.imports

导入的元素名称和类型的列表。

类型:扁平化

process.elf.sections

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

process.elf.sections.chi2

该部分的卡方概率分布。

类型:long

格式:数字

process.elf.sections.entropy

从该部分计算的香农熵。

类型:long

格式:数字

process.elf.sections.flags

ELF 部分列表标志。

类型:keyword

process.elf.sections.name

ELF 部分列表名称。

类型:keyword

process.elf.sections.physical_offset

ELF 部分列表偏移量。

类型:keyword

process.elf.sections.physical_size

ELF 部分列表物理大小。

类型:long

格式:bytes

process.elf.sections.type

ELF 部分列表类型。

类型:keyword

process.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型:long

格式:string

process.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型:long

格式:string

process.elf.segments

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

process.elf.segments.sections

ELF 对象段部分。

类型:keyword

process.elf.segments.type

ELF 对象段类型。

类型:keyword

process.elf.shared_libraries

此 ELF 对象使用的共享库的列表。

类型:keyword

process.elf.telfhash

ELF 文件的 telfhash 符号哈希值。

类型:keyword

process.end

进程结束的时间。

类型:date

示例:2016-05-23T08:05:34.853Z

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法,旨在缓解 PID 重复使用,并随着时间的推移跨多个受监视的主机识别特定进程。

类型:keyword

示例:c2c455d9f99375d

process.executable

进程可执行文件的绝对路径。

类型:keyword

示例:/usr/bin/ssh

process.executable.text

类型:match_only_text

process.exit_code

如果此事件是终止事件,则为进程的退出代码。如果事件没有退出代码,则该字段应不存在(例如,进程启动)。

类型:long

示例:137

process.hash.md5

MD5 哈希。

类型:keyword

process.hash.sha1

SHA1 哈希。

类型:keyword

process.hash.sha256

SHA256 哈希。

类型:keyword

process.hash.sha512

SHA512 哈希值。

类型:keyword

process.hash.ssdeep

SSDEEP 哈希值。

类型:keyword

process.name

进程名称。有时称为程序名称或类似名称。

类型:keyword

示例:ssh

process.name.text

类型:match_only_text

process.parent.args

进程参数的数组,从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

类型:keyword

示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.parent.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表明存在可疑活动。

类型:long

示例:4

process.parent.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

process.parent.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

process.parent.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

process.parent.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

进程父级的代码签名状态

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

process.parent.code_signature.subject_name

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

进程父级的代码签名主题名称

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

process.parent.code_signature.team_id

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

进程父级的代码签名团队 ID

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

process.parent.code_signature.timestamp

启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

类型:通配符

示例:/usr/bin/ssh -l user 10.0.0.16

进程父级的代码签名时间戳

类型:match_only_text

process.parent.code_signature.trusted

ELF 文件的机器架构。

类型:keyword

示例:x86-64

进程父级的代码签名是否受信任

ELF 文件的字节顺序。

类型:keyword

示例:小端序

process.parent.code_signature.valid

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

进程父级的代码签名是否有效

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

process.parent.command_line

导出的元素名称和类型的列表。

类型:扁平化

进程父级的命令行

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

process.parent.command_line.text

ELF 文件的标头类。

类型:keyword

进程父级的命令行文本

ELF 标头的数据表。

类型:keyword

process.parent.elf.architecture

ELF 文件的标头入口点。

类型:long

格式:string

进程父级的 ELF 文件架构

原始 ELF 文件的“0x1”。

类型:keyword

process.parent.elf.byte_order

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

进程父级的 ELF 文件字节序

ELF 文件的标头类型。

类型:keyword

process.parent.elf.cpu_type

ELF 标头的版本。

类型:keyword

进程父级的 ELF 文件 CPU 类型

导入的元素名称和类型的列表。

类型:扁平化

process.parent.elf.creation_date

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

进程父级的 ELF 文件创建日期

该部分的卡方概率分布。

类型:long

格式:数字

process.parent.elf.exports

从该部分计算的香农熵。

类型:long

格式:数字

进程父级的 ELF 文件导出

ELF 部分列表标志。

类型:keyword

process.parent.elf.header.abi_version

ELF 部分列表名称。

类型:keyword

进程父级的 ELF 文件头 ABI 版本

ELF 部分列表偏移量。

类型:keyword

process.parent.elf.header.class

ELF 部分列表物理大小。

类型:long

格式:bytes

进程父级的 ELF 文件头类

ELF 部分列表类型。

类型:keyword

process.parent.elf.header.data

ELF 部分列表虚拟地址。

类型:long

格式:string

进程父级的 ELF 文件头数据

ELF 部分列表虚拟大小。

类型:long

格式:string

process.parent.elf.header.entrypoint

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

进程父级的 ELF 文件头入口点

ELF 对象段部分。

类型:keyword

process.parent.elf.header.object_version

ELF 对象段类型。

类型:keyword

进程父级的 ELF 文件头对象版本

此 ELF 对象使用的共享库的列表。

类型:keyword

process.parent.elf.header.os_abi

ELF 文件的 telfhash 符号哈希值。

类型:keyword

进程父级的 ELF 文件头操作系统 ABI

进程结束的时间。

类型:date

示例:2016-05-23T08:05:34.853Z

process.parent.elf.header.type

进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法,旨在缓解 PID 重复使用,并随着时间的推移跨多个受监视的主机识别特定进程。

类型:keyword

示例:c2c455d9f99375d

进程父级的 ELF 文件头类型

进程可执行文件的绝对路径。

类型:keyword

示例:/usr/bin/ssh

process.parent.elf.header.version

类型:match_only_text

进程父级的 ELF 文件头版本

如果此事件是终止事件,则为进程的退出代码。如果事件没有退出代码,则该字段应不存在(例如,进程启动)。

类型:long

示例:137

process.parent.elf.imports

MD5 哈希。

类型:keyword

进程父级的 ELF 文件导入

SHA1 哈希。

类型:keyword

process.parent.elf.sections

SHA256 哈希。

类型:keyword

进程父级的 ELF 文件节

SHA512 哈希值。

类型:keyword

process.parent.elf.sections.chi2

SSDEEP 哈希值。

类型:keyword

进程父级的 ELF 文件节的 chi2 值

进程名称。有时称为程序名称或类似名称。

类型:keyword

示例:ssh

process.parent.elf.sections.entropy

类型:match_only_text

进程父级的 ELF 文件节的熵

该文件面向的 CPU 架构。

类型:keyword

示例:x64

process.parent.elf.sections.flags

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

进程父级的 ELF 文件节的标志

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

process.parent.elf.sections.name

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

进程父级的 ELF 文件节的名称

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

process.parent.elf.sections.physical_offset

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

进程父级的 ELF 文件节的物理偏移

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

process.parent.elf.sections.physical_size

进程父级的 ELF 文件节的物理大小

类型:long

格式:string

process.parent.elf.sections.type

进程父级的 ELF 文件节的类型

类型:long

process.parent.elf.sections.virtual_address

格式:string

进程父级的 ELF 文件节的虚拟地址

process.parent.elf.sections.virtual_size

类型:date

示例:2016-05-23T08:05:34.853Z

进程父级的 ELF 文件节的虚拟大小

process.parent.elf.segments

类型:long

process.parent.elf.sections.virtual_address

格式:string

进程父级的 ELF 文件段

process.parent.elf.segments.sections

类型:keyword

进程父级的 ELF 文件段的节

process.parent.elf.segments.type

进程父级的 ELF 文件段的类型

类型:keyword

process.parent.elf.shared_libraries

类型:match_only_text

进程父级的 ELF 文件共享库

process.parent.elf.telfhash

类型:long

示例:1325

进程父级的 ELF 文件 telfhash 值

process.parent.end

类型:keyword

示例:/home/alice

进程父级的结束时间

类型:match_only_text

process.parent.entity_id

该文件面向的 CPU 架构。

类型:keyword

示例:x64

进程父级的实体 ID

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

process.parent.executable

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

进程父级的可执行文件

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

process.parent.executable.text

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

进程父级的可执行文件路径

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

process.parent.exit_code

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

进程父级的退出代码

进程父级的 ELF 文件节的物理大小

类型:long

格式:string

process.parent.hash.md5

进程父级的 ELF 文件节的类型

类型:long

process.parent.elf.sections.virtual_address

格式:string

进程父级的 MD5 哈希值

process.parent.elf.sections.virtual_size

类型:date

示例:2016-05-23T08:05:34.853Z

process.parent.hash.sha1

process.parent.elf.segments

类型:long

process.parent.elf.sections.virtual_address

格式:string

进程父级的 SHA1 哈希值

process.parent.elf.segments.sections

类型:keyword

进程父级的 ELF 文件段的节

process.parent.hash.sha256

进程父级的 ELF 文件段的类型

类型:keyword

进程父级的 SHA256 哈希值

类型:match_only_text

process.parent.hash.sha512

process.parent.elf.telfhash

类型:long

示例:1325

进程父级的 SHA512 哈希值

process.parent.end

类型:keyword

示例:/home/alice

process.parent.hash.ssdeep

类型:match_only_text

进程父级的 ssdeep 哈希值

process.parent.name

进程父级的名称

process.parent.name.text

类型:keyword

进程父级的名称文本

process.parent.pe.architecture

进程父级的 PE 文件架构

类型:通配符

process.parent.pe.company

进程父级的 PE 文件公司

process.parent.pe.description

类型:keyword

进程父级的 PE 文件描述

process.parent.pe.file_version

进程父级的 PE 文件版本

类型:keyword

process.parent.pe.imphash

进程父级的 PE 文件 imphash 值

process.parent.pe.original_file_name

类型:keyword

进程父级的 PE 文件原始文件名

process.parent.pe.product

进程父级的 PE 文件产品

类型:keyword

process.parent.pgid

进程父级的进程组 ID

Identifier of the group of processes the process belongs to.

类型:keyword

标识进程所属的进程组。

process.parent.pid

进程父级的进程 ID

Process id.

进程 ID。

类型:keyword

example: 4242

示例:4242

类型:keyword

process.parent.start

进程父级的启动时间

类型:ip

The time the process started.

进程启动的时间。

类型:keyword

process.parent.thread.id

进程父级的线程 ID

Thread ID.

线程 ID。

类型:keyword

process.parent.thread.name

进程父级的线程名称

Thread name.

类型:keyword

线程名称。

example: thread-0

示例:thread-0

类型:keyword

process.parent.title

进程父级的标题

Process title. The proctitle, some times the same as process name. Can also be different: for example a browser setting its title to the web page currently opened.

类型:keyword

进程标题。进程标题有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。

process.parent.title.text

进程父级的标题文本

类型:keyword

process.parent.uptime

进程父级的运行时间

Seconds the process has been up.

类型:keyword

进程已运行的秒数。

process.parent.working_directory

进程父级的工作目录

类型:keyword

The working directory of the process.

进程的工作目录。

process.parent.working_directory.text

类型:keyword

进程父级的工作目录文本

process.pe.architecture

进程的 PE 文件架构

类型:keyword

process.pe.company

进程的 PE 文件公司

process.pe.description

类型:keyword

示例:1.1

进程的 PE 文件描述

process.pe.file_version

进程的 PE 文件版本

process.pe.imphash

类型:keyword

进程的 PE 文件 imphash 值

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

process.pe.original_file_name

组织名称。

类型:keyword

示例:Google LLC

进程的 PE 文件原始文件名

类型:match_only_text

process.pe.product

进程的 PE 文件产品

类型:long

示例:184

格式:bytes

process.pgid

进程的进程组 ID

类型:keyword

示例:foo.example.com

process.pid

城市名称。

类型:keyword

示例:Montreal

进程的进程 ID

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

process.start

大洲的名称。

类型:keyword

示例:North America

进程的启动时间

国家 ISO 代码。

类型:keyword

示例:CA

process.thread.id

国家名称。

类型:keyword

示例:Canada

进程的线程 ID

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

process.thread.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

进程的线程名称

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

process.title

地区 ISO 代码。

类型:keyword

示例:CA-QC

进程的标题

地区名称。

类型:keyword

示例:Quebec

process.title.text

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

进程的标题文本

process.uptime

类型:ip

进程的运行时间

process.working_directory

类型:keyword

示例:00-00-5E-00-53-23

进程的工作目录

基于 NAT 会话的转换后目标 IP(例如,Internet 到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。

类型:ip

process.working_directory.text

进程的工作目录文本

类型:long

格式:string

registry

与 Windows 注册表操作相关的字段。

类型:long

示例:12

registry.data.bytes

以 base64 编码的原始字节。对于 Windows 注册表操作,例如 SetValueEx 和 RegQueryValueEx,这对应于 lp_data 指向的数据。这是可选的,但提供了更好的可恢复性,应该为 REG_BINARY 编码的值填充此字段。

类型:long

格式:string

example: ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

示例:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

类型:keyword

示例:example.com

registry.data.strings

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

写入字符串类型时的内容。在将字符串数据写入注册表时填充为数组。对于单字符串注册表类型(REG_SZ,REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于具有 REG_MULTI_SZ 的字符串序列,此数组的长度将是可变的。对于数值数据,例如 REG_DWORD 和 REG_QWORD,这应该使用十进制表示形式填充(例如 "1")。

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

example: ["C:\rta\red_ttp\bin\myapp.exe"]

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

示例:["C:\rta\red_ttp\bin\myapp.exe"]

用户电子邮件地址。

类型:keyword

registry.data.type

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

用于编码内容的标准注册表类型

类型:match_only_text

example: REG_SZ

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

示例:REG_SZ

系统/平台上组的唯一标识符。

类型:keyword

registry.hive

组的名称。

类型:keyword

注册表配置单元的缩写名称。

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

example: HKLM

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

示例:HKLM

用户的简称或登录名。

类型:keyword

示例:a.einstein

registry.key

类型:match_only_text

注册表配置单元的相对路径。

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

example: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

示例:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

registry.path

此服务的数据是从哪里收集的地址。这应该是一个 URI、网络地址(ipv4:端口 或 [ipv6]:端口)或资源路径(套接字)。

类型:keyword

示例:172.26.0.2:5432

service.environment

标识服务运行的环境。如果同一个服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以标识同一服务的其他实例。也可以将同一环境中的服务和应用程序分组。

类型:keyword

示例:production

service.ephemeral_id

此服务的临时标识符(如果存在)。此 ID 通常会在重启后更改,但 service.id 不会。

类型:keyword

示例:8a4f500f

service.id

正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 service.id 应该相同。此 ID 应唯一标识该服务。这使得可以关联特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看来自该服务的特定主机的事件,则应改为筛选 host.namehost.id

类型:keyword

示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.name

从中收集数据的服务的名称。服务的名称通常由用户给出。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下,service.name 可以包含集群名称。对于 Beats,如果没有指定名称,则 service.name 默认是 service.type 字段的副本。

类型:keyword

示例:elasticsearch-metrics

service.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下,service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不能提供唯一性(例如,服务的多个实例在同一主机上运行),则可以手动设置节点名称。

类型:keyword

示例:instance-0000000016

service.origin.address

此服务的数据是从哪里收集的地址。这应该是一个 URI、网络地址(ipv4:端口 或 [ipv6]:端口)或资源路径(套接字)。

类型:keyword

示例:172.26.0.2:5432

service.origin.environment

标识服务运行的环境。如果同一个服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以标识同一服务的其他实例。也可以将同一环境中的服务和应用程序分组。

类型:keyword

示例:production

service.origin.ephemeral_id

此服务的临时标识符(如果存在)。此 ID 通常会在重启后更改,但 service.id 不会。

类型:keyword

示例:8a4f500f

service.origin.id

正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 service.id 应该相同。此 ID 应唯一标识该服务。这使得可以关联特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看来自该服务的特定主机的事件,则应改为筛选 host.namehost.id

类型:keyword

示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.origin.name

从中收集数据的服务的名称。服务的名称通常由用户给出。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下,service.name 可以包含集群名称。对于 Beats,如果没有指定名称,则 service.name 默认是 service.type 字段的副本。

类型:keyword

示例:elasticsearch-metrics

service.origin.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下,service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不能提供唯一性(例如,服务的多个实例在同一主机上运行),则可以手动设置节点名称。

类型:keyword

示例:instance-0000000016

service.origin.state

服务的当前状态。

类型:keyword

service.origin.type

从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 service.type 将为 elasticsearch

类型:keyword

示例:elasticsearch

service.origin.version

从中收集数据的服务的版本。这允许仅查看特定版本的服务的数据集。

类型:keyword

示例:3.2.4

service.state

服务的当前状态。

类型:keyword

service.target.address

此服务的数据是从哪里收集的地址。这应该是一个 URI、网络地址(ipv4:端口 或 [ipv6]:端口)或资源路径(套接字)。

类型:keyword

示例:172.26.0.2:5432

service.target.environment

标识服务运行的环境。如果同一个服务在不同的环境(生产、预发布、QA、开发等)中运行,则环境可以标识同一服务的其他实例。也可以将同一环境中的服务和应用程序分组。

类型:keyword

示例:production

service.target.ephemeral_id

此服务的临时标识符(如果存在)。此 ID 通常会在重启后更改,但 service.id 不会。

类型:keyword

示例:8a4f500f

service.target.id

正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 service.id 应该相同。此 ID 应唯一标识该服务。这使得可以关联特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看来自该服务的特定主机的事件,则应改为筛选 host.namehost.id

类型:keyword

示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.target.name

从中收集数据的服务的名称。服务的名称通常由用户给出。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下,service.name 可以包含集群名称。对于 Beats,如果没有指定名称,则 service.name 默认是 service.type 字段的副本。

类型:keyword

示例:elasticsearch-metrics

service.target.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下,service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念,则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不能提供唯一性(例如,服务的多个实例在同一主机上运行),则可以手动设置节点名称。

类型:keyword

示例:instance-0000000016

service.target.state

服务的当前状态。

类型:keyword

service.target.type

从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 service.type 将为 elasticsearch

类型:keyword

示例:elasticsearch

service.target.version

从中收集数据的服务的版本。这允许仅查看特定版本的服务的数据集。

类型:keyword

示例:3.2.4

service.type

从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 service.type 将为 elasticsearch

类型:keyword

示例:elasticsearch

service.version

从中收集数据的服务的版本。这允许仅查看特定版本的服务的数据集。

类型:keyword

示例:3.2.4

source

源字段捕获有关网络交换/数据包发送者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。源字段通常与目标字段一起填充。如果事件包含来自网络事务的源和目标详细信息,则源字段和目标字段被认为是基线,并且应始终填充。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于哪个。

类型:keyword

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

source.as.organization.name

组织名称。

类型:keyword

示例:Google LLC

source.as.organization.name.text

类型:match_only_text

source.bytes

从源发送到目标的字节数。

类型:long

示例:184

格式:bytes

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从增强功能添加。

类型:keyword

示例:foo.example.com

source.geo.city_name

城市名称。

类型:keyword

示例:Montreal

source.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

source.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

source.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

source.geo.country_name

国家名称。

类型:keyword

示例:Canada

source.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

source.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

source.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

source.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

source.geo.region_name

地区名称。

类型:keyword

示例:Quebec

source.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

source.ip

源的 IP 地址(IPv4 或 IPv6)。

类型:ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即,8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型:keyword

示例:00-00-5E-00-53-23

source.nat.ip

基于 NAT 会话的源的转换 IP(例如,内部客户端到 Internet)。通常是遍历负载均衡器、防火墙或路由器的连接。

类型:ip

source.nat.port

基于 NAT 会话的源的转换端口。(例如,内部客户端到 Internet)通常与负载均衡器、防火墙或路由器一起使用。

类型:long

格式:string

source.packets

从源发送到目标的数据包。

类型:long

示例:12

source.port

源的端口。

类型:long

格式:string

source.registered_domain

最高的已注册源域,剥离了子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用类似公共后缀列表(http://publicsuffix.org)的列表精确确定此值。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将无法很好地工作。

类型:keyword

示例:example.com

source.subdomain

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

source.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

source.user.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

source.user.email

用户电子邮件地址。

类型:keyword

source.user.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

source.user.full_name.text

类型:match_only_text

source.user.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

source.user.group.id

系统/平台上组的唯一标识符。

类型:keyword

source.user.group.name

组的名称。

类型:keyword

source.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

source.user.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

source.user.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

source.user.name.text

类型:match_only_text

source.user.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

threat

根据威胁分类法(如 MITRE ATT&CK® 框架)对事件和警报进行分类的字段。这些字段供用户在通用分类法中对其所有来源(例如 IDS、NGFW 等)的警报进行分类。threat.tactic.* 字段旨在捕获威胁的高级类别(例如“影响”)。threat.technique.* 字段旨在捕获此检测到的威胁使用哪种方法来实现目标(例如,“端点拒绝服务”)。

threat.enrichments

丰富事件的相关指标对象的列表,以及该关联/丰富功能的上下文。

类型:嵌套

threat.enrichments.indicator

包含丰富事件的相关指标的对象。

类型:object

threat.enrichments.indicator.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

threat.enrichments.indicator.as.organization.name

组织名称。

类型:keyword

示例:Google LLC

threat.enrichments.indicator.as.organization.name.text

类型:match_only_text

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的“无/低/中/高”比例,标识与供应商无关的置信度评级。特定于供应商的置信度比例可以作为自定义字段添加。预期值为: * 未指定 * 无 * 低 * 中 * 高

类型:keyword

示例:中

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型:keyword

示例:观察到 IP x.x.x.x 正在传递 Angler EK。

threat.enrichments.indicator.email.address

将威胁指标标识为电子邮件地址(不考虑方向)。

类型:keyword

示例:[email protected]

threat.enrichments.indicator.file.accessed

上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。

类型:date

threat.enrichments.indicator.file.attributes

文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型:keyword

示例:["readonly", "system"]

threat.enrichments.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

threat.enrichments.indicator.file.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

threat.enrichments.indicator.file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

threat.enrichments.indicator.file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

threat.enrichments.indicator.file.code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

threat.enrichments.indicator.file.code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

threat.enrichments.indicator.file.code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

threat.enrichments.indicator.file.created

文件创建时间。请注意,并非所有文件系统都会存储创建时间。

类型:date

threat.enrichments.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意,对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整,因为 mtime 是文件的属性。

类型:date

threat.enrichments.indicator.file.device

作为文件来源的设备。

类型:keyword

示例:sda

threat.enrichments.indicator.file.directory

文件所在的目录。如果适用,应包含盘符。

类型:keyword

示例:/home/alice

threat.enrichments.indicator.file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。该值应为大写,且不包含冒号。

类型:keyword

示例:C

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器架构。

类型:keyword

示例:x86-64

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型:keyword

示例:小端序

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

threat.enrichments.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

threat.enrichments.indicator.file.elf.exports

导出的元素名称和类型的列表。

类型:扁平化

threat.enrichments.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

threat.enrichments.indicator.file.elf.header.class

ELF 文件的标头类。

类型:keyword

threat.enrichments.indicator.file.elf.header.data

ELF 标头的数据表。

类型:keyword

threat.enrichments.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型:long

格式:string

threat.enrichments.indicator.file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型:keyword

threat.enrichments.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

threat.enrichments.indicator.file.elf.header.type

ELF 文件的标头类型。

类型:keyword

threat.enrichments.indicator.file.elf.header.version

ELF 标头的版本。

类型:keyword

threat.enrichments.indicator.file.elf.imports

导入的元素名称和类型的列表。

类型:扁平化

threat.enrichments.indicator.file.elf.sections

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

threat.enrichments.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型:long

格式:数字

threat.enrichments.indicator.file.elf.sections.entropy

从该部分计算的香农熵。

类型:long

格式:数字

threat.enrichments.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型:keyword

threat.enrichments.indicator.file.elf.sections.name

ELF 部分列表名称。

类型:keyword

threat.enrichments.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型:keyword

threat.enrichments.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型:long

格式:bytes

threat.enrichments.indicator.file.elf.sections.type

ELF 部分列表类型。

类型:keyword

threat.enrichments.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型:long

格式:string

threat.enrichments.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型:long

格式:string

threat.enrichments.indicator.file.elf.segments

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

threat.enrichments.indicator.file.elf.segments.sections

ELF 对象段部分。

类型:keyword

threat.enrichments.indicator.file.elf.segments.type

ELF 对象段类型。

类型:keyword

threat.enrichments.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库的列表。

类型:keyword

threat.enrichments.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希值。

类型:keyword

threat.enrichments.indicator.file.extension

文件扩展名,不包含前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

threat.enrichments.indicator.file.fork_name

分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储文件系统对象的附加数据。一个文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为:C:\path\to\filename.extension:some_fork_name,并且 some_fork_name 是应该填充 fork_name 的值。filename.extension 应填充 file.name,并且 extension 应填充 file.extension。完整路径 file.path 将包含分支名称。

类型:keyword

示例:Zone.Identifer

threat.enrichments.indicator.file.gid

文件的主要组 ID (GID)。

类型:keyword

示例:1001

threat.enrichments.indicator.file.group

文件的主要组名称。

类型:keyword

示例:alice

threat.enrichments.indicator.file.hash.md5

MD5 哈希。

类型:keyword

threat.enrichments.indicator.file.hash.sha1

SHA1 哈希。

类型:keyword

threat.enrichments.indicator.file.hash.sha256

SHA256 哈希。

类型:keyword

threat.enrichments.indicator.file.hash.sha512

SHA512 哈希值。

类型:keyword

threat.enrichments.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型:keyword

threat.enrichments.indicator.file.inode

表示文件系统中文件的 Inode。

类型:keyword

示例:256383

threat.enrichments.indicator.file.mime_type

MIME 类型应使用 IANA 官方类型标识文件或字节流的格式(如果可能)。当有多个类型适用时,应使用最具体的类型。

类型:keyword

threat.enrichments.indicator.file.mode

文件的八进制表示形式的模式。

类型:keyword

示例:0640

threat.enrichments.indicator.file.mtime

上次修改文件内容的时间。

类型:date

threat.enrichments.indicator.file.name

包含扩展名的文件名,不包含目录。

类型:keyword

示例:example.png

threat.enrichments.indicator.file.owner

文件所有者的用户名。

类型:keyword

示例:alice

threat.enrichments.indicator.file.path

文件的完整路径,包括文件名。如果适用,应包含盘符。

类型:keyword

示例:/home/alice/example.png

threat.enrichments.indicator.file.path.text

类型:match_only_text

threat.enrichments.indicator.file.pe.architecture

该文件面向的 CPU 架构。

类型:keyword

示例:x64

threat.enrichments.indicator.file.pe.company

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

threat.enrichments.indicator.file.pe.description

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

threat.enrichments.indicator.file.pe.file_version

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

threat.enrichments.indicator.file.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

threat.enrichments.indicator.file.pe.original_file_name

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

threat.enrichments.indicator.file.pe.product

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

threat.enrichments.indicator.file.size

文件大小(以字节为单位)。仅当 file.type 为“file”时相关。

类型:long

示例:16384

threat.enrichments.indicator.file.target_path

符号链接的目标路径。

类型:keyword

threat.enrichments.indicator.file.target_path.text

类型:match_only_text

threat.enrichments.indicator.file.type

文件类型(文件、目录或符号链接)。

类型:keyword

示例:file

threat.enrichments.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型:keyword

示例:1001

threat.enrichments.indicator.file.x509.alternative_names

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

threat.enrichments.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

threat.enrichments.indicator.file.x509.issuer.country

国家/地区代码 © 的列表

类型:keyword

示例:US

threat.enrichments.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.locality

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

threat.enrichments.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

threat.enrichments.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

threat.enrichments.indicator.file.x509.issuer.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

threat.enrichments.indicator.file.x509.not_after

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

threat.enrichments.indicator.file.x509.not_before

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

threat.enrichments.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

threat.enrichments.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

threat.enrichments.indicator.file.x509.public_key_exponent

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

threat.enrichments.indicator.file.x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

threat.enrichments.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

threat.enrichments.indicator.file.x509.subject.common_name

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

threat.enrichments.indicator.file.x509.subject.country

国家/地区代码 © 的列表

类型:keyword

示例:US

threat.enrichments.indicator.file.x509.subject.distinguished_name

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.file.x509.subject.locality

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

threat.enrichments.indicator.file.x509.subject.organization

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

threat.enrichments.indicator.file.x509.subject.organizational_unit

主题的组织单位 (OU) 的列表。

类型:keyword

threat.enrichments.indicator.file.x509.subject.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

threat.enrichments.indicator.file.x509.version_number

x509 格式的版本。

类型:keyword

示例:3

threat.enrichments.indicator.first_seen

情报来源首次报告发现此指标的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

threat.enrichments.indicator.geo.city_name

城市名称。

类型:keyword

示例:Montreal

threat.enrichments.indicator.geo.continent_code

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

threat.enrichments.indicator.geo.continent_name

大洲的名称。

类型:keyword

示例:North America

threat.enrichments.indicator.geo.country_iso_code

国家 ISO 代码。

类型:keyword

示例:CA

threat.enrichments.indicator.geo.country_name

国家名称。

类型:keyword

示例:Canada

threat.enrichments.indicator.geo.location

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

threat.enrichments.indicator.geo.name

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

threat.enrichments.indicator.geo.postal_code

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

threat.enrichments.indicator.geo.region_iso_code

地区 ISO 代码。

类型:keyword

示例:CA-QC

threat.enrichments.indicator.geo.region_name

地区名称。

类型:keyword

示例:Quebec

threat.enrichments.indicator.geo.timezone

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

threat.enrichments.indicator.ip

将威胁指标标识为 IP 地址(不考虑方向)。

类型:ip

示例:1.2.3.4

threat.enrichments.indicator.last_seen

情报来源最后一次报告发现此指标的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

threat.enrichments.indicator.marking.tlp

流量灯协议共享标记。建议值为:* WHITE * GREEN * AMBER * RED

类型:keyword

示例:White

threat.enrichments.indicator.modified_at

情报来源上次修改此指标信息的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

threat.enrichments.indicator.port

将威胁指标标识为端口号(不考虑方向)。

类型:long

示例:443

threat.enrichments.indicator.provider

指标提供者的名称。

类型:keyword

示例:lrz_urlhaus

threat.enrichments.indicator.reference

指向有关此指标的其他信息的参考 URL。

类型:keyword

示例:https://system.example.com/indicator/0001234

threat.enrichments.indicator.registry.data.bytes

process.parent.name.text

类型:keyword

进程父级的名称文本

threat.enrichments.indicator.registry.data.strings

进程父级的 PE 文件架构

类型:通配符

process.parent.pe.company

threat.enrichments.indicator.registry.data.type

process.parent.pe.description

类型:keyword

进程父级的 PE 文件描述

threat.enrichments.indicator.registry.hive

进程父级的 PE 文件版本

类型:keyword

process.parent.pe.imphash

threat.enrichments.indicator.registry.key

process.parent.pe.original_file_name

类型:keyword

进程父级的 PE 文件原始文件名

threat.enrichments.indicator.registry.path

进程父级的 PE 文件产品

类型:keyword

process.parent.pgid

threat.enrichments.indicator.registry.value

Identifier of the group of processes the process belongs to.

类型:keyword

标识进程所属的进程组。

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。

类型:long

示例:4

threat.enrichments.indicator.sightings

观察到此指标进行威胁活动的次数。

类型:long

示例:20

threat.enrichments.indicator.type

STIX 2.0 中由网络可观察对象表示的指标类型。建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate

类型:keyword

示例:ipv4-addr

threat.enrichments.indicator.url.domain

URL 的域,例如“www.elastic.co”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 domain 字段。如果 URL 包含由 [](IETF RFC 2732)括起来的字面 IPv6 地址,则 [] 字符也应捕获到 domain 字段中。

类型:keyword

示例:www.elastic.co

threat.enrichments.indicator.url.extension

此字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才会设置它,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

threat.enrichments.indicator.url.fragment

URL 中 # 之后的部分,例如“top”。# 不是片段的一部分。

类型:keyword

threat.enrichments.indicator.url.full

如果完整 URL 对于您的用例很重要,则应将其存储在 url.full 中,无论此字段是重建的还是在事件源中存在的。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.enrichments.indicator.url.full.text

类型:match_only_text

threat.enrichments.indicator.url.original

在事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.enrichments.indicator.url.original.text

类型:match_only_text

threat.enrichments.indicator.url.password

请求的密码。

类型:keyword

threat.enrichments.indicator.url.path

请求的路径,例如“/search”。

类型:通配符

threat.enrichments.indicator.url.port

请求的端口,例如 443。

类型:long

示例:443

格式:string

threat.enrichments.indicator.url.query

query 字段描述请求的查询字符串,例如“q=elasticsearch”。? 从查询字符串中排除。如果 URL 不包含 ?,则没有 query 字段。如果存在 ? 但没有查询,则存在具有空字符串的 query 字段。可以使用 exists 查询来区分这两种情况。

类型:keyword

threat.enrichments.indicator.url.registered_domain

最高的注册 URL 域,剥离了子域。例如,“foo.example.com”的注册域是“example.com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。

类型:keyword

示例:example.com

threat.enrichments.indicator.url.scheme

请求的方案,例如“https”。注意:: 不是方案的一部分。

类型:keyword

示例:https

threat.enrichments.indicator.url.subdomain

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

threat.enrichments.indicator.url.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

threat.enrichments.indicator.url.username

请求的用户名。

类型:keyword

threat.enrichments.indicator.x509.alternative_names

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

threat.enrichments.indicator.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

threat.enrichments.indicator.x509.issuer.country

国家/地区代码 © 的列表

类型:keyword

示例:US

threat.enrichments.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.locality

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

threat.enrichments.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

threat.enrichments.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

threat.enrichments.indicator.x509.issuer.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

threat.enrichments.indicator.x509.not_after

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

threat.enrichments.indicator.x509.not_before

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

threat.enrichments.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

threat.enrichments.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

threat.enrichments.indicator.x509.public_key_exponent

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

threat.enrichments.indicator.x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

threat.enrichments.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

threat.enrichments.indicator.x509.subject.common_name

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

threat.enrichments.indicator.x509.subject.country

国家/地区代码 © 的列表

类型:keyword

示例:US

threat.enrichments.indicator.x509.subject.distinguished_name

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.x509.subject.locality

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

threat.enrichments.indicator.x509.subject.organization

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

threat.enrichments.indicator.x509.subject.organizational_unit

主题的组织单位 (OU) 的列表。

类型:keyword

threat.enrichments.indicator.x509.subject.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

threat.enrichments.indicator.x509.version_number

x509 格式的版本。

类型:keyword

示例:3

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指标值。

类型:keyword

示例:bad-domain.com

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指标的字段。

类型:keyword

示例:file.hash.sha256

threat.enrichments.matched.id

标识丰富事件的指标文档的 _id。

类型:keyword

示例:ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

threat.enrichments.matched.index

标识丰富事件的指标文档的 _index。

类型:keyword

示例:filebeat-8.0.0-2021.05.23-000011

threat.enrichments.matched.type

标识导致事件使用给定指标丰富的匹配类型

类型:keyword

示例:indicator_match_rule

threat.framework

用于进一步分类和归类报告威胁的策略和技术的威胁框架的名称。框架分类可以由检测系统提供,在摄取时评估或追溯标记到事件。

类型:keyword

示例:MITRE ATT&CK

threat.group.alias

安全社区以通用名称跟踪的一组相关入侵活动的组别名。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组别名。

类型:keyword

示例:[ "Magecart Group 6" ]

threat.group.id

安全社区以通用名称跟踪的一组相关入侵活动的组 ID。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组 ID。

类型:keyword

示例:G0037

threat.group.name

安全社区以通用名称跟踪的一组相关入侵活动的组名称。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组名称。

类型:keyword

示例:FIN6

threat.group.reference

安全社区以通用名称跟踪的一组相关入侵活动的组参考 URL。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组参考 URL。

类型:keyword

示例:https://attack.mitre.org/groups/G0037/

threat.indicator.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

类型:long

示例:15169

threat.indicator.as.organization.name

组织名称。

类型:keyword

示例:Google LLC

threat.indicator.as.organization.name.text

类型:match_only_text

threat.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的“无/低/中/高”比例,标识与供应商无关的置信度评级。特定于供应商的置信度比例可以作为自定义字段添加。预期值为: * 未指定 * 无 * 低 * 中 * 高

类型:keyword

示例:中

threat.indicator.description

描述威胁执行的操作类型。

类型:keyword

示例:观察到 IP x.x.x.x 正在传递 Angler EK。

threat.indicator.email.address

将威胁指标标识为电子邮件地址(不考虑方向)。

类型:keyword

示例:[email protected]

threat.indicator.file.accessed

上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。

类型:date

threat.indicator.file.attributes

文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型:keyword

示例:["readonly", "system"]

threat.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当文件被同一签名者多次签名但使用不同的摘要算法时,此值可以区分签名。

类型:keyword

示例:sha256

threat.indicator.file.code_signature.exists

用于捕获是否存在签名的布尔值。

类型:boolean

示例:true

threat.indicator.file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型:keyword

示例:com.apple.xpc.proxy

threat.indicator.file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任,则保留为空。

类型:keyword

示例:ERROR_UNTRUSTED_ROOT

threat.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型:keyword

示例:Microsoft Corporation

threat.indicator.file.code_signature.team_id

用于签署进程的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型:keyword

示例:EQHXZ8M8AV

threat.indicator.file.code_signature.timestamp

生成和签署代码签名时的日期和时间。

类型:date

示例:2021-01-01T12:10:30Z

threat.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂,此字段应仅由主动检查状态的工具填充。

类型:boolean

示例:true

threat.indicator.file.code_signature.valid

用于捕获数字签名是否已针对二进制内容进行验证的布尔值。如果未检查证书,则保留为空。

类型:boolean

示例:true

threat.indicator.file.created

文件创建时间。请注意,并非所有文件系统都会存储创建时间。

类型:date

threat.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意,对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整,因为 mtime 是文件的属性。

类型:date

threat.indicator.file.device

作为文件来源的设备。

类型:keyword

示例:sda

threat.indicator.file.directory

文件所在的目录。如果适用,应包含盘符。

类型:keyword

示例:/home/alice

threat.indicator.file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。该值应为大写,且不包含冒号。

类型:keyword

示例:C

threat.indicator.file.elf.architecture

ELF 文件的机器架构。

类型:keyword

示例:x86-64

threat.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型:keyword

示例:小端序

threat.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型:keyword

示例:Intel

threat.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示何时构建或编译。它也可能被恶意软件创建者伪造。

类型:date

threat.indicator.file.elf.exports

导出的元素名称和类型的列表。

类型:扁平化

threat.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型:keyword

threat.indicator.file.elf.header.class

ELF 文件的标头类。

类型:keyword

threat.indicator.file.elf.header.data

ELF 标头的数据表。

类型:keyword

threat.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型:long

格式:string

threat.indicator.file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型:keyword

threat.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型:keyword

threat.indicator.file.elf.header.type

ELF 文件的标头类型。

类型:keyword

threat.indicator.file.elf.header.version

ELF 标头的版本。

类型:keyword

threat.indicator.file.elf.imports

导入的元素名称和类型的列表。

类型:扁平化

threat.indicator.file.elf.sections

一个数组,其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型:嵌套

threat.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型:long

格式:数字

threat.indicator.file.elf.sections.entropy

从该部分计算的香农熵。

类型:long

格式:数字

threat.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型:keyword

threat.indicator.file.elf.sections.name

ELF 部分列表名称。

类型:keyword

threat.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型:keyword

threat.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型:long

格式:bytes

threat.indicator.file.elf.sections.type

ELF 部分列表类型。

类型:keyword

threat.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型:long

格式:string

threat.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型:long

格式:string

threat.indicator.file.elf.segments

一个数组,其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型:嵌套

threat.indicator.file.elf.segments.sections

ELF 对象段部分。

类型:keyword

threat.indicator.file.elf.segments.type

ELF 对象段类型。

类型:keyword

threat.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库的列表。

类型:keyword

threat.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希值。

类型:keyword

threat.indicator.file.extension

文件扩展名,不包含前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

threat.indicator.file.fork_name

分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储文件系统对象的附加数据。一个文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),并且文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为:C:\path\to\filename.extension:some_fork_name,并且 some_fork_name 是应该填充 fork_name 的值。filename.extension 应填充 file.name,并且 extension 应填充 file.extension。完整路径 file.path 将包含分支名称。

类型:keyword

示例:Zone.Identifer

threat.indicator.file.gid

文件的主要组 ID (GID)。

类型:keyword

示例:1001

threat.indicator.file.group

文件的主要组名称。

类型:keyword

示例:alice

threat.indicator.file.hash.md5

MD5 哈希。

类型:keyword

threat.indicator.file.hash.sha1

SHA1 哈希。

类型:keyword

threat.indicator.file.hash.sha256

SHA256 哈希。

类型:keyword

威胁.指标.文件.哈希.sha512

SHA512 哈希值。

类型:keyword

威胁.指标.文件.哈希.ssdeep

SSDEEP 哈希值。

类型:keyword

威胁.指标.文件.inode

表示文件系统中文件的 Inode。

类型:keyword

示例:256383

威胁.指标.文件.mime_类型

MIME 类型应使用 IANA 官方类型标识文件或字节流的格式(如果可能)。当有多个类型适用时,应使用最具体的类型。

类型:keyword

威胁.指标.文件.模式

文件的八进制表示形式的模式。

类型:keyword

示例:0640

威胁.指标.文件.修改时间

上次修改文件内容的时间。

类型:date

威胁.指标.文件.名称

包含扩展名的文件名,不包含目录。

类型:keyword

示例:example.png

威胁.指标.文件.所有者

文件所有者的用户名。

类型:keyword

示例:alice

威胁.指标.文件.路径

文件的完整路径,包括文件名。如果适用,应包含盘符。

类型:keyword

示例:/home/alice/example.png

威胁.指标.文件.路径.文本

类型:match_only_text

威胁.指标.文件.pe.架构

该文件面向的 CPU 架构。

类型:keyword

示例:x64

威胁.指标.文件.pe.公司

在编译时提供的文件的内部公司名称。

类型:keyword

示例:Microsoft Corporation

威胁.指标.文件.pe.描述

在编译时提供的文件的内部描述。

类型:keyword

示例:Paint

威胁.指标.文件.pe.文件版本

在编译时提供的文件的内部版本。

类型:keyword

示例:6.3.9600.17415

威胁.指标.文件.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后,imphash(或导入哈希)也可以用来识别二进制文件,这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型:keyword

示例:0c6803c4e922103c4dca5963aad36ddf

威胁.指标.文件.pe.原始文件名

在编译时提供的文件的内部名称。

类型:keyword

示例:MSPAINT.EXE

威胁.指标.文件.pe.产品

在编译时提供的文件的内部产品名称。

类型:keyword

示例:Microsoft® Windows® Operating System

威胁.指标.文件.大小

文件大小(以字节为单位)。仅当 file.type 为“file”时相关。

类型:long

示例:16384

威胁.指标.文件.目标路径

符号链接的目标路径。

类型:keyword

威胁.指标.文件.目标路径.文本

类型:match_only_text

威胁.指标.文件.类型

文件类型(文件、目录或符号链接)。

类型:keyword

示例:file

威胁.指标.文件.用户ID

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型:keyword

示例:1001

威胁.指标.文件.x509.备用名称

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

威胁.指标.文件.x509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

威胁.指标.文件.x509.颁发者.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

威胁.指标.文件.x509.颁发者.专有名称

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁.指标.文件.x509.颁发者.所在地

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

威胁.指标.文件.x509.颁发者.组织

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

威胁.指标.文件.x509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

威胁.指标.文件.x509.颁发者.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

威胁.指标.文件.x509.失效时间

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

威胁.指标.文件.x509.生效时间

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

威胁.指标.文件.x509.公钥算法

用于生成公钥的算法。

类型:keyword

示例:RSA

威胁.指标.文件.x509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

威胁.指标.文件.x509.公钥指数

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

威胁.指标.文件.x509.公钥大小

公钥空间的大小(以位为单位)。

类型:long

示例:2048

威胁.指标.文件.x509.序列号

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

威胁.指标.文件.x509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

威胁.指标.文件.x509.主题.通用名称

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

威胁.指标.文件.x509.主题.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

威胁.指标.文件.x509.主题.专有名称

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁.指标.文件.x509.主题.所在地

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

威胁.指标.文件.x509.主题.组织

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

威胁.指标.文件.x509.主题.组织单位

主题的组织单位 (OU) 的列表。

类型:keyword

威胁.指标.文件.x509.主题.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

威胁.指标.文件.x509.版本号

x509 格式的版本。

类型:keyword

示例:3

威胁.指标.首次发现时间

情报来源首次报告发现此指标的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

威胁.指标.地理位置.城市名称

城市名称。

类型:keyword

示例:Montreal

威胁.指标.地理位置.洲代码

代表大洲名称的两个字母代码。

类型:keyword

示例:NA

威胁.指标.地理位置.洲名称

大洲的名称。

类型:keyword

示例:North America

威胁.指标.地理位置.国家/地区ISO代码

国家 ISO 代码。

类型:keyword

示例:CA

威胁.指标.地理位置.国家/地区名称

国家名称。

类型:keyword

示例:Canada

威胁.指标.地理位置.位置

经度和纬度。

类型:geo_point

示例:{ "lon": -73.614830, "lat": 45.505918 }

威胁.指标.地理位置.名称

用户定义的位置描述,在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理位置。

类型:keyword

示例:boston-dc

威胁.指标.地理位置.邮政编码

与该位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。

类型:keyword

示例:94040

威胁.指标.地理位置.区域ISO代码

地区 ISO 代码。

类型:keyword

示例:CA-QC

威胁.指标.地理位置.区域名称

地区名称。

类型:keyword

示例:Quebec

威胁.指标.地理位置.时区

该位置的时区,例如 IANA 时区名称。

类型:keyword

示例:America/Argentina/Buenos_Aires

威胁.指标.IP地址

将威胁指标标识为 IP 地址(不考虑方向)。

类型:ip

示例:1.2.3.4

威胁.指标.最后一次发现时间

情报来源最后一次报告发现此指标的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

威胁.指标.标记.tlp

流量灯协议共享标记。建议值为:* WHITE * GREEN * AMBER * RED

类型:keyword

示例:白色

威胁.指标.修改时间

情报来源上次修改此指标信息的日期和时间。

类型:date

示例:2020-11-05T17:25:47.000Z

威胁.指标.端口

将威胁指标标识为端口号(不考虑方向)。

类型:long

示例:443

威胁.指标.提供者

指标提供者的名称。

类型:keyword

示例:lrz_urlhaus

威胁.指标.参考

指向有关此指标的其他信息的参考 URL。

类型:keyword

示例:https://system.example.com/indicator/0001234

威胁.指标.注册表.数据.字节

process.parent.name.text

类型:keyword

进程父级的名称文本

威胁.指标.注册表.数据.字符串

进程父级的 PE 文件架构

类型:通配符

process.parent.pe.company

威胁.指标.注册表.数据.类型

process.parent.pe.description

类型:keyword

进程父级的 PE 文件描述

威胁.指标.注册表.配置单元

进程父级的 PE 文件版本

类型:keyword

process.parent.pe.imphash

威胁.指标.注册表.键

process.parent.pe.original_file_name

类型:keyword

进程父级的 PE 文件原始文件名

威胁.指标.注册表.路径

进程父级的 PE 文件产品

类型:keyword

process.parent.pgid

威胁.指标.注册表.值

Identifier of the group of processes the process belongs to.

类型:keyword

标识进程所属的进程组。

威胁.指标.扫描器统计信息

成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。

类型:long

示例:4

威胁.指标.目击

观察到此指标进行威胁活动的次数。

类型:long

示例:20

威胁.指标.类型

STIX 2.0 中由网络可观察对象表示的指标类型。建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate

类型:keyword

示例:ipv4-addr

威胁.指标.URL.域名

URL 的域,例如“www.elastic.co”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 domain 字段。如果 URL 包含由 [](IETF RFC 2732)括起来的字面 IPv6 地址,则 [] 字符也应捕获到 domain 字段中。

类型:keyword

示例:www.elastic.co

威胁.指标.URL.扩展名

此字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才会设置它,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

威胁.指标.URL.片段

URL 中 # 之后的部分,例如“top”。# 不是片段的一部分。

类型:keyword

威胁.指标.URL.完整

如果完整 URL 对于您的用例很重要,则应将其存储在 url.full 中,无论此字段是重建的还是在事件源中存在的。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top

威胁.指标.URL.完整.文本

类型:match_only_text

威胁.指标.URL.原始

在事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

威胁.指标.URL.原始.文本

类型:match_only_text

威胁.指标.URL.密码

请求的密码。

类型:keyword

威胁.指标.URL.路径

请求的路径,例如“/search”。

类型:通配符

威胁.指标.URL.端口

请求的端口,例如 443。

类型:long

示例:443

格式:string

威胁.指标.URL.查询

query 字段描述请求的查询字符串,例如“q=elasticsearch”。? 从查询字符串中排除。如果 URL 不包含 ?,则没有 query 字段。如果存在 ? 但没有查询,则存在具有空字符串的 query 字段。可以使用 exists 查询来区分这两种情况。

类型:keyword

威胁.指标.URL.注册域名

最高的注册 URL 域,剥离了子域。例如,“foo.example.com”的注册域是“example.com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。

类型:keyword

示例:example.com

威胁.指标.URL.方案

请求的方案,例如“https”。注意:: 不是方案的一部分。

类型:keyword

示例:https

威胁.指标.URL.子域名

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

威胁.指标.URL.顶级域名

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

威胁.指标.URL.用户名

请求的用户名。

类型:keyword

威胁.指标.x509.备用名称

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

威胁.指标.x509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

威胁.指标.x509.颁发者.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

威胁.指标.x509.颁发者.专有名称

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁.指标.x509.颁发者.所在地

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

威胁.指标.x509.颁发者.组织

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

威胁.指标.x509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

威胁.指标.x509.颁发者.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

威胁.指标.x509.失效时间

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

威胁.指标.x509.生效时间

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

威胁.指标.x509.公钥算法

用于生成公钥的算法。

类型:keyword

示例:RSA

威胁.指标.x509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

威胁.指标.x509.公钥指数

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

威胁.指标.x509.公钥大小

公钥空间的大小(以位为单位)。

类型:long

示例:2048

威胁.指标.x509.序列号

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

威胁.指标.x509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

威胁.指标.x509.主题.通用名称

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

威胁.指标.x509.主题.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

威胁.指标.x509.主题.专有名称

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁.指标.x509.主题.所在地

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

威胁.指标.x509.主题.组织

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

威胁.指标.x509.主题.组织单位

主题的组织单位 (OU) 的列表。

类型:keyword

威胁.指标.x509.主题.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

威胁.指标.x509.版本号

x509 格式的版本。

类型:keyword

示例:3

威胁.软件.别名

安全社区中使用通用名称跟踪的一组相关入侵活动的软件别名。虽然不是必需的,但你可以使用 MITRE ATT&CK® 相关联的软件描述。

类型:keyword

示例:[“X-Agent”]

威胁.软件.ID

此威胁用于执行行为的软件的 ID,这些行为通常使用 MITRE ATT&CK® 进行建模。虽然不是必需的,但你可以使用 MITRE ATT&CK® 软件 ID。

类型:keyword

示例:S0552

威胁.软件.名称

此威胁用于执行行为的软件的名称,这些行为通常使用 MITRE ATT&CK® 进行建模。虽然不是必需的,但你可以使用 MITRE ATT&CK® 软件名称。

类型:keyword

示例:AdFind

威胁.软件.平台

此威胁用于执行行为的软件平台,这些行为通常使用 MITRE ATT&CK® 进行建模。推荐值:* AWS * Azure * Azure AD * GCP * Linux * macOS * 网络 * Office 365 * SaaS * Windows

虽然不是必需的,但你可以使用 MITRE ATT&CK® 软件平台。

类型:keyword

示例:[“Windows”]

威胁.软件.参考

此威胁用于执行行为的软件的参考 URL,这些行为通常使用 MITRE ATT&CK® 进行建模。虽然不是必需的,但你可以使用 MITRE ATT&CK® 软件参考 URL。

类型:keyword

示例:https://attack.mitre.org/software/S0552/

威胁.软件.类型

此威胁用于执行行为的软件类型,这些行为通常使用 MITRE ATT&CK® 进行建模。推荐值:* 恶意软件 * 工具

While not required, you can use a MITRE ATT&CK® software type.

类型:keyword

示例:工具

威胁.战术.ID

此威胁使用的战术 ID。你可以使用 MITRE ATT&CK® 战术,例如。(例如:https://attack.mitre.org/tactics/TA0002/

类型:keyword

示例:TA0002

威胁.战术.名称

此威胁使用的战术类型名称。你可以使用 MITRE ATT&CK® 战术,例如。(例如:https://attack.mitre.org/tactics/TA0002/

类型:keyword

示例:执行

威胁.战术.参考

此威胁使用的战术参考 URL。你可以使用 MITRE ATT&CK® 战术,例如。(例如:https://attack.mitre.org/tactics/TA0002/

类型:keyword

示例:https://attack.mitre.org/tactics/TA0002/

威胁.技术.ID

此威胁使用的技术 ID。你可以使用 MITRE ATT&CK® 技术,例如。(例如:https://attack.mitre.org/techniques/T1059/

类型:keyword

示例:T1059

威胁.技术.名称

此威胁使用的技术名称。你可以使用 MITRE ATT&CK® 技术,例如。(例如:https://attack.mitre.org/techniques/T1059/

类型:keyword

示例:命令和脚本解释器

威胁.技术.名称.文本

类型:match_only_text

威胁.技术.参考

此威胁使用的技术参考 URL。你可以使用 MITRE ATT&CK® 技术,例如。(例如:https://attack.mitre.org/techniques/T1059/

类型:keyword

示例:https://attack.mitre.org/techniques/T1059/

威胁.技术.子技术.ID

此威胁使用的子技术完整 ID。你可以使用 MITRE ATT&CK® 子技术,例如。(例如:https://attack.mitre.org/techniques/T1059/001/

类型:keyword

示例:T1059.001

威胁.技术.子技术.名称

此威胁使用的子技术名称。你可以使用 MITRE ATT&CK® 子技术,例如。(例如:https://attack.mitre.org/techniques/T1059/001/

类型:keyword

示例:PowerShell

威胁.技术.子技术.名称.文本

类型:match_only_text

威胁.技术.子技术.参考

此威胁使用的子技术参考 URL。你可以使用 MITRE ATT&CK® 子技术,例如。(例如:https://attack.mitre.org/techniques/T1059/001/

类型:keyword

示例:https://attack.mitre.org/techniques/T1059/001/

tls

与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身,并有意避免对相关的 x.509 证书文件进行深入分析。

tls.密码

指示当前连接期间使用的密码的字符串。

类型:keyword

示例:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

tls.客户端.证书

客户端提供的 PEM 编码的独立证书。这通常与 client.certificate_chain 互斥,因为此值也存在于该列表中。

类型:keyword

示例:MII…​

tls.客户端.证书链

构成客户端提供的证书链的 PEM 编码证书数组。这通常与 client.certificate 互斥,因为该值应是链中的第一个证书。

类型:keyword

示例:[“MII…​”, “MII…​”]

tls.客户端.哈希.md5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希值。

类型:keyword

示例:0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.客户端.哈希.sha1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希值。

类型:keyword

示例:9E393D93138888D288266C2D915214D1D1CCEB2A

tls.客户端.哈希.sha256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希值。

类型:keyword

示例:0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.客户端.颁发者

客户端提供的 x.509 证书颁发者主题的专有名称。

类型:keyword

示例:CN=示例根 CA,OU=基础设施团队,DC=示例,DC=com

tls.客户端.ja3

一种哈希值,它根据客户端执行 SSL/TLS 握手的方式来识别客户端。

类型:keyword

示例:d4e5b18d6b55c71272893221c96ba240

tls.客户端.失效时间

指示客户端证书何时不再被视为有效的日期/时间。

类型:date

示例:2021-01-01T00:00:00.000Z

tls.客户端.生效时间

指示客户端证书何时首次被视为有效的日期/时间。

类型:date

示例:1970-01-01T00:00:00.000Z

tls.客户端.服务器名称

也称为 SNI,它告诉服务器客户端尝试连接的主机名。当此值可用时,应将其复制到 destination.domain

类型:keyword

示例:www.elastic.co

tls.客户端.主题

客户端提供的 x.509 证书主题的专有名称。

类型:keyword

示例:CN=myclient,OU=文档团队,DC=示例,DC=com

tls.客户端.支持的密码

客户端在客户端 hello 期间提供的密码数组。

类型:keyword

示例:[“TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384”, “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384”, “…​”]

tls.客户端.x509.备用名称

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

tls.客户端.x509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

tls.客户端.x509.颁发者.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

tls.客户端.x509.颁发者.专有名称

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.客户端.x509.颁发者.所在地

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

tls.客户端.x509.颁发者.组织

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

tls.客户端.x509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

tls.客户端.x509.颁发者.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

tls.客户端.x509.失效时间

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

tls.客户端.x509.生效时间

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

tls.客户端.x509.公钥算法

用于生成公钥的算法。

类型:keyword

示例:RSA

tls.客户端.x509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

tls.客户端.x509.公钥指数

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

tls.客户端.x509.公钥大小

公钥空间的大小(以位为单位)。

类型:long

示例:2048

tls.客户端.x509.序列号

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

tls.客户端.x509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

tls.客户端.x509.主题.通用名称

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

tls.客户端.x509.主题.国家/地区

国家/地区代码 © 的列表

类型:keyword

示例:US

tls.客户端.x509.主题.专有名称

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.客户端.x509.主题.所在地

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

tls.客户端.x509.主题.组织

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

tls.客户端.x509.主题.组织单位

主题的组织单位 (OU) 的列表。

类型:keyword

tls.客户端.x509.主题.省/市/自治区

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

tls.客户端.x509.版本号

x509 格式的版本。

类型:keyword

示例:3

tls.曲线

指示给定密码使用的曲线(如果适用)的字符串。

类型:keyword

示例:secp256r1

tls.已建立

布尔标志,指示 TLS 协商是否成功并转换为加密隧道。

类型:boolean

tls.next_protocol

字符串,指示正在隧道传输的协议。根据 IANA 注册表中的值(https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids),此字符串应为小写。

类型:keyword

示例:http/1.1

tls.resumed

布尔标志,指示此 TLS 连接是否从现有的 TLS 协商恢复。

类型:boolean

tls.server.certificate

服务器提供的 PEM 编码的独立证书。这通常与 server.certificate_chain 互斥,因为此值也存在于该列表中。

类型:keyword

示例:MII…​

tls.server.certificate_chain

构成服务器提供的证书链的 PEM 编码证书数组。这通常与 server.certificate 互斥,因为该值应为链中的第一个证书。

类型:keyword

示例:[“MII…​”, “MII…​”]

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。

类型:keyword

示例:0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。

类型:keyword

示例:9E393D93138888D288266C2D915214D1D1CCEB2A

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。

类型:keyword

示例:0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.server.issuer

服务器提供的 x.509 证书的颁发者的主题。

类型:keyword

示例:CN=示例根 CA,OU=基础设施团队,DC=示例,DC=com

tls.server.ja3s

一个哈希值,用于根据服务器执行 SSL/TLS 握手的方式来标识服务器。

类型:keyword

示例:394441ab65754e2207b1e1b457b3641d

tls.server.not_after

时间戳,指示服务器证书不再被视为有效的时间。

类型:date

示例:2021-01-01T00:00:00.000Z

tls.server.not_before

时间戳,指示服务器证书首次被视为有效的时间。

类型:date

示例:1970-01-01T00:00:00.000Z

tls.server.subject

服务器提供的 x.509 证书的主题。

类型:keyword

示例:CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

tls.server.x509.alternative_names

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

tls.server.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

tls.server.x509.issuer.country

国家/地区代码 © 的列表

类型:keyword

示例:US

tls.server.x509.issuer.distinguished_name

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.server.x509.issuer.locality

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

tls.server.x509.issuer.organization

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

tls.server.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

tls.server.x509.issuer.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

tls.server.x509.not_after

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

tls.server.x509.not_before

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

tls.server.x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

tls.server.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

tls.server.x509.public_key_exponent

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

tls.server.x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

tls.server.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

tls.server.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

tls.server.x509.subject.common_name

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

tls.server.x509.subject.country

国家/地区代码 © 的列表

类型:keyword

示例:US

tls.server.x509.subject.distinguished_name

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.server.x509.subject.locality

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

tls.server.x509.subject.organization

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

tls.server.x509.subject.organizational_unit

主题的组织单位 (OU) 的列表。

类型:keyword

tls.server.x509.subject.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

tls.server.x509.version_number

x509 格式的版本。

类型:keyword

示例:3

tls.version

从原始字符串解析的版本号的数值部分。

类型:keyword

示例:1.2

tls.version_protocol

从原始字符串解析的规范化的小写协议名称。

类型:keyword

示例:tls

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的一个操作,例如向另一个服务的请求或数据库查询。

类型:keyword

示例:3ff9a8981b7ccd5a

trace.id

跟踪的唯一标识符。跟踪将多个事件(如属于一起的事务)分组在一起。例如,由多个相互连接的服务处理的用户请求。

类型:keyword

示例:4bf92f3577b34da6a3ce929d0e0e4736

transaction.id

事务在其跟踪范围内的唯一标识符。事务是在服务中衡量的最高级别的工作,例如对服务器的请求。

类型:keyword

示例:00f067aa0ba902b7

url

URL 字段支持完整或部分 URL,并支持分解为方案、域名、路径等。

url.domain

URL 的域,例如“www.elastic.co”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 domain 字段。如果 URL 包含由 [](IETF RFC 2732)括起来的字面 IPv6 地址,则 [] 字符也应捕获到 domain 字段中。

类型:keyword

示例:www.elastic.co

url.extension

此字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才会设置它,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名时(例如 example.tar.gz),应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

类型:keyword

示例:png

url.fragment

URL 中 # 之后的部分,例如“top”。# 不是片段的一部分。

类型:keyword

url.full

如果完整 URL 对于您的用例很重要,则应将其存储在 url.full 中,无论此字段是重建的还是在事件源中存在的。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top

url.full.text

类型:match_only_text

url.original

在事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。

类型:通配符

示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

url.original.text

类型:match_only_text

url.password

请求的密码。

类型:keyword

url.path

请求的路径,例如“/search”。

类型:通配符

url.port

请求的端口,例如 443。

类型:long

示例:443

格式:string

url.query

query 字段描述请求的查询字符串,例如“q=elasticsearch”。? 从查询字符串中排除。如果 URL 不包含 ?,则没有 query 字段。如果存在 ? 但没有查询,则存在具有空字符串的 query 字段。可以使用 exists 查询来区分这两种情况。

类型:keyword

url.registered_domain

最高的注册 URL 域,剥离了子域。例如,“foo.example.com”的注册域是“example.com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。

类型:keyword

示例:example.com

url.scheme

请求的方案,例如“https”。注意:: 不是方案的一部分。

类型:keyword

示例:https

url.subdomain

完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中,或者如果无法确定全名的限定级别,子域包含注册域下的所有名称。例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

类型:keyword

示例:east

url.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名​​的最后一部分。例如,example.com 的顶级域是“com”。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。

类型:keyword

示例:co.uk

url.username

请求的用户名。

类型:keyword

user

用户字段描述与事件相关的用户信息。字段可以有一个或多个条目。如果用户有多个 ID,请提供一个包含所有 ID 的数组。

user.changes.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.changes.email

用户电子邮件地址。

类型:keyword

user.changes.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

user.changes.full_name.text

类型:match_only_text

user.changes.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.changes.group.id

系统/平台上组的唯一标识符。

类型:keyword

user.changes.group.name

组的名称。

类型:keyword

user.changes.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

user.changes.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

user.changes.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

user.changes.name.text

类型:match_only_text

user.changes.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

user.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.effective.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.effective.email

用户电子邮件地址。

类型:keyword

user.effective.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

user.effective.full_name.text

类型:match_only_text

user.effective.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.effective.group.id

系统/平台上组的唯一标识符。

类型:keyword

user.effective.group.name

组的名称。

类型:keyword

user.effective.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

user.effective.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

user.effective.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

user.effective.name.text

类型:match_only_text

user.effective.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

user.email

用户电子邮件地址。

类型:keyword

user.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

user.full_name.text

类型:match_only_text

user.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.group.id

系统/平台上组的唯一标识符。

类型:keyword

user.group.name

组的名称。

类型:keyword

user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

user.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

user.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

user.name.text

类型:match_only_text

user.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

user.target.domain

用户所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.target.email

用户电子邮件地址。

类型:keyword

user.target.full_name

用户的全名(如果可用)。

类型:keyword

示例:Albert Einstein

user.target.full_name.text

类型:match_only_text

user.target.group.domain

组所属目录的名称。例如,LDAP 或 Active Directory 域名。

类型:keyword

user.target.group.id

系统/平台上组的唯一标识符。

类型:keyword

user.target.group.name

组的名称。

类型:keyword

user.target.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.iduser.name 包含机密信息且无法使用,则此值很有用。

类型:keyword

user.target.id

用户的唯一标识符。

类型:keyword

示例:S-1-5-21-202424912787-2692429404-2351956786-1000

user.target.name

用户的简称或登录名。

类型:keyword

示例:a.einstein

user.target.name.text

类型:match_only_text

user.target.roles

事件发生时用户的角色数组。

类型:keyword

示例:["kibana_admin", "reporting_user"]

user_agent

user_agent 字段通常来自浏览器请求。它们经常出现在来自解析的用户代理字符串的 Web 服务日志中。

user_agent.device.name

设备名称。

类型:keyword

示例:iPhone

user_agent.name

用户代理的名称。

类型:keyword

示例:Safari

user_agent.original

未解析的 user_agent 字符串。

类型:keyword

示例:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

user_agent.original.text

类型:match_only_text

user_agent.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

类型:keyword

示例:debian

user_agent.os.full

操作系统名称,包括版本或代号。

类型:keyword

示例:Mac OS Mojave

user_agent.os.full.text

类型:match_only_text

user_agent.os.kernel

操作系统内核版本,作为原始字符串。

类型:keyword

示例:4.4.0-112-generic

user_agent.os.name

操作系统名称,不含版本。

类型:keyword

示例:Mac OS X

user_agent.os.name.text

类型:match_only_text

user_agent.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

类型:keyword

示例:darwin

user_agent.os.type

使用 os.type 字段将操作系统分类到广泛的商业系列中。应使用以下值之一(小写):linux、macos、unix、windows。如果您正在处理的操作系统不在列表中,则不应填充该字段。请通过向 ECS 提出问题来告知我们,以便提出添加该字段的建议。

类型:keyword

示例:macos

user_agent.os.version

操作系统版本,作为原始字符串。

类型:keyword

示例:10.14.1

user_agent.version

用户代理的版本。

类型:keyword

示例:12.0

vlan

VLAN 字段用于标识数据包的 802.1q 标签,以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。Network.vlan 字段用于记录数据包或连接的单个 VLAN 标签,或者在 q-in-q 封装的情况下,记录外部标签,这些信息通常由网络传感器(例如,Zeek、Wireshark)被动地报告流量提供。Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签(多个 802.1q 封装),这些信息通常由网络传感器(例如,Zeek、Wireshark)被动地报告流量提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用,以指示 q-in-q 标记。当观察者事件包含离散的入口和出口 VLAN 信息时,observer.ingress 和 observer.egress VLAN 值用于记录观察者特定的信息,这些信息通常由防火墙、路由器或负载均衡器提供。

vlan.id

观察者报告的 VLAN ID。

类型:keyword

示例:10

vlan.name

观察者报告的可选 VLAN 名称。

类型:keyword

示例:outside

vulnerability

漏洞字段描述与事件相关的漏洞信息。

vulnerability.category

漏洞影响的系统或体系结构的类型。这些可能是特定于平台的(例如,Debian 或 SUSE)或通用的(例如,数据库或防火墙)。例如(Qualys 漏洞类别)此字段必须是一个数组。

类型:keyword

示例:["Firewall"]

vulnerability.classification

漏洞评分系统的分类。例如(https://www.first.org/cvss/

类型:keyword

示例:CVSS

vulnerability.description

漏洞的描述,提供有关漏洞的更多上下文。例如(常见漏洞和暴露 CVE 描述

类型:keyword

示例:在 2.12.6 之前的 macOS 中,RPC 中存在漏洞……

vulnerability.description.text

类型:match_only_text

vulnerability.enumeration

用于此漏洞的标识符类型。例如(https://cve.mitre.org/about/

类型:keyword

示例:CVE

vulnerability.id

标识(ID)是漏洞条目的数字部分。它包括漏洞的唯一标识号。例如(常见漏洞和暴露 CVE ID

类型:keyword

示例:CVE-2019-00001

vulnerability.reference

一个资源,提供有关已识别漏洞的更多信息、上下文和缓解措施。

类型:keyword

示例:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

vulnerability.report_id

报告或扫描标识号。

类型:keyword

示例:20191018.0001

vulnerability.scanner.vendor

漏洞扫描器供应商的名称。

类型:keyword

示例:Tenable

vulnerability.score.base

分数范围从 0.0 到 10.0,其中 10.0 为最严重。基本分数涵盖对可利用性指标(攻击向量、复杂性、特权和用户交互)、影响指标(机密性、完整性和可用性)以及范围的评估。例如(https://www.first.org/cvss/specification-document

类型:浮点数

示例:5.5

vulnerability.score.environmental

分数范围从 0.0 到 10.0,其中 10.0 为最严重。环境分数涵盖对任何修改的基本指标、机密性、完整性和可用性要求的评估。例如(https://www.first.org/cvss/specification-document

类型:浮点数

示例:5.5

vulnerability.score.temporal

分数范围从 0.0 到 10.0,其中 10.0 为最严重。时间分数涵盖对代码成熟度、修复级别和信心的评估。例如(https://www.first.org/cvss/specification-document

类型:浮点数

vulnerability.score.version

美国国家漏洞数据库(NVD)为 CVSS v2.0 基本评分范围提供了“低”、“中”和“高”的定性严重性等级,以及 CVSS v3.0 规范中定义的 CVSS v3.0 严重性评级。CVSS 由 FIRST.Org, Inc.(FIRST)拥有和管理,FIRST 是一家总部位于美国的非营利组织,其使命是帮助世界各地的计算机安全事件响应团队。 例如 (https://nvd.nist.gov/vuln-metrics/cvss)

类型:keyword

示例:2.0

vulnerability.severity

漏洞的严重性可以帮助进行指标评估和内部优先级排序,以便进行修复。 例如 (https://nvd.nist.gov/vuln-metrics/cvss)

类型:keyword

示例:严重

x509

这实现了 x509 证书的通用核心字段。此信息可能会与 TLS 会话、可执行二进制文件中找到的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。当证书与文件相关时,请使用 file.x509 中的字段。当 DER 编码证书的哈希值可用时,也应填充 hash 数据集(例如 file.hash.sha256)。包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509 和/或 tls.client.x509

x509.alternative_names

主题备用名称 (SAN) 的列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

示例:*.elastic.co

x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 的列表。

类型:keyword

示例:示例 SHA2 高保证服务器 CA

x509.issuer.country

国家/地区代码 © 的列表

类型:keyword

示例:US

x509.issuer.distinguished_name

颁发证书颁发机构的专有名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

x509.issuer.locality

位置名称 (L) 的列表

类型:keyword

示例:Mountain View

x509.issuer.organization

颁发证书颁发机构的组织 (O) 的列表。

类型:keyword

示例:Example Inc

x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 的列表。

类型:keyword

示例:www.example.com

x509.issuer.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

x509.not_after

不再认为证书有效的时间。

类型:date

示例:2020-07-16 03:15:39+00:00

x509.not_before

首次认为证书有效的时间。

类型:date

示例:2019-08-16 01:40:25+00:00

x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

x509.public_key_exponent

用于推导公钥的指数。这是特定于算法的。

类型:long

示例:65537

该字段未被索引。

x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不带冒号且大写的字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

x509.subject.common_name

主题的通用名称 (CN) 的列表。

类型:keyword

示例:shared.global.example.net

x509.subject.country

国家/地区代码 © 的列表

类型:keyword

示例:US

x509.subject.distinguished_name

证书主题实体的专有名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

x509.subject.locality

位置名称 (L) 的列表

类型:keyword

示例:San Francisco

x509.subject.organization

主题的组织 (O) 的列表。

类型:keyword

示例:Example, Inc.

x509.subject.organizational_unit

主题的组织单位 (OU) 的列表。

类型:keyword

x509.subject.state_or_province

州或省名称(ST、S 或 P)的列表

类型:keyword

示例:California

x509.version_number

x509 格式的版本。

类型:keyword

示例:3