本节定义了 Elastic Common Schema (ECS) 字段——在 Elasticsearch 中存储事件数据时使用的一组通用字段。
这是一个详尽的列表,此处列出的字段不一定由 Packetbeat 使用。ECS 的目标是使和鼓励 Elasticsearch 用户规范化其事件数据,以便他们能够更好地分析、可视化和关联事件中表示的数据。
有关更多信息,请参阅 ECS 参考。
-
@timestamp
-
事件源自的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由事件首次被管道接收的时间填充。所有事件的必填字段。
类型: date
示例: 2016-05-23T08:05:34.853Z
必填: True
-
labels
-
自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。例如:
docker
和k8s
标签。类型: object
示例: {"application": "foo-bar", "env": "production"}
-
message
-
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,形成事件的人类可读摘要。如果存在多个消息,则可以将其合并为一条消息。
类型: match_only_text
示例: Hello World
-
tags
-
用于标记每个事件的关键字列表。
类型: keyword
示例: ["production", "env2"]
agent 字段包含有关软件实体的数据(如果有),这些实体在主机上收集、检测或观察事件,或在主机上进行测量。例如 Beats。代理也可能在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的主机或观察者上运行的代理的详细信息。
-
agent.build.original
-
代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息,不需要特定的格式。
类型: keyword
示例: metricbeat 版本 7.6.0 (amd64),libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c 构建于 2020-02-05 23:10:10 +0000 UTC]
-
agent.ephemeral_id
-
此代理的短暂标识符(如果存在)。此 ID 通常在重启后发生变化,但
agent.id
不会。类型: keyword
示例: 8a4f500f
-
agent.id
-
此代理的唯一标识符(如果存在)。例如:对于 Beats,这将是 beat.id。
类型: keyword
示例: 8a4f500d
-
agent.name
-
代理的自定义名称。这是一个可以赋予代理的名称。例如,如果两个 Filebeat 实例在同一主机上运行,但需要以人类可读的方式区分来自哪个 Filebeat 实例的数据,则这将非常有用。如果没有给出名称,则名称通常为空。
类型: keyword
示例: foo
-
agent.type
-
代理的类型。代理类型始终保持不变,应由使用的代理提供。例如,对于 Filebeat,即使在同一台机器上运行两个 Filebeat 实例,代理也始终为 Filebeat。
类型: keyword
示例: filebeat
-
agent.version
-
代理的版本。
类型: keyword
示例: 6.0.0-rc2
自治系统 (AS) 是一个连接的互联网协议 (IP) 路由前缀的集合,由一个或多个网络运营商代表单个管理实体或域控制,向互联网提供共同的、明确定义的路由策略。
-
as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
as.organization.name.text
-
类型: match_only_text
客户端定义为网络连接的发起者,用于有关会话、连接或双向流记录的事件。对于 TCP 事件,客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议,客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关充当网络事件中客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。对于数据包级事件,通常不填充客户端字段。客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于此类,您仍应确保正确填充源和目标。
-
client.address
-
某些事件客户端地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后应根据它是哪一个复制到.ip
或.domain
。类型: keyword
-
client.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
client.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
client.as.organization.name.text
-
类型: match_only_text
-
client.bytes
-
从客户端发送到服务器的字节数。
类型: long
示例: 184
格式: bytes
-
client.domain
-
客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富中添加。
类型: keyword
示例: foo.example.com
-
client.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
client.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
client.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
client.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
client.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
client.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
client.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
client.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
client.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
client.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
client.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
client.ip
-
客户端的 IP 地址 (IPv4 或 IPv6)。
类型: ip
-
client.mac
-
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
client.nat.ip
-
基于源 NAT 会话的转换后的 IP(例如,内部客户端到互联网)。通常是穿过负载均衡器、防火墙或路由器的连接。
类型: ip
-
client.nat.port
-
基于源 NAT 会话的转换后的端口(例如,内部客户端到互联网)。通常是穿过负载均衡器、防火墙或路由器的连接。
类型: long
格式: string
-
client.packets
-
从客户端发送到服务器的数据包。
类型: long
示例: 12
-
client.port
-
客户端的端口。
类型: long
格式: string
-
client.registered_domain
-
最高注册的客户端域名,去除了子域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 来说效果不佳。
类型: keyword
示例: example.com
-
client.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
client.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
client.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
client.user.email
-
用户电子邮件地址。
类型: keyword
-
client.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
client.user.full_name.text
-
类型: match_only_text
-
client.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
client.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
client.user.group.name
-
组的名称。
类型: keyword
-
client.user.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
client.user.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
client.user.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
client.user.name.text
-
类型: match_only_text
-
client.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
与事件来自的云或基础设施相关的字段。
-
cloud.account.id
-
用于标识多租户环境中不同实体的云帐户或组织 ID。例如:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例: 666777888999
-
cloud.account.name
-
用于在多租户环境中标识不同实体的云帐户名称或别名。例如:AWS 帐户名称,Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.origin.account.id
-
用于标识多租户环境中不同实体的云帐户或组织 ID。例如:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例: 666777888999
-
cloud.origin.account.name
-
用于在多租户环境中标识不同实体的云帐户名称或别名。例如:AWS 帐户名称,Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.origin.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.origin.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.origin.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.origin.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.origin.project.id
-
云项目的标识符。例如:Google Cloud 项目 ID,Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.origin.project.name
-
云项目的名称。例如:Google Cloud 项目名称,Azure 项目名称。
类型: keyword
示例:my project
-
cloud.origin.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.origin.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.origin.service.name
-
云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。例如:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
-
cloud.project.id
-
云项目的标识符。例如:Google Cloud 项目 ID,Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.project.name
-
云项目的名称。例如:Google Cloud 项目名称,Azure 项目名称。
类型: keyword
示例:my project
-
cloud.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.service.name
-
云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。例如:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
-
cloud.target.account.id
-
用于标识多租户环境中不同实体的云帐户或组织 ID。例如:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。
类型: keyword
示例: 666777888999
-
cloud.target.account.name
-
用于在多租户环境中标识不同实体的云帐户名称或别名。例如:AWS 帐户名称,Google Cloud ORG 显示名称。
类型: keyword
示例:elastic-dev
-
cloud.target.availability_zone
-
此主机、资源或服务所在的可用区。
类型: keyword
示例:us-east-1c
-
cloud.target.instance.id
-
主机机器的实例 ID。
类型: keyword
示例:i-1234567890abcdef0
-
cloud.target.instance.name
-
主机机器的实例名称。
类型: keyword
-
cloud.target.machine.type
-
主机机器的机器类型。
类型: keyword
示例:t2.medium
-
cloud.target.project.id
-
云项目的标识符。例如:Google Cloud 项目 ID,Azure 项目 ID。
类型: keyword
示例:my-project
-
cloud.target.project.name
-
云项目的名称。例如:Google Cloud 项目名称,Azure 项目名称。
类型: keyword
示例:my project
-
cloud.target.provider
-
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。
类型: keyword
示例:aws
-
cloud.target.region
-
此主机、资源或服务所在的区域。
类型: keyword
示例:us-east-1
-
cloud.target.service.name
-
云服务名称旨在区分在提供商内不同平台上运行的服务,例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。例如:app engine、app service、cloud run、fargate、lambda。
类型: keyword
示例:lambda
这些字段包含有关二进制代码签名的信息。
-
code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
容器字段用于有关作为信息来源的特定容器的元信息。这些字段有助于根据任何运行时的容器关联数据。
-
container.cpu.usage
-
使用的 CPU 百分比,由 CPU 核数归一化,范围从 0 到 1。缩放因子:1000。
类型:scaled_float
-
container.disk.read.bytes
-
自上次指标收集以来成功读取的总字节数(从所有磁盘聚合)。
类型: long
-
container.disk.write.bytes
-
自上次指标收集以来成功写入的总字节数(从所有磁盘聚合)。
类型: long
-
container.id
-
唯一的容器 ID。
类型: keyword
-
container.image.name
-
容器构建所基于的镜像的名称。
类型: keyword
-
container.image.tag
-
容器镜像标签。
类型: keyword
-
container.labels
-
镜像标签。
类型: object
-
container.memory.usage
-
内存使用百分比,范围从 0 到 1。缩放因子:1000。
类型:scaled_float
-
container.name
-
容器名称。
类型: keyword
-
container.network.egress.bytes
-
自上次指标收集以来,容器在所有网络接口上发送出的字节数。
类型: long
-
container.network.ingress.bytes
-
自上次指标收集以来,容器在所有网络接口上接收到的字节数。
类型: long
-
container.runtime
-
管理此容器的运行时。
类型: keyword
示例:docker
data_stream 字段参与定义新的数据流命名方案。在新数据流命名方案中,data_stream 字段的值以以下方式组合到实际数据流的名称中:{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}
。这意味着这些字段只能包含作为数据流名称一部分的有效字符。有关此内容的更多详细信息,请参阅此博文。Elasticsearch 数据流包含一个或多个后备索引,数据流名称构成后备索引名称的一部分。由于此约定,数据流也必须遵循索引命名限制。例如,数据流名称不能包含\
、/
、*
、?
、"
、<
、>
、|
、` `(空格字符)、,
或#
。有关其他限制,请参阅 Elasticsearch 参考。
-
data_stream.dataset
-
此字段可以包含任何有意义的内容来表示数据的来源。例如
nginx.access
、prometheus
、endpoint
等。对于其他方面符合但未设置数据集的数据流,我们对数据集值使用“generic”值。event.dataset
应与data_stream.dataset
具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准外,dataset
值还有其他限制:* 不得包含-
* 不得超过 100 个字符类型:constant_keyword
示例:nginx.access
-
data_stream.namespace
-
用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织其索引,并且数据流命名方案现在将此最佳实践作为默认值。许多用户将使用
default
填充此字段。如果未使用任何值,则回退到default
。除了上面提到的 Elasticsearch 索引命名标准外,namespace
值还有其他限制:* 不得包含-
* 不得超过 100 个字符类型:constant_keyword
示例:production
-
data_stream.type
-
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。
类型:constant_keyword
示例:logs
目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段是从网络事件、数据包或包含网络事务详细信息的其他事件中填充的。目标字段通常与源字段一起填充。源和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。
-
destination.address
-
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后,应根据其所属类型将其复制到.ip
或.domain
中。类型: keyword
-
destination.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
destination.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
destination.as.organization.name.text
-
类型: match_only_text
-
destination.bytes
-
从目标发送到源的字节数。
类型: long
示例: 184
格式: bytes
-
destination.domain
-
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。此值可以来自原始事件或从增强中添加。
类型: keyword
示例: foo.example.com
-
destination.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
destination.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
destination.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
destination.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
destination.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
destination.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
destination.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
destination.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
destination.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
destination.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
destination.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
destination.ip
-
目标的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
destination.mac
-
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,表示八位字节的值为无符号整数。连续的八位字节由连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
destination.nat.ip
-
基于 NAT 会话的目标 IP 的转换 IP(例如,Internet 到专用 DMZ)通常与负载均衡器、防火墙或路由器一起使用。
类型: ip
-
destination.nat.port
-
源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
destination.packets
-
从目标发送到源的数据包。
类型: long
示例: 12
-
destination.port
-
目标的端口。
类型: long
格式: string
-
destination.registered_domain
-
剥离子域后,最高注册的目标域。例如,“foo.example.com”的注册域为“example.com”。可以使用诸如公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。仅通过获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。
类型: keyword
示例: example.com
-
destination.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
destination.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
destination.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
destination.user.email
-
用户电子邮件地址。
类型: keyword
-
destination.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
destination.user.full_name.text
-
类型: match_only_text
-
destination.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
destination.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
destination.user.group.name
-
组的名称。
类型: keyword
-
destination.user.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
destination.user.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
destination.user.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
destination.user.name.text
-
类型: match_only_text
-
destination.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
这些字段包含有关动态加载到进程中的代码库的信息。
许多操作系统使用不同的名称来引用“共享代码库”,但此字段集指的是以下所有内容:* 动态链接库(.dll
),通常用于 Windows * 共享对象(.so
),通常用于类 Unix 操作系统 * 动态库(.dylib
),通常用于 macOS
-
dll.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
dll.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
dll.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
dll.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
dll.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
dll.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
dll.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
dll.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
dll.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
dll.hash.md5
-
MD5 哈希。
类型: keyword
-
dll.hash.sha1
-
SHA1 哈希。
类型: keyword
-
dll.hash.sha256
-
SHA256 哈希。
类型: keyword
-
dll.hash.sha512
-
SHA512 哈希。
类型: keyword
-
dll.hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
dll.name
-
库的名称。这通常映射到磁盘上文件的名称。
类型: keyword
示例:kernel32.dll
-
dll.path
-
库的完整文件路径。
类型: keyword
示例:C:\Windows\System32\kernel32.dll
-
dll.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
dll.pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
dll.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
dll.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
dll.pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
dll.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
dll.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
描述 DNS 查询和响应的字段。DNS 事件应表示获取答案之前的单个 DNS 查询(dns.type:query
),或者表示完整的交换,并包含查询详细信息以及为此查询提供的全部答案(dns.type:answer
)。
-
dns.answers
-
一个数组,包含服务器返回的每个答案部分的对象。这些对象中应存在的关键键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义更多的键。并非所有 DNS 数据源都提供 DNS 答案的全部详细信息。至少,答案对象必须包含
data
键。如果提供了更多信息,则尽可能将其映射到 ECS,并将任何其他字段作为自定义字段添加到答案对象中。类型: object
-
dns.answers.class
-
此资源记录中包含的 DNS 数据的类别。
类型: keyword
示例:IN
-
dns.answers.data
-
描述资源的数据。此数据含义取决于资源记录的类型和类别。
类型: keyword
示例:10.10.10.10
-
dns.answers.name
-
此资源记录相关的域名。如果正在解析 CNAME 链,则每个答案的
name
应与答案的data
相对应。它不应只是简单地重复原始的question.name
。类型: keyword
示例:www.example.com
-
dns.answers.ttl
-
此资源记录在应将其丢弃之前可以缓存的时间间隔(以秒为单位)。零值表示不应缓存数据。
类型: long
示例:180
-
dns.answers.type
-
此资源记录中包含的数据类型。
类型: keyword
示例:CNAME
-
dns.header_flags
-
DNS 头部标志的 2 个字母数组。预期值为:AA、TC、RD、RA、AD、CD、DO。
类型: keyword
示例:["RD", "RA"]
-
dns.id
-
生成查询的程序分配的 DNS 数据包标识符。该标识符会复制到响应中。
类型: keyword
示例:62111
-
dns.op_code
-
DNS 操作代码,指定消息中查询的类型。此值由查询的发起者设置,并复制到响应中。
类型: keyword
示例:QUERY
-
dns.question.class
-
正在查询的记录的类别。
类型: keyword
示例:IN
-
dns.question.name
-
正在查询的名称。如果名称字段包含不可打印字符(低于 32 或高于 126),则应将其表示为转义的基数 10 整数(\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。
类型: keyword
示例:www.example.com
-
dns.question.registered_domain
-
最高注册域名,剥离子域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表(http://publicsuffix.org)这样的列表精确地确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 不会很好用。
类型: keyword
示例: example.com
-
dns.question.subdomain
-
子域名是注册域名下所有标签。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不带尾随句点。
类型: keyword
示例:www
-
dns.question.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
dns.question.type
-
正在查询的记录类型。
类型: keyword
示例:AAAA
-
dns.resolved_ip
-
包含在
answers.data
中看到的所有 IP 的数组。answers
数组可能难以使用,因为它可以包含各种数据格式。将其中看到的所有 IP 地址提取到dns.resolved_ip
使得可以将其索引为 IP 地址,并使它们更容易可视化和查询。类型: ip
示例:["10.10.10.10", "10.10.10.11"]
-
dns.response_code
-
DNS 响应代码。
类型: keyword
示例:NOERROR
-
dns.type
-
捕获的 DNS 事件类型,查询或答案。如果您的 DNS 事件源只提供 DNS 查询,则您应该只创建
dns.type:query
类型的 dns 事件。如果您的 DNS 事件源也提供答案,则您应该为每个查询创建一个事件(可选地,一旦看到查询)。以及包含所有查询详细信息以及答案数组的第二个事件。类型: keyword
示例:answer
ECS 特定的元信息。
-
ecs.version
-
此事件符合的 ECS 版本。
ecs.version
是必需字段,必须存在于所有事件中。在跨多个索引(可能符合略微不同的 ECS 版本)查询时,此字段允许集成调整到事件的架构版本。类型: keyword
示例:1.0.0
必填: True
这些字段包含 Linux 可执行链接格式 (ELF) 元数据。
-
elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
elf.header.version
-
ELF 头部的版本。
类型: keyword
-
elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
elf.segments
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
这些字段可以表示任何类型的错误。将它们用于获取事件时发生的错误或事件本身包含错误的情况。
-
error.code
-
描述错误的错误代码。
类型: keyword
-
error.id
-
错误的唯一标识符。
类型: keyword
-
error.message
-
错误消息。
类型: match_only_text
-
error.stack_trace
-
此错误的堆栈跟踪(纯文本)。
类型:通配符
-
error.stack_trace.text
-
类型: match_only_text
-
error.type
-
错误的类型,例如异常的类名。
类型: keyword
示例:java.lang.NullPointerException
事件字段用于关于日志或指标事件本身的上下文信息。日志定义为包含发生的事情的详细信息的事件。日志事件必须包含事件发生的时间。日志事件的示例包括主机上启动进程、从源到目标发送网络数据包或客户端与服务器之间的网络连接启动或关闭。指标定义为包含一个或多个数值测量值以及测量时间点的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息,请参阅本节中的 event.kind
定义。
-
event.action
-
事件捕获的操作。这描述了事件中的信息。它比
event.category
更具体。例如group-add
、process-started
、file-created
。该值通常由实现者定义。类型: keyword
示例:user-password-change
-
event.agent_id_status
-
代理通常负责填充
agent.id
字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值,则可以使用此字段来反映该验证的结果。例如,如果代理的连接使用 mTLS 进行身份验证,并且客户端证书包含颁发给该证书的代理的 ID,则可以针对证书检查事件中的agent.id
值。如果值匹配,则将event.agent_id_status: verified
添加到事件中,否则应使用其他允许的值之一。如果未执行验证,则应省略该字段。允许的值为:verified
-agent.id
字段值与从身份验证元数据获得的预期值匹配。mismatch
-agent.id
字段值与从身份验证元数据获得的预期值不匹配。missing
- 事件中没有agent.id
字段需要验证。auth_metadata_missing
- 没有身份验证元数据或缺少有关代理 ID 的信息。类型: keyword
示例:verified
-
event.category
-
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的第二级。
event.category
表示 ECS 类别的“大桶”。例如,根据event.category:process
筛选将产生与进程活动相关的所有事件。此字段与用作子类别的event.type
密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。类型: keyword
示例:authentication
-
event.code
-
此事件的标识代码(如果存在)。一些事件源使用事件代码来明确标识消息,而不管消息语言或随着时间的推移进行的措辞调整如何。Windows 事件 ID 就是一个示例。
类型: keyword
示例:4648
-
event.created
-
event.created 包含事件首次被代理或您的管道读取的日期/时间。此字段不同于 @timestamp,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳略有不同。差异可用于计算您的源生成事件与您的代理首次处理事件之间的时间延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。
类型: date
示例:2016-05-23T08:05:34.857Z
-
event.dataset
-
数据集的名称。如果事件源发布了多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。
类型: keyword
示例:apache.access
-
event.duration
-
事件的持续时间(纳秒)。如果已知 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。
类型: long
格式:duration
-
event.end
-
event.end 包含事件结束或活动最后一次被观察到的日期。
类型: date
-
event.hash
-
原始字段的哈希值(可能是 Logstash 指纹),以便能够证明日志完整性。
类型: keyword
示例:123456789012345678901234567890ABCD
-
event.id
-
描述事件的唯一 ID。
类型: keyword
示例: 8a4f500d
-
event.ingested
-
事件到达中央数据存储的时间戳。这与
@timestamp
不同,后者表示事件最初发生的时间。它也与event.created
不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳的顺序应如下所示:@timestamp
<event.created
<event.ingested
。类型: date
示例:2016-05-23T08:05:35.101Z
-
event.kind
-
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的最高级别。
event.kind
提供有关事件包含的信息类型的概况信息,而无需具体到事件内容。例如,此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理此类事件。它们可能需要不同的保留策略、不同的访问控制,还可以帮助理解数据是否以规则的间隔进入。类型: keyword
示例:alert
-
event.module
-
此数据来自的模块名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如 Apache 日志),则
event.module
应包含此模块的名称。类型: keyword
示例:apache
-
event.original
-
整个事件的原始文本消息。用于证明日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的地方,例如重新索引。此字段未被索引,并且禁用了 doc_values。无法搜索,但可以从
_source
中检索。如果用户希望覆盖此字段并对其进行索引,请参阅Elasticsearch 参考
中的字段数据类型
。类型: keyword
示例:Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232
字段未被索引。
-
event.outcome
-
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的最低级别。
event.outcome
仅表示事件从生成事件的实体的角度来看是否表示成功或失败。请注意,当单个事务在多个事件中描述时,每个事件都可能填充event.outcome
的不同值,具体取决于其视角。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能捕获事件生成者视角的整体成功或失败的值。此外,请注意,并非所有事件都有关联的结果。例如,此字段通常不会填充指标事件、event.type:info
的事件或任何结果没有逻辑意义的事件。类型: keyword
示例:success
-
event.provider
-
事件的来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称(例如 Sysmon、httpd),也可以是操作系统的子系统的名称(内核、Microsoft-Windows-Security-Auditing)。
类型: keyword
示例:kernel
-
event.reason
-
根据源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的“为什么”。其中
event.action
捕获事件中的操作,event.reason
描述了采取该操作的原因。例如,具有event.action
拒绝请求的 Web 代理也可能使用event.reason
来填充拒绝原因(例如blocked site
)。类型: keyword
示例:终止了一个意外进程
-
event.reference
-
指向有关此事件的附加信息的参考 URL。此 URL 链接到此事件的静态定义。由
event.kind:alert
指示的警报事件是此字段的常见用例。类型: keyword
-
event.risk_score
-
事件的风险评分或优先级(例如安全解决方案)。在此处使用您系统的原始值。
类型:float
-
event.risk_score_norm
-
事件的标准化风险评分或优先级,范围为 0 到 100。如果您使用多个分配风险评分的系统,并且希望在所有系统中查看标准化值,这主要很有用。
类型:float
-
event.sequence
-
事件的序列号。序列号是由某些事件源发布的值,用于使事件的精确排序明确,而不管时间戳精度如何。
类型: long
格式: string
-
event.severity
-
根据您的事件源,事件的数字严重程度。不同的严重程度值意味着什么在源和用例之间可能不同。实施者有责任确保来自同一源的事件的严重程度保持一致。Syslog 严重程度位于
log.syslog.severity.code
中。event.severity
用于表示根据事件源(例如防火墙、IDS)的严重程度。如果事件源未发布其自身的严重程度,则可以选择将log.syslog.severity.code
复制到event.severity
。类型: long
示例:7
格式: string
-
event.start
-
event.start 包含事件开始或活动首次被观察到的日期。
类型: date
-
event.timezone
-
当事件的时间戳不包含时区信息时(例如默认 Syslog 时间戳),应填充此字段。否则为可选。可接受的时区格式为:规范 ID(例如“Europe/Amsterdam”)、缩写(例如“EST”)或 HH:mm 差值(例如“-05:00”)。
类型: keyword
-
event.type
-
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的第三级。
event.type
表示一个分类“子桶”,当与event.category
字段值一起使用时,可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行正确的分类。类型: keyword
-
event.url
-
链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统,在该系统中可以对事件的具体发生情况进行深入调查。由
event.kind:alert
指示的警报事件是此字段的常见用例。类型: keyword
示例:https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe
用户字段描述与事件相关的函数即服务的信息。
-
faas.coldstart
-
指示函数冷启动的布尔值。
类型:布尔值
-
faas.execution
-
当前函数执行的执行 ID。
类型: keyword
示例:af9d5aa4-a685-4c5f-a22b-444f80b3cc28
-
faas.trigger
-
有关函数触发器的详细信息。
类型:嵌套
-
faas.trigger.request_id
-
触发器请求、消息、事件等的 ID。
类型: keyword
示例:123456789
-
faas.trigger.type
-
函数执行的触发器。预期值为:* http * pubsub * datasource * timer * other
类型: keyword
示例:http
文件定义为已在文件系统上创建或已存在于文件系统上的一组信息。文件对象可以与主机事件、网络事件和/或文件事件相关联(例如,由文件完整性监控 [FIM] 产品或服务生成的事件)。文件字段提供有关与事件或指标相关的受影响文件的详细信息。
-
file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都跟踪访问时间。
类型: date
-
file.attributes
-
文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
file.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
file.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
file.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
file.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
file.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
file.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
file.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
file.created
-
文件创建时间。请注意,并非所有文件系统都存储创建时间。
类型: date
-
file.ctime
-
上次修改文件属性或元数据的时间。请注意,文件内容的更改将更新
mtime
。这意味着ctime
将在同一时间调整,因为mtime
是文件的属性。类型: date
-
file.device
-
文件来源的设备。
类型: keyword
示例:sda
-
file.directory
-
文件所在目录。在适当的情况下,应包含驱动器号。
类型: keyword
示例:/home/alice
-
file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。值应为大写,且不包含冒号。
类型: keyword
示例:C
-
file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
file.elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
file.elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
file.elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
file.elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
file.elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
file.elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
file.elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
file.elf.header.version
-
ELF 头部的版本。
类型: keyword
-
file.elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
file.elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
file.elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
file.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
file.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
file.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
file.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
file.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
file.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
file.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
file.elf.segments
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
file.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
file.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
file.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
file.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
file.extension
-
文件扩展名,不包括开头的点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
file.fork_name
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
file.gid
-
文件的所属组 ID (GID)。
类型: keyword
示例:1001
-
file.group
-
文件的所属组名称。
类型: keyword
示例:alice
-
file.hash.md5
-
MD5 哈希。
类型: keyword
-
file.hash.sha1
-
SHA1 哈希。
类型: keyword
-
file.hash.sha256
-
SHA256 哈希。
类型: keyword
-
file.hash.sha512
-
SHA512 哈希。
类型: keyword
-
file.hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
file.inode
-
表示文件系统中文件的 inode。
类型: keyword
示例:256383
-
file.mime_type
-
MIME 类型应使用IANA 官方类型(如果可能)识别文件或字节流的格式。当有多种类型适用时,应使用最具体的类型。
类型: keyword
-
file.mode
-
文件的八进制表示模式。
类型: keyword
示例:0640
-
file.mtime
-
文件内容上次修改的时间。
类型: date
-
file.name
-
包含扩展名的文件名,不包含目录。
类型: keyword
示例:example.png
-
file.owner
-
文件所有者的用户名。
类型: keyword
示例:alice
-
file.path
-
文件的完整路径,包括文件名。在适当情况下,它应包含驱动器盘符。
类型: keyword
示例:/home/alice/example.png
-
file.path.text
-
类型: match_only_text
-
file.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
file.pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
file.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
file.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
file.pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
file.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
file.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
file.size
-
文件大小(以字节为单位)。仅当
file.type
为“file”时才相关。类型: long
示例:16384
-
file.target_path
-
符号链接的目标路径。
类型: keyword
-
file.target_path.text
-
类型: match_only_text
-
file.type
-
文件类型(file、dir 或 symlink)。
类型: keyword
示例:file
-
file.uid
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
file.x509.alternative_names
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
file.x509.issuer.common_name
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
file.x509.issuer.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
file.x509.issuer.distinguished_name
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
file.x509.issuer.locality
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
file.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
file.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
file.x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
file.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
file.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
file.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
file.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
file.x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
file.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
file.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
file.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
file.x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
file.x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
file.x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
file.x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
file.x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
file.x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
file.x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
file.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
地理字段可以携带与事件相关的特定位置的数据。此地理位置信息可以源自诸如地理 IP 之类的技术,也可以由用户提供。
-
geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
组字段旨在表示与事件相关的组。
-
group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
group.name
-
组的名称。
类型: keyword
哈希字段表示不同的按位哈希算法及其值。常用哈希(例如 MD5、SHA1)的字段名称是预定义的。通过将哈希算法名称小写并使用下划线分隔符(蛇形大小写,例如 sha3_512)来添加其他哈希的字段。请注意,此字段集用于可能针对一系列通用字节计算的常用哈希。特定于实体的哈希(例如 ja3 或 imphash)放置在其相关的字段集中(分别为 tls 和 pe)。
-
hash.md5
-
MD5 哈希。
类型: keyword
-
hash.sha1
-
SHA1 哈希。
类型: keyword
-
hash.sha256
-
SHA256 哈希。
类型: keyword
-
hash.sha512
-
SHA512 哈希。
类型: keyword
-
hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
主机定义为通用计算实例。ECS host.* 字段应填充有关发生事件的主机或从中获取测量的主机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。
-
host.architecture
-
操作系统架构。
类型: keyword
示例:x86_64
-
host.cpu.usage
-
使用的 CPU 百分比,通过 CPU 内核数进行归一化,范围从 0 到 1。缩放因子:1000。例如:对于一个双核主机,此值应为两个内核的平均值,介于 0 和 1 之间。
类型:scaled_float
-
host.disk.read.bytes
-
自上次指标收集以来成功读取的总字节数(从所有磁盘聚合)。
类型: long
-
host.disk.write.bytes
-
自上次指标收集以来成功写入的总字节数(从所有磁盘聚合)。
类型: long
-
host.domain
-
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机的 LDAP 提供程序的域。
类型: keyword
示例:CONTOSO
-
host.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
host.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
host.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
host.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
host.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
host.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
host.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
host.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
host.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
host.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
host.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
host.hostname
-
主机的主机名。它通常包含主机上
hostname
命令返回的内容。类型: keyword
-
host.id
-
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中有意义的值。例如:
beat.name
的当前用法。类型: keyword
-
host.ip
-
主机 IP 地址。
类型: ip
-
host.mac
-
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。
类型: keyword
示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]
-
host.name
-
主机的名称。它可以包含 Unix 系统上
hostname
返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。类型: keyword
-
host.network.egress.bytes
-
自上次指标收集以来,主机在所有网络接口上发送的字节数(规格)。
类型: long
-
host.network.egress.packets
-
自上次指标收集以来,主机在所有网络接口上发送的数据包数(计量器)。
类型: long
-
host.network.ingress.bytes
-
自上次指标收集以来,主机在所有网络接口上接收到的字节数(计量器)。
类型: long
-
host.network.ingress.packets
-
自上次指标收集以来,主机在所有网络接口上接收到的数据包数(计量器)。
类型: long
-
host.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
host.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
host.os.full.text
-
类型: match_only_text
-
host.os.kernel
-
操作系统内核版本,以原始字符串形式表示。
类型: keyword
示例:4.4.0-112-generic
-
host.os.name
-
操作系统名称,不包括版本。
类型: keyword
示例:Mac OS X
-
host.os.name.text
-
类型: match_only_text
-
host.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
host.os.type
-
使用
os.type
字段将操作系统分类到以下广泛的商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过针对 ECS 创建问题告知我们,以建议添加它。类型: keyword
示例:macos
-
host.os.version
-
操作系统版本,以原始字符串形式表示。
类型: keyword
示例:10.14.1
-
host.type
-
主机类型。对于云提供商,这可能是机器类型,例如
t2.medium
。如果是虚拟机,这可能是容器,或者您环境中的其他有意义的信息。类型: keyword
-
host.uptime
-
主机已运行的秒数。
类型: long
示例:1325
与 HTTP 活动相关的字段。使用设置为 url
字段存储请求的 URL。
-
http.request.body.bytes
-
请求正文的大小(以字节为单位)。
类型: long
示例:887
格式: bytes
-
http.request.body.content
-
完整的 HTTP 请求正文。
类型:通配符
示例:Hello world
-
http.request.body.content.text
-
类型: match_only_text
-
http.request.bytes
-
请求的总大小(以字节为单位)(正文和标头)。
类型: long
示例:1437
格式: bytes
-
http.request.id
-
每个 HTTP 请求的唯一标识符,用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准 HTTP 标头中,例如
X-Request-ID
或X-Correlation-ID
。类型: keyword
示例:123e4567-e89b-12d3-a456-426614174000
-
http.request.method
-
HTTP 请求方法。该值应保留其原始事件中的大小写。例如,
GET
、get
和GeT
都被认为是此字段的有效值。类型: keyword
示例:POST
-
http.request.mime_type
-
请求正文的 MIME 类型。此值必须仅根据请求正文的内容填充,而不是根据
Content-Type
标头填充。将请求的 MIME 类型与请求的 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。类型: keyword
示例:image/gif
-
http.request.referrer
-
此 HTTP 请求的来源。
类型: keyword
-
http.response.body.bytes
-
响应正文的大小(以字节为单位)。
类型: long
示例:887
格式: bytes
-
http.response.body.content
-
完整的 HTTP 响应正文。
类型:通配符
示例:Hello world
-
http.response.body.content.text
-
类型: match_only_text
-
http.response.bytes
-
响应的总大小(以字节为单位)(正文和标头)。
类型: long
示例:1437
格式: bytes
-
http.response.mime_type
-
响应正文的 MIME 类型。此值必须仅根据响应正文的内容填充,而不是根据
Content-Type
标头填充。将响应的 MIME 类型与响应的 Content-Type 标头进行比较有助于检测配置错误的服务器。类型: keyword
示例:image/gif
-
http.response.status_code
-
HTTP 响应状态代码。
类型: long
示例:404
格式: string
-
http.version
-
HTTP 版本。
类型: keyword
示例:1.1
接口字段用于记录观察者(例如防火墙、路由器、负载均衡器)在处理网络连接的上下文中报告的入口和出口接口信息。在单个观察者接口(例如跨端口上的网络传感器)的情况下,仅应填充 observer.ingress 信息。
-
interface.alias
-
系统报告的接口别名,通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。
类型: keyword
示例:outside
-
interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
有关事件日志记录机制或日志记录传输的详细信息。log.* 字段通常填充有关用于创建和/或传输事件的日志记录机制的详细信息。例如,syslog 详细信息位于 log.syslog.*
下。您事件源特有的详细信息通常不会记录在 log.*
下,而是记录在 event.*
或其他 ECS 字段中。
-
log.file.path
-
此事件来自的日志文件的完整路径,包括文件名。在适当的情况下,它应包含驱动器号。如果事件不是从日志文件读取的,则不要填充此字段。
类型: keyword
示例:/var/log/fun-times.log
-
log.level
-
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则这是进入
log.level
的级别。如果您的源未指定一个,则可以将您的事件传输的严重性放在此处(例如 Syslog 严重性)。一些示例是warn
、err
、i
、informational
。类型: keyword
示例:error
-
log.logger
-
应用程序内记录器的名称。这通常是初始化记录器的类的名称,或者可以是自定义名称。
类型: keyword
示例:org.elasticsearch.bootstrap.Bootstrap
-
log.origin.file.line
-
包含源代码的行号,该源代码产生了日志事件。
类型: long
示例:42
-
log.origin.file.name
-
包含源代码的文件名,该源代码产生了日志事件。请注意,此字段并非旨在捕获日志文件。捕获日志文件的正确字段是
log.file.path
。类型: keyword
示例:Bootstrap.java
-
log.origin.function
-
产生日志事件的函数或方法的名称。
类型: keyword
示例:init
-
log.syslog
-
事件的 Syslog 元数据,如果事件是通过 Syslog 传输的。请参阅 RFC 5424 或 3164。
类型: object
-
log.syslog.facility.code
-
日志事件的 Syslog 数字设备,如果可用。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。
类型: long
示例:23
格式: string
-
log.syslog.facility.name
-
日志事件的 Syslog 基于文本的设备,如果可用。
类型: keyword
示例:local7
-
log.syslog.priority
-
事件的 Syslog 数字优先级,如果可用。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,此数字预计包含 0 到 191 之间的值。
类型: long
示例:135
格式: string
-
log.syslog.severity.code
-
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布的事件源提供不同的数字严重性值(例如防火墙、IDS),则您的源的数字严重性应转到
event.severity
。如果事件源未指定不同的严重性,则可以选择将 Syslog 严重性复制到event.severity
。类型: long
示例:3
-
log.syslog.severity.name
-
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布的事件源提供不同的严重性值(例如防火墙、IDS),则您的源的文本严重性应转到
log.level
。如果事件源未指定不同的严重性,则可以选择将 Syslog 严重性复制到log.level
。类型: keyword
示例:Error
网络定义为主机或网络事件发生的通信路径。network.* 字段应填充与事件相关的网络活动的详细信息。
-
network.application
-
当从网络连接详细信息(源/目标 IP、端口、证书或线格式)识别特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件识别网络连接来自
https
网络连接中的特定 Web 服务,例如facebook
或twitter
。字段值必须规范化为小写以进行查询。类型: keyword
示例:aim
-
network.bytes
-
双向传输的总字节数。如果已知
source.bytes
和destination.bytes
,则network.bytes
是它们的总和。类型: long
示例:368
格式: bytes
-
network.community_id
-
源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一种与工具无关的标准,用于识别流。在 https://github.com/corelight/community-id-spec 中了解更多信息。
类型: keyword
示例:1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=
-
network.direction
-
网络流量的方向。推荐值如下:* 入站 * 出站 * 入站 * 出站 * 内部 * 外部 * 未知
在从基于主机的监控上下文中映射事件时,请从主机的角度填充此字段,使用“入站”或“出站”值。在从基于网络或基于周边的监控上下文中映射事件时,请从网络周边角度填充此字段,使用“入站”、“出站”、“内部”或“外部”值。请注意,“内部”不会跨越周边边界,旨在描述周边内两台主机之间的通信。另请注意,“外部”旨在描述两台主机之间的流量,这两台主机位于周边外部。例如,这对于 ISP 或 VPN 服务提供商可能很有用。
类型: keyword
示例:inbound
-
network.forwarded_ip
-
当源 IP 地址是代理时,主机 IP 地址。
类型: ip
示例:192.1.1.2
-
network.iana_number
-
IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志很好地对齐。
类型: keyword
示例:6
-
network.inner
-
除了 network.vlan 字段外,还添加了 Network.inner 字段来描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器(例如 Zeek、Wireshark)时,通常使用内部 vlan 字段。
类型: object
-
network.inner.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
network.inner.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
network.name
-
运营商为其网络部分提供的名称。
类型: keyword
示例:Guest Wifi
-
network.packets
-
双向传输的总数据包数。如果已知
source.packets
和destination.packets
,则network.packets
是它们的总和。类型: long
示例:24
-
network.protocol
-
在OSI模型中,这将是应用层协议。例如,
http
、dns
或ssh
。为了查询,字段值必须规范化为小写。类型: keyword
示例:http
-
network.transport
-
与network.iana_number相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp等)。为了查询,字段值必须规范化为小写。
类型: keyword
示例:tcp
-
network.type
-
在OSI模型中,这将是网络层。ipv4、ipv6、ipsec、pim等。为了查询,字段值必须规范化为小写。
类型: keyword
示例:ipv4
-
network.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
network.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
观察者被定义为一种特殊的网络、安全或应用程序设备,用于检测、观察或创建网络、安全或与应用程序相关的事件和指标。这可以是自定义硬件设备,也可以是已配置为运行特殊网络、安全或应用程序软件的服务器。例如,防火墙、Web代理、入侵检测/防御系统、网络监控传感器、Web应用程序防火墙、数据丢失预防系统和APM服务器。如果存在任何检测、观察和/或创建网络、安全或应用程序事件或指标的系统,则observer.*字段将填充该系统的详细信息。在ECS中,用于处理事件或指标的消息队列和ETL组件不被视为观察者。
-
observer.egress
-
Observer.egress保存诸如接口编号和名称、VLAN和区域信息等信息,以对出站流量进行分类。单臂监控(例如,跨接端口上的网络传感器)应仅使用observer.ingress对流量进行分类。
类型: object
-
observer.egress.interface.alias
-
系统报告的接口别名,通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。
类型: keyword
示例:outside
-
observer.egress.interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
observer.egress.interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
-
observer.egress.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
observer.egress.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
observer.egress.zone
-
观察者报告的出站流量的网络区域,用于对出站流量的目标区域进行分类,例如Internal、External、DMZ、HR、Legal等。
类型: keyword
示例:Public_Internet
-
observer.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
observer.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
observer.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
observer.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
observer.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
observer.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
observer.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
observer.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
observer.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
observer.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
observer.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
observer.hostname
-
观察者的主机名。
类型: keyword
-
observer.ingress
-
Observer.ingress保存诸如接口编号和名称、VLAN和区域信息等信息,以对入站流量进行分类。单臂监控(例如,跨接端口上的网络传感器)应仅使用observer.ingress对流量进行分类。
类型: object
-
observer.ingress.interface.alias
-
系统报告的接口别名,通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。
类型: keyword
示例:outside
-
observer.ingress.interface.id
-
观察者报告的接口 ID(通常是 SNMP 接口 ID)。
类型: keyword
示例:10
-
observer.ingress.interface.name
-
系统报告的接口名称。
类型: keyword
示例:eth0
-
observer.ingress.vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
observer.ingress.vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
-
observer.ingress.zone
-
观察者报告的入站流量的网络区域,用于对入站流量的源区域进行分类。例如,internal、External、DMZ、HR、Legal等。
类型: keyword
示例:DMZ
-
observer.ip
-
观察者的IP地址。
类型: ip
-
observer.mac
-
观察者的MAC地址。建议使用RFC 7042中的表示法格式:每个八位字节(即8位字节)由两个[大写]十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。
类型: keyword
示例:["00-00-5E-00-53-23", "00-00-5E-00-53-24"]
-
observer.name
-
观察者的自定义名称。这是可以赋予观察者的名称。例如,如果组织中使用了多个相同型号的防火墙,这将很有帮助。如果不需要自定义名称,则可以将该字段留空。
类型: keyword
示例:1_proxySG
-
observer.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
observer.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
observer.os.full.text
-
类型: match_only_text
-
observer.os.kernel
-
操作系统内核版本,以原始字符串形式表示。
类型: keyword
示例:4.4.0-112-generic
-
observer.os.name
-
操作系统名称,不包括版本。
类型: keyword
示例:Mac OS X
-
observer.os.name.text
-
类型: match_only_text
-
observer.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
observer.os.type
-
使用
os.type
字段将操作系统分类到以下广泛的商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过针对 ECS 创建问题告知我们,以建议添加它。类型: keyword
示例:macos
-
observer.os.version
-
操作系统版本,以原始字符串形式表示。
类型: keyword
示例:10.14.1
-
observer.product
-
观察者的产品名称。
类型: keyword
示例:s200
-
observer.serial_number
-
观察者序列号。
类型: keyword
-
observer.type
-
数据来自的观察者的类型。没有预定义的观察者类型列表。一些示例包括
forwarder
、firewall
、ids
、ips
、proxy
、poller
、sensor
、APM server
。类型: keyword
示例:firewall
-
observer.vendor
-
观察者的供应商名称。
类型: keyword
示例:Symantec
-
observer.version
-
观察者版本。
类型: keyword
描述容器编排器管理或作用于的资源的字段。
-
orchestrator.api_version
-
用于执行操作的API版本
类型: keyword
示例:v1beta1
-
orchestrator.cluster.name
-
集群的名称。
类型: keyword
-
orchestrator.cluster.url
-
用于管理集群的API的URL。
类型: keyword
-
orchestrator.cluster.version
-
集群的版本。
类型: keyword
-
orchestrator.namespace
-
正在执行操作的命名空间。
类型: keyword
示例:kube-system
-
orchestrator.organization
-
受事件影响的组织(对于多租户编排器设置)。
类型: keyword
示例:elastic
-
orchestrator.resource.name
-
正在对其执行操作的资源的名称。
类型: keyword
示例:test-pod-cdcws
-
orchestrator.resource.type
-
正在对其执行操作的资源的类型。
类型: keyword
示例:service
-
orchestrator.type
-
编排器集群类型(例如kubernetes、nomad或cloudfoundry)。
类型: keyword
示例:kubernetes
组织字段使用与数据关联的公司或实体的信息来丰富数据。这些字段可帮助您根据一个或多个组织整理或筛选存储在索引中的数据。
-
organization.id
-
组织的唯一标识符。
类型: keyword
-
organization.name
-
组织名称。
类型: keyword
-
organization.name.text
-
类型: match_only_text
OS字段包含有关操作系统的的信息。
-
os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
os.full.text
-
类型: match_only_text
-
os.kernel
-
操作系统内核版本,以原始字符串形式表示。
类型: keyword
示例:4.4.0-112-generic
-
os.name
-
操作系统名称,不包括版本。
类型: keyword
示例:Mac OS X
-
os.name.text
-
类型: match_only_text
-
os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
os.type
-
使用
os.type
字段将操作系统分类到以下广泛的商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过针对 ECS 创建问题告知我们,以建议添加它。类型: keyword
示例:macos
-
os.version
-
操作系统版本,以原始字符串形式表示。
类型: keyword
示例:10.14.1
这些字段包含有关已安装软件包的信息。它包含有关软件包的一般信息,例如名称、版本或大小。它还包含安装详细信息,例如时间或位置。
-
package.architecture
-
软件包架构。
类型: keyword
示例:x86_64
-
package.build_version
-
有关已安装软件包的构建版本的其他信息。例如,使用未发布软件包的提交SHA。
类型: keyword
示例:36f4f7e89dd61b0988b12ee000b98966867710cd
-
package.checksum
-
已安装软件包的校验和,用于验证。
类型: keyword
示例:68b329da9893e34099c7d8ad5cb9c940
-
package.description
-
软件包的描述。
类型: keyword
示例:构建简单/可靠/高效软件的开源编程语言。
-
package.install_scope
-
指示软件包的安装方式,例如user-local、global。
类型: keyword
示例:global
-
package.installed
-
软件包安装的时间。
类型: date
-
package.license
-
软件包发布的许可证。使用简短名称,例如,尽可能使用SPDX许可证列表中的许可证标识符(https://spdx.org/licenses/)。
类型: keyword
示例:Apache License 2.0
-
package.name
-
软件包名称
类型: keyword
示例:go
-
package.path
-
软件包安装的路径。
类型: keyword
示例:/usr/local/Cellar/go/1.12.9/
-
package.reference
-
如果可用,则为该软件包中软件的主页或参考URL。
类型: keyword
-
package.size
-
软件包大小(以字节为单位)。
类型: long
示例:62231
格式: string
-
package.type
-
软件包类型。这应包含软件包文件类型,而不是软件包管理器名称。示例:rpm、dpkg、brew、npm、gem、nupkg、jar。
类型: keyword
示例:rpm
-
package.version
-
软件包版本
类型: keyword
示例:1.12.9
这些字段包含Windows可移植执行体(PE)元数据。
-
pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程ID/名称相关联。process.pid
通常保留在指标本身中,并复制到全局字段以进行关联。
-
process.args
-
进程参数数组,以可执行文件的绝对路径开头。可以进行过滤以保护敏感信息。
类型: keyword
示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]
-
process.args_count
-
process.args数组的长度。此字段可用于查询或对启动进程时提供了多少个参数执行桶分析。更多参数可能是可疑活动的迹象。
类型: long
示例:4
-
process.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
process.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
process.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
process.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
process.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
process.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
process.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
process.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
process.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
process.command_line
-
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。
类型:通配符
示例:/usr/bin/ssh -l user 10.0.0.16
-
process.command_line.text
-
类型: match_only_text
-
process.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
process.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
process.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
process.elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
process.elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
process.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
process.elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
process.elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
process.elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
process.elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
process.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
process.elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
process.elf.header.version
-
ELF 头部的版本。
类型: keyword
-
process.elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
process.elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
process.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
process.elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
process.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
process.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
process.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
process.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
process.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
process.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
process.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
process.elf.segments
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
process.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
process.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
process.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
process.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
process.end
-
进程结束的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.entity_id
-
进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的一些示例包括进程生成的UUID、Sysmon进程GUID或进程的一些唯一标识组件的哈希值。构建全局唯一标识符是一种常见的做法,可以减轻PID重用以及跨多个受监控主机随时间推移识别特定进程。
类型: keyword
示例:c2c455d9f99375d
-
process.executable
-
进程可执行文件的绝对路径。
类型: keyword
示例:/usr/bin/ssh
-
process.executable.text
-
类型: match_only_text
-
process.exit_code
-
如果这是一个终止事件,则为进程的退出代码。如果事件没有退出代码(例如,进程启动),则该字段应不存在。
类型: long
示例:137
-
process.hash.md5
-
MD5 哈希。
类型: keyword
-
process.hash.sha1
-
SHA1 哈希。
类型: keyword
-
process.hash.sha256
-
SHA256 哈希。
类型: keyword
-
process.hash.sha512
-
SHA512 哈希。
类型: keyword
-
process.hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
process.name
-
进程名称。有时称为程序名称或类似名称。
类型: keyword
示例:ssh
-
process.name.text
-
类型: match_only_text
-
process.parent.args
-
进程参数数组,以可执行文件的绝对路径开头。可以进行过滤以保护敏感信息。
类型: keyword
示例:["/usr/bin/ssh", "-l", "user", "10.0.0.16"]
-
process.parent.args_count
-
process.args数组的长度。此字段可用于查询或对启动进程时提供了多少个参数执行桶分析。更多参数可能是可疑活动的迹象。
类型: long
示例:4
-
process.parent.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
process.parent.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
process.parent.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
process.parent.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
process.parent.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
process.parent.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
process.parent.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
process.parent.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
process.parent.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
process.parent.command_line
-
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。
类型:通配符
示例:/usr/bin/ssh -l user 10.0.0.16
-
process.parent.command_line.text
-
类型: match_only_text
-
process.parent.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
process.parent.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
process.parent.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
process.parent.elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
process.parent.elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
process.parent.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
process.parent.elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
process.parent.elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
process.parent.elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
process.parent.elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
process.parent.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
process.parent.elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
process.parent.elf.header.version
-
ELF 头部的版本。
类型: keyword
-
process.parent.elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
process.parent.elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
process.parent.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
process.parent.elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
process.parent.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
process.parent.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
process.parent.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
process.parent.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
process.parent.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
process.parent.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
process.parent.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
process.parent.elf.segments
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
process.parent.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
process.parent.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
process.parent.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
process.parent.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
process.parent.end
-
进程结束的时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.parent.entity_id
-
进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的一些示例包括进程生成的UUID、Sysmon进程GUID或进程的一些唯一标识组件的哈希值。构建全局唯一标识符是一种常见的做法,可以减轻PID重用以及跨多个受监控主机随时间推移识别特定进程。
类型: keyword
示例:c2c455d9f99375d
-
process.parent.executable
-
进程可执行文件的绝对路径。
类型: keyword
示例:/usr/bin/ssh
-
process.parent.executable.text
-
类型: match_only_text
-
process.parent.exit_code
-
如果这是一个终止事件,则为进程的退出代码。如果事件没有退出代码(例如,进程启动),则该字段应不存在。
类型: long
示例:137
-
process.parent.hash.md5
-
MD5 哈希。
类型: keyword
-
process.parent.hash.sha1
-
SHA1 哈希。
类型: keyword
-
process.parent.hash.sha256
-
SHA256 哈希。
类型: keyword
-
process.parent.hash.sha512
-
SHA512 哈希。
类型: keyword
-
process.parent.hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
process.parent.name
-
进程名称。有时称为程序名称或类似名称。
类型: keyword
示例:ssh
-
process.parent.name.text
-
类型: match_only_text
-
process.parent.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
process.parent.pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
process.parent.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
process.parent.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
process.parent.pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
process.parent.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
process.parent.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
process.parent.pgid
-
进程所属进程组的标识符。
类型: long
格式: string
-
process.parent.pid
-
进程 ID。
类型: long
例如:4242
格式: string
-
process.parent.start
-
进程启动时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.parent.thread.id
-
线程 ID。
类型: long
例如:4242
格式: string
-
process.parent.thread.name
-
线程名称。
类型: keyword
例如:thread-0
-
process.parent.title
-
进程标题。进程标题,有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。
类型: keyword
-
process.parent.title.text
-
类型: match_only_text
-
process.parent.uptime
-
进程运行的秒数。
类型: long
示例:1325
-
process.parent.working_directory
-
进程的工作目录。
类型: keyword
示例:/home/alice
-
process.parent.working_directory.text
-
类型: match_only_text
-
process.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
process.pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
process.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
process.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
process.pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
process.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
process.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
process.pgid
-
进程所属进程组的标识符。
类型: long
格式: string
-
process.pid
-
进程 ID。
类型: long
例如:4242
格式: string
-
process.start
-
进程启动时间。
类型: date
示例: 2016-05-23T08:05:34.853Z
-
process.thread.id
-
线程 ID。
类型: long
例如:4242
格式: string
-
process.thread.name
-
线程名称。
类型: keyword
例如:thread-0
-
process.title
-
进程标题。进程标题,有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。
类型: keyword
-
process.title.text
-
类型: match_only_text
-
process.uptime
-
进程运行的秒数。
类型: long
示例:1325
-
process.working_directory
-
进程的工作目录。
类型: keyword
示例:/home/alice
-
process.working_directory.text
-
类型: match_only_text
与 Windows 注册表操作相关的字段。
-
registry.data.bytes
-
使用 Base64 编码写入的原始字节。对于 Windows 注册表操作(例如 SetValueEx 和 RegQueryValueEx),这对应于
lp_data
指向的数据。这是可选的,但提供了更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
例如:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
registry.data.strings
-
写入字符串类型时的内容。在将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列,此数组将是可变长度的。对于数字数据(例如 REG_DWORD 和 REG_QWORD),这应该使用十进制表示形式填充(例如
"1"
)。类型:通配符
例如:["C:\rta\red_ttp\bin\myapp.exe"]
-
registry.data.type
-
用于编码内容的标准注册表类型
类型: keyword
例如:REG_SZ
-
registry.hive
-
蜂巢的缩写名称。
类型: keyword
例如:HKLM
-
registry.key
-
键的相对路径(相对于蜂巢)。
类型: keyword
例如:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
registry.path
-
完整路径,包括蜂巢、键和值
类型: keyword
例如:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
registry.value
-
写入的值的名称。
类型: keyword
例如:Debugger
此字段集旨在促进围绕数据片段进行枢纽操作。某些信息可以在 ECS 事件的许多地方看到。为了便于搜索它们,请将所有可见值存储到 related.
中其对应字段的数组中。一个具体的例子是 IP 地址,它可以位于主机、观察者、源、目标、客户端、服务器和 network.forwarded_ip 下。如果您将所有 IP 附加到 related.ip
,那么您可以通过查询 related.ip:192.0.2.15
来轻松搜索给定的 IP,无论它出现在哪里。
-
related.hash
-
在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值,这可以在您不确定哈希算法(因此不确定要搜索哪个键名)的情况下提供帮助。
类型: keyword
-
related.hosts
-
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。
类型: keyword
-
related.ip
-
在您的事件中看到的所有 IP。
类型: ip
-
related.user
-
在事件中看到的所有用户名或其他用户标识符。
类型: keyword
规则字段用于捕获生成警报或其他值得注意事件的任何观察者或代理规则的详细信息。例如,将填充规则字段的数据源包括:网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。
-
rule.author
-
创建用于生成此事件的规则的作者或作者的姓名、组织或假名。
类型: keyword
例如:["Star-Lord"]
-
rule.category
-
使用规则的实体用于检测此事件的分类值关键字。
类型: keyword
例如:尝试信息泄露
-
rule.description
-
生成事件的规则的描述。
类型: keyword
例如:阻止对公共 DNS 通过 HTTPS/TLS 协议的请求
-
rule.id
-
在使用规则检测此事件的代理、观察者或其他实体的范围内唯一的规则 ID。
类型: keyword
例如:101
-
rule.license
-
用于生成此事件的规则可用的许可证的名称。
类型: keyword
例如:Apache 2.0
-
rule.name
-
生成事件的规则或签名的名称。
类型: keyword
例如:BLOCK_DNS_over_TLS
-
rule.reference
-
指向有关用于生成此事件的规则的其他信息的参考 URL。该 URL 可以指向供应商关于该规则的文档。如果不可用,它也可以是描述此类警报的更通用页面的链接。
类型: keyword
-
rule.ruleset
-
规则集、策略、组或父类别(其中用于生成此事件的规则是成员)的名称。
类型: keyword
例如:Standard_Protocol_Filters
-
rule.uuid
-
在使用规则检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID。
类型: keyword
例如:1100110011
-
rule.version
-
用于分析的规则的版本/修订版。
类型: keyword
示例:1.1
服务器被定义为网络连接中关于会话、连接或双向流记录的事件的响应方。对于 TCP 事件,服务器是 TCP 连接的初始 SYN 数据包的接收方。对于其他协议,服务器通常是网络事务中的响应方。某些系统实际上使用术语“响应方”来指代 TCP 连接中的服务器。服务器字段描述了在网络事件中充当服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。对于数据包级事件,通常不填充服务器字段。客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于此类别,您仍应确保源和目标已正确填充。
-
server.address
-
某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后应将其复制到.ip
或.domain
,具体取决于它是哪一个。类型: keyword
-
server.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
server.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
server.as.organization.name.text
-
类型: match_only_text
-
server.bytes
-
从服务器发送到客户端的字节数。
类型: long
示例: 184
格式: bytes
-
server.domain
-
服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。
类型: keyword
示例: foo.example.com
-
server.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
server.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
server.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
server.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
server.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
server.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
server.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
server.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
server.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
server.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
server.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
server.ip
-
服务器的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
server.mac
-
服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
server.nat.ip
-
基于 NAT 会话的目标 IP 的转换 IP(例如,Internet 到专用 DMZ)通常与负载均衡器、防火墙或路由器一起使用。
类型: ip
-
server.nat.port
-
基于 NAT 会话的目标端口转换(例如,互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
server.packets
-
从服务器发送到客户端的数据包数。
类型: long
示例: 12
-
server.port
-
服务器的端口。
类型: long
格式: string
-
server.registered_domain
-
剥离子域后,服务器的最高注册域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表(http://publicsuffix.org)这样的列表来精确确定此值。仅通过获取最后两个标签来近似此值对于像“co.uk”这样的顶级域名来说效果不佳。
类型: keyword
示例: example.com
-
server.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
server.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
server.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
server.user.email
-
用户电子邮件地址。
类型: keyword
-
server.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
server.user.full_name.text
-
类型: match_only_text
-
server.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
server.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
server.user.group.name
-
组的名称。
类型: keyword
-
server.user.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
server.user.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
server.user.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
server.user.name.text
-
类型: match_only_text
-
server.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
服务字段描述了收集数据的服务或来源。这些字段可帮助您查找和关联特定服务和版本的日志。
-
service.address
-
从其中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
例如:172.26.0.2:5432
-
service.environment
-
标识服务正在运行的环境。如果同一服务在不同的环境(生产、登台、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。
类型: keyword
示例:production
-
service.ephemeral_id
-
此服务的短暂标识符(如果存在)。此 ID 通常在重新启动时会发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.id
-
运行服务的唯一标识符。如果服务由多个节点组成,则
service.id
对于所有节点都应相同。此 ID 应唯一标识服务。这使得能够关联一个特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看服务一个特定主机的事件,则应根据host.name
或host.id
进行过滤。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.name
-
收集服务数据的服务名称。服务名称通常由用户提供。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果未指定名称,则service.name
默认为service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间唯一。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下,可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称无法提供唯一性(例如,在同一主机上运行服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.origin.address
-
从其中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
例如:172.26.0.2:5432
-
service.origin.environment
-
标识服务正在运行的环境。如果同一服务在不同的环境(生产、登台、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。
类型: keyword
示例:production
-
service.origin.ephemeral_id
-
此服务的短暂标识符(如果存在)。此 ID 通常在重新启动时会发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.origin.id
-
运行服务的唯一标识符。如果服务由多个节点组成,则
service.id
对于所有节点都应相同。此 ID 应唯一标识服务。这使得能够关联一个特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看服务一个特定主机的事件,则应根据host.name
或host.id
进行过滤。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.origin.name
-
收集服务数据的服务名称。服务名称通常由用户提供。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果未指定名称,则service.name
默认为service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.origin.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间唯一。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下,可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称无法提供唯一性(例如,在同一主机上运行服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.origin.state
-
服务的当前状态。
类型: keyword
-
service.origin.type
-
收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.origin.version
-
从其收集数据的服务的版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
-
service.state
-
服务的当前状态。
类型: keyword
-
service.target.address
-
从其中收集有关此服务的数据的地址。这应该是一个 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。
类型: keyword
例如:172.26.0.2:5432
-
service.target.environment
-
标识服务正在运行的环境。如果同一服务在不同的环境(生产、登台、QA、开发等)中运行,则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。
类型: keyword
示例:production
-
service.target.ephemeral_id
-
此服务的短暂标识符(如果存在)。此 ID 通常在重新启动时会发生变化,但
service.id
不会。类型: keyword
示例: 8a4f500f
-
service.target.id
-
运行服务的唯一标识符。如果服务由多个节点组成,则
service.id
对于所有节点都应相同。此 ID 应唯一标识服务。这使得能够关联一个特定服务的日志和指标,无论哪个特定节点发出事件。请注意,如果您需要查看服务一个特定主机的事件,则应根据host.name
或host.id
进行过滤。类型: keyword
示例:d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6
-
service.target.name
-
收集服务数据的服务名称。服务名称通常由用户提供。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下,
service.name
可以包含集群名称。对于 Beats,如果未指定名称,则service.name
默认为service.type
字段的副本。类型: keyword
示例:elasticsearch-metrics
-
service.target.node.name
-
服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此,
service.node.name
通常应在给定服务的节点之间唯一。在 Elasticsearch 的情况下,service.node.name
可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下,可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称无法提供唯一性(例如,在同一主机上运行服务的多个实例),则可以手动设置节点名称。类型: keyword
示例:instance-0000000016
-
service.target.state
-
服务的当前状态。
类型: keyword
-
service.target.type
-
收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.target.version
-
从其收集数据的服务的版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
-
service.type
-
收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如:如果从 Elasticsearch 收集日志或指标,则
service.type
将为elasticsearch
。类型: keyword
示例:elasticsearch
-
service.version
-
从其收集数据的服务的版本。这允许仅查看特定服务版本的数据集。
类型: keyword
示例:3.2.4
源字段捕获有关网络交换/数据包发送者的详细信息。这些字段从网络事件、数据包或包含网络事务详细信息的其他事件中填充。源字段通常与目标字段一起填充。源字段和目标字段被视为基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。
-
source.address
-
某些事件源地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在
.address
字段中。然后,应根据其类型将其复制到.ip
或.domain
。类型: keyword
-
source.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
source.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
source.as.organization.name.text
-
类型: match_only_text
-
source.bytes
-
从源发送到目标的字节数。
类型: long
示例: 184
格式: bytes
-
source.domain
-
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富中添加。
类型: keyword
示例: foo.example.com
-
source.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
source.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
source.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
source.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
source.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
source.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
source.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
source.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
source.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
source.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
source.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
source.ip
-
源的 IP 地址(IPv4 或 IPv6)。
类型: ip
-
source.mac
-
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。
类型: keyword
示例: 00-00-5E-00-53-23
-
source.nat.ip
-
基于 NAT 会话的源的转换后的 IP(例如,内部客户端到互联网)。通常连接穿过负载均衡器、防火墙或路由器。
类型: ip
-
source.nat.port
-
基于 NAT 会话的源的转换后的端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。
类型: long
格式: string
-
source.packets
-
从源发送到目标的数据包。
类型: long
示例: 12
-
source.port
-
源的端口。
类型: long
格式: string
-
source.registered_domain
-
剥离子域后,最高的注册源域。例如,“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确地确定此值。简单地获取最后两个标签来近似此值对于“co.uk”等顶级域名将无法正常工作。
类型: keyword
示例: example.com
-
source.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
source.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
source.user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
source.user.email
-
用户电子邮件地址。
类型: keyword
-
source.user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
source.user.full_name.text
-
类型: match_only_text
-
source.user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
source.user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
source.user.group.name
-
组的名称。
类型: keyword
-
source.user.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
source.user.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
source.user.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
source.user.name.text
-
类型: match_only_text
-
source.user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
根据威胁分类法(例如 MITRE ATT&CK® 框架)对事件和警报进行分类的字段。这些字段供用户在通用分类法中对其所有来源(例如 IDS、NGFW 等)的警报进行分类。threat.tactic.* 字段旨在捕获威胁的高级类别(例如,“影响”)。threat.technique.* 字段旨在捕获此检测到的威胁为实现目标(例如,“端点拒绝服务”)而使用的哪种方法。
-
threat.enrichments
-
与事件相关的指标对象的列表,以及该关联/丰富的上下文。
类型:嵌套
-
threat.enrichments.indicator
-
包含与事件相关的指标的对象。
类型: object
-
threat.enrichments.indicator.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
threat.enrichments.indicator.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
threat.enrichments.indicator.as.organization.name.text
-
类型: match_only_text
-
threat.enrichments.indicator.confidence
-
使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例标识供应商中立的置信度等级。供应商特定的置信度等级可以作为自定义字段添加。预期值是:* 未指定 * 无 * 低 * 中 * 高
类型: keyword
示例:中
-
threat.enrichments.indicator.description
-
描述威胁执行的操作类型。
类型: keyword
示例:观察到 IP x.x.x.x 传送 Angler EK。
-
threat.enrichments.indicator.email.address
-
将威胁指标标识为电子邮件地址(无论方向)。
类型: keyword
-
threat.enrichments.indicator.file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都跟踪访问时间。
类型: date
-
threat.enrichments.indicator.file.attributes
-
文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
threat.enrichments.indicator.file.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
threat.enrichments.indicator.file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
threat.enrichments.indicator.file.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
threat.enrichments.indicator.file.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
threat.enrichments.indicator.file.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
threat.enrichments.indicator.file.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
threat.enrichments.indicator.file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
threat.enrichments.indicator.file.created
-
文件创建时间。请注意,并非所有文件系统都存储创建时间。
类型: date
-
threat.enrichments.indicator.file.ctime
-
上次修改文件属性或元数据的时间。请注意,文件内容的更改将更新
mtime
。这意味着ctime
将在同一时间调整,因为mtime
是文件的属性。类型: date
-
threat.enrichments.indicator.file.device
-
文件来源的设备。
类型: keyword
示例:sda
-
threat.enrichments.indicator.file.directory
-
文件所在目录。在适当的情况下,应包含驱动器号。
类型: keyword
示例:/home/alice
-
threat.enrichments.indicator.file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。值应为大写,且不包含冒号。
类型: keyword
示例:C
-
threat.enrichments.indicator.file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
threat.enrichments.indicator.file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
threat.enrichments.indicator.file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
threat.enrichments.indicator.file.elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
threat.enrichments.indicator.file.elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
threat.enrichments.indicator.file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.header.version
-
ELF 头部的版本。
类型: keyword
-
threat.enrichments.indicator.file.elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
threat.enrichments.indicator.file.elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
threat.enrichments.indicator.file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
threat.enrichments.indicator.file.elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
threat.enrichments.indicator.file.elf.sections.flags
-
ELF 部分列表标志。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.name
-
ELF 部分列表名称。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.physical_offset
-
ELF 部分列表偏移量。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.physical_size
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
threat.enrichments.indicator.file.elf.sections.type
-
ELF 部分列表类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.sections.virtual_address
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.sections.virtual_size
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
threat.enrichments.indicator.file.elf.segments
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
threat.enrichments.indicator.file.elf.segments.sections
-
ELF 对象段部分。
类型: keyword
-
threat.enrichments.indicator.file.elf.segments.type
-
ELF 对象段类型。
类型: keyword
-
threat.enrichments.indicator.file.elf.shared_libraries
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
threat.enrichments.indicator.file.elf.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
threat.enrichments.indicator.file.extension
-
文件扩展名,不包括开头的点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.enrichments.indicator.file.fork_name
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
threat.enrichments.indicator.file.gid
-
文件的所属组 ID (GID)。
类型: keyword
示例:1001
-
threat.enrichments.indicator.file.group
-
文件的所属组名称。
类型: keyword
示例:alice
-
threat.enrichments.indicator.file.hash.md5
-
MD5 哈希。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha1
-
SHA1 哈希。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha256
-
SHA256 哈希。
类型: keyword
-
threat.enrichments.indicator.file.hash.sha512
-
SHA512 哈希。
类型: keyword
-
threat.enrichments.indicator.file.hash.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
threat.enrichments.indicator.file.inode
-
表示文件系统中文件的 inode。
类型: keyword
示例:256383
-
threat.enrichments.indicator.file.mime_type
-
MIME 类型应使用IANA 官方类型(如果可能)识别文件或字节流的格式。当有多种类型适用时,应使用最具体的类型。
类型: keyword
-
threat.enrichments.indicator.file.mode
-
文件的八进制表示模式。
类型: keyword
示例:0640
-
threat.enrichments.indicator.file.mtime
-
文件内容上次修改的时间。
类型: date
-
threat.enrichments.indicator.file.name
-
包含扩展名的文件名,不包含目录。
类型: keyword
示例:example.png
-
threat.enrichments.indicator.file.owner
-
文件所有者的用户名。
类型: keyword
示例:alice
-
threat.enrichments.indicator.file.path
-
文件的完整路径,包括文件名。在适当情况下,它应包含驱动器盘符。
类型: keyword
示例:/home/alice/example.png
-
threat.enrichments.indicator.file.path.text
-
类型: match_only_text
-
threat.enrichments.indicator.file.pe.architecture
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
threat.enrichments.indicator.file.pe.company
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
threat.enrichments.indicator.file.pe.description
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
threat.enrichments.indicator.file.pe.file_version
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
threat.enrichments.indicator.file.pe.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
threat.enrichments.indicator.file.pe.original_file_name
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
threat.enrichments.indicator.file.pe.product
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
threat.enrichments.indicator.file.size
-
文件大小(以字节为单位)。仅当
file.type
为“file”时才相关。类型: long
示例:16384
-
threat.enrichments.indicator.file.target_path
-
符号链接的目标路径。
类型: keyword
-
threat.enrichments.indicator.file.target_path.text
-
类型: match_only_text
-
threat.enrichments.indicator.file.type
-
文件类型(file、dir 或 symlink)。
类型: keyword
示例:file
-
threat.enrichments.indicator.file.uid
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
threat.enrichments.indicator.file.x509.alternative_names
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.enrichments.indicator.file.x509.issuer.common_name
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.file.x509.issuer.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
threat.enrichments.indicator.file.x509.issuer.distinguished_name
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.file.x509.issuer.locality
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
threat.enrichments.indicator.file.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
threat.enrichments.indicator.file.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
threat.enrichments.indicator.file.x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
threat.enrichments.indicator.file.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.enrichments.indicator.file.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.enrichments.indicator.file.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.enrichments.indicator.file.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.enrichments.indicator.file.x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
threat.enrichments.indicator.file.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.enrichments.indicator.file.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.enrichments.indicator.file.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.enrichments.indicator.file.x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
threat.enrichments.indicator.file.x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
threat.enrichments.indicator.file.x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.enrichments.indicator.file.x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
threat.enrichments.indicator.file.x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
threat.enrichments.indicator.file.x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
threat.enrichments.indicator.file.x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
threat.enrichments.indicator.file.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.enrichments.indicator.first_seen
-
情报源首次报告发现此指标的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.geo.city_name
-
城市名称。
类型: keyword
示例: Montreal
-
threat.enrichments.indicator.geo.continent_code
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
threat.enrichments.indicator.geo.continent_name
-
大陆名称。
类型: keyword
示例: 北美洲
-
threat.enrichments.indicator.geo.country_iso_code
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
threat.enrichments.indicator.geo.country_name
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
threat.enrichments.indicator.geo.location
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
threat.enrichments.indicator.geo.name
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
threat.enrichments.indicator.geo.postal_code
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
threat.enrichments.indicator.geo.region_iso_code
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
threat.enrichments.indicator.geo.region_name
-
区域名称。
类型: keyword
示例: 魁北克
-
threat.enrichments.indicator.geo.timezone
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
threat.enrichments.indicator.ip
-
将威胁指标识别为 IP 地址(不考虑方向)。
类型: ip
示例:1.2.3.4
-
threat.enrichments.indicator.last_seen
-
情报源最后一次报告发现此指标的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.marking.tlp
-
交通灯协议共享标记。建议值:* WHITE * GREEN * AMBER * RED
类型: keyword
示例:White
-
threat.enrichments.indicator.modified_at
-
情报源最后一次修改此指标信息的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
threat.enrichments.indicator.port
-
将威胁指标识别为端口号(不考虑方向)。
类型: long
示例:443
-
threat.enrichments.indicator.provider
-
指标提供者的名称。
类型: keyword
示例:lrz_urlhaus
-
threat.enrichments.indicator.reference
-
指向有关此指标的更多信息的参考 URL。
类型: keyword
-
threat.enrichments.indicator.registry.data.bytes
-
使用 Base64 编码写入的原始字节。对于 Windows 注册表操作(例如 SetValueEx 和 RegQueryValueEx),这对应于
lp_data
指向的数据。这是可选的,但提供了更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
例如:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
threat.enrichments.indicator.registry.data.strings
-
写入字符串类型时的内容。在将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列,此数组将是可变长度的。对于数字数据(例如 REG_DWORD 和 REG_QWORD),这应该使用十进制表示形式填充(例如
"1"
)。类型:通配符
例如:["C:\rta\red_ttp\bin\myapp.exe"]
-
threat.enrichments.indicator.registry.data.type
-
用于编码内容的标准注册表类型
类型: keyword
例如:REG_SZ
-
threat.enrichments.indicator.registry.hive
-
蜂巢的缩写名称。
类型: keyword
例如:HKLM
-
threat.enrichments.indicator.registry.key
-
键的相对路径(相对于蜂巢)。
类型: keyword
例如:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
threat.enrichments.indicator.registry.path
-
完整路径,包括蜂巢、键和值
类型: keyword
例如:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
threat.enrichments.indicator.registry.value
-
写入的值的名称。
类型: keyword
例如:Debugger
-
threat.enrichments.indicator.scanner_stats
-
成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。
类型: long
示例:4
-
threat.enrichments.indicator.sightings
-
观察到此指标进行威胁活动的次数。
类型: long
示例:20
-
threat.enrichments.indicator.type
-
以 STIX 2.0 中的 Cyber Observable 表示的指标类型。建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate
类型: keyword
示例:ipv4-addr
-
threat.enrichments.indicator.url.domain
-
url 的域名,例如“www.elastic.co”。在某些情况下,URL 可能会直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入
domain
字段。如果 URL 包含由[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获到domain
字段中。类型: keyword
示例:www.elastic.co
-
threat.enrichments.indicator.url.extension
-
该字段包含原始请求 url 中的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置文件扩展名,因为并非每个 url 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名具有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
threat.enrichments.indicator.url.fragment
-
url 中
#
之后的片段,例如“top”。#
不是片段的一部分。类型: keyword
-
threat.enrichments.indicator.url.full
-
如果完整 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重建的还是存在于事件源中。类型:通配符
-
threat.enrichments.indicator.url.full.text
-
类型: match_only_text
-
threat.enrichments.indicator.url.original
-
在事件源中看到的未修改的原始 url。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论完整与否。
类型:通配符
示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
threat.enrichments.indicator.url.original.text
-
类型: match_only_text
-
threat.enrichments.indicator.url.password
-
请求的密码。
类型: keyword
-
threat.enrichments.indicator.url.path
-
请求的路径,例如“/search”。
类型:通配符
-
threat.enrichments.indicator.url.port
-
请求的端口,例如 443。
类型: long
示例:443
格式: string
-
threat.enrichments.indicator.url.query
-
查询字段描述请求的查询字符串,例如“q=elasticsearch”。
?
不包含在查询字符串中。如果 URL 不包含?
,则没有查询字段。如果存在?
但没有查询,则查询字段存在且为空字符串。exists
查询可用于区分这两种情况。类型: keyword
-
threat.enrichments.indicator.url.registered_domain
-
剥离子域后,最高的注册 url 域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表(http://publicsuffix.org)这样的列表精确地确定此值。简单地获取最后两个标签来近似此值对于像“co.uk”这样的 TLD 来说效果并不好。
类型: keyword
示例: example.com
-
threat.enrichments.indicator.url.scheme
-
请求的方案,例如“https”。注意:
:
不是方案的一部分。类型: keyword
示例:https
-
threat.enrichments.indicator.url.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
threat.enrichments.indicator.url.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
threat.enrichments.indicator.url.username
-
请求的用户名。
类型: keyword
-
threat.enrichments.indicator.x509.alternative_names
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
threat.enrichments.indicator.x509.issuer.common_name
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.x509.issuer.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
threat.enrichments.indicator.x509.issuer.distinguished_name
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
threat.enrichments.indicator.x509.issuer.locality
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
threat.enrichments.indicator.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
threat.enrichments.indicator.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
threat.enrichments.indicator.x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
threat.enrichments.indicator.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
threat.enrichments.indicator.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
threat.enrichments.indicator.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
threat.enrichments.indicator.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
threat.enrichments.indicator.x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
threat.enrichments.indicator.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
threat.enrichments.indicator.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
threat.enrichments.indicator.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
threat.enrichments.indicator.x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
threat.enrichments.indicator.x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
threat.enrichments.indicator.x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
threat.enrichments.indicator.x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
threat.enrichments.indicator.x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
threat.enrichments.indicator.x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
threat.enrichments.indicator.x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
threat.enrichments.indicator.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
threat.enrichments.matched.atomic
-
标识与本地环境端点或网络事件匹配的原子指标值。
类型: keyword
示例:bad-domain.com
-
threat.enrichments.matched.field
-
标识与本地环境端点或网络事件匹配的原子指标的字段。
类型: keyword
示例:file.hash.sha256
-
threat.enrichments.matched.id
-
标识丰富事件的指标文档的_id。
类型: keyword
示例:ff93aee5-86a1-4a61-b0e6-0cdc313d01b5
-
threat.enrichments.matched.index
-
标识丰富事件的指标文档的_index。
类型: keyword
示例:filebeat-8.0.0-2021.05.23-000011
-
threat.enrichments.matched.type
-
标识导致事件使用给定指标进行丰富匹配的类型
类型: keyword
示例:indicator_match_rule
-
threat.framework
-
用于进一步对报告威胁的策略和技术进行分类和分类的威胁框架的名称。框架分类可以由检测系统提供,在摄取时进行评估,或者追溯性地标记到事件。
类型: keyword
示例:MITRE ATT&CK
-
threat.group.alias
-
一组相关入侵活动组的别名,这些活动由安全社区中的通用名称进行跟踪。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组别名。
类型: keyword
示例:[ "Magecart Group 6" ]
-
threat.group.id
-
一组相关入侵活动组的 ID,这些活动由安全社区中的通用名称进行跟踪。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组 ID。
类型: keyword
示例:G0037
-
threat.group.name
-
一组相关入侵活动组的名称,这些活动由安全社区中的通用名称进行跟踪。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组名称。
类型: keyword
示例:FIN6
-
threat.group.reference
-
一组相关入侵活动组的参考 URL,这些活动由安全社区中的通用名称进行跟踪。虽然不是必需的,但您可以使用 MITRE ATT&CK® 组参考 URL。
类型: keyword
-
threat.indicator.as.number
-
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。
类型: long
示例: 15169
-
threat.indicator.as.organization.name
-
组织名称。
类型: keyword
示例: Google LLC
-
threat.indicator.as.organization.name.text
-
类型: match_only_text
-
threat.indicator.confidence
-
使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例标识供应商中立的置信度等级。供应商特定的置信度等级可以作为自定义字段添加。预期值是:* 未指定 * 无 * 低 * 中 * 高
类型: keyword
示例:中
-
threat.indicator.description
-
描述威胁执行的操作类型。
类型: keyword
示例:观察到 IP x.x.x.x 传送 Angler EK。
-
threat.indicator.email.address
-
将威胁指标标识为电子邮件地址(无论方向)。
类型: keyword
-
threat.indicator.file.accessed
-
上次访问文件的时间。请注意,并非所有文件系统都跟踪访问时间。
类型: date
-
threat.indicator.file.attributes
-
文件属性的数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。
类型: keyword
示例:["readonly", "system"]
-
threat.indicator.file.code_signature.digest_algorithm
-
用于对进程进行签名的哈希算法。当一个文件被同一个签名者使用不同的摘要算法多次签名时,此值可以区分签名。
类型: keyword
示例:sha256
-
threat.indicator.file.code_signature.exists
-
布尔值,用于捕获是否存在签名。
类型:布尔值
示例:true
-
threat.indicator.file.code_signature.signing_id
-
用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。
类型: keyword
示例:com.apple.xpc.proxy
-
threat.indicator.file.code_signature.status
-
有关证书状态的其他信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任,请保持未填充。
类型: keyword
示例:ERROR_UNTRUSTED_ROOT
-
threat.indicator.file.code_signature.subject_name
-
代码签名者的主体名称
类型: keyword
示例:Microsoft Corporation
-
threat.indicator.file.code_signature.team_id
-
用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。
类型: keyword
示例:EQHXZ8M8AV
-
threat.indicator.file.code_signature.timestamp
-
生成和签署代码签名的时间。
类型: date
示例:2021-01-01T12:10:30Z
-
threat.indicator.file.code_signature.trusted
-
存储证书链的信任状态。验证证书链的信任可能很复杂,此字段仅应由主动检查状态的工具填充。
类型:布尔值
示例:true
-
threat.indicator.file.code_signature.valid
-
布尔值,用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书,请保持未填充。
类型:布尔值
示例:true
-
threat.indicator.file.created
-
文件创建时间。请注意,并非所有文件系统都存储创建时间。
类型: date
-
threat.indicator.file.ctime
-
上次修改文件属性或元数据的时间。请注意,文件内容的更改将更新
mtime
。这意味着ctime
将在同一时间调整,因为mtime
是文件的属性。类型: date
-
threat.indicator.file.device
-
文件来源的设备。
类型: keyword
示例:sda
-
threat.indicator.file.directory
-
文件所在目录。在适当的情况下,应包含驱动器号。
类型: keyword
示例:/home/alice
-
threat.indicator.file.drive_letter
-
文件所在的驱动器盘符。此字段仅在 Windows 上相关。值应为大写,且不包含冒号。
类型: keyword
示例:C
-
threat.indicator.file.elf.architecture
-
ELF 文件的机器架构。
类型: keyword
示例:x86-64
-
threat.indicator.file.elf.byte_order
-
ELF 文件的字节顺序。
类型: keyword
示例:小端
-
threat.indicator.file.elf.cpu_type
-
ELF 文件的 CPU 类型。
类型: keyword
示例:Intel
-
threat.indicator.file.elf.creation_date
-
在可能的情况下从文件元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。
类型: date
-
threat.indicator.file.elf.exports
-
导出元素名称和类型的列表。
类型:扁平化
-
threat.indicator.file.elf.header.abi_version
-
ELF 应用程序二进制接口 (ABI) 的版本。
类型: keyword
-
threat.indicator.file.elf.header.class
-
ELF 文件的头部类别。
类型: keyword
-
threat.indicator.file.elf.header.data
-
ELF 头部的數據表。
类型: keyword
-
threat.indicator.file.elf.header.entrypoint
-
ELF 文件的头部入口点。
类型: long
格式: string
-
threat.indicator.file.elf.header.object_version
-
原始 ELF 文件为“0x1”。
类型: keyword
-
threat.indicator.file.elf.header.os_abi
-
Linux 操作系统的应用程序二进制接口 (ABI)。
类型: keyword
-
threat.indicator.file.elf.header.type
-
ELF 文件的头部类型。
类型: keyword
-
threat.indicator.file.elf.header.version
-
ELF 头部的版本。
类型: keyword
-
threat.indicator.file.elf.imports
-
导入元素名称和类型的列表。
类型:扁平化
-
threat.indicator.file.elf.sections
-
一个数组,包含 ELF 文件每个部分的对象。
elf.sections.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
threat.indicator.file.elf.sections.chi2
-
该部分的卡方概率分布。
类型: long
格式:数字
-
threat.indicator.file.elf.sections.entropy
-
从该部分计算出的香农熵。
类型: long
格式:数字
-
威胁指标.文件.ELF.节.标志
-
ELF 部分列表标志。
类型: keyword
-
威胁指标.文件.ELF.节.名称
-
ELF 部分列表名称。
类型: keyword
-
威胁指标.文件.ELF.节.物理偏移量
-
ELF 部分列表偏移量。
类型: keyword
-
威胁指标.文件.ELF.节.物理大小
-
ELF 部分列表物理大小。
类型: long
格式: bytes
-
威胁指标.文件.ELF.节.类型
-
ELF 部分列表类型。
类型: keyword
-
威胁指标.文件.ELF.节.虚拟地址
-
ELF 部分列表虚拟地址。
类型: long
格式: string
-
威胁指标.文件.ELF.节.虚拟大小
-
ELF 部分列表虚拟大小。
类型: long
格式: string
-
威胁指标.文件.ELF.段
-
一个数组,包含 ELF 文件每个段的对象。
elf.segments.*
下面的子字段定义了这些对象中应存在的键。类型:嵌套
-
威胁指标.文件.ELF.段.节
-
ELF 对象段部分。
类型: keyword
-
威胁指标.文件.ELF.段.类型
-
ELF 对象段类型。
类型: keyword
-
威胁指标.文件.ELF.共享库
-
此 ELF 对象使用的共享库列表。
类型: keyword
-
威胁指标.文件.ELF.telfhash
-
ELF 文件的 telfhash 符号哈希。
类型: keyword
-
威胁指标.文件.扩展名
-
文件扩展名,不包括开头的点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
威胁指标.文件.fork名称
-
分支是与文件系统对象关联的附加数据。在 Linux 上,资源分支用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的分支,并且可能存在其他分支。在 NTFS 上,这类似于备用数据流 (ADS),文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式:
C:\path\to\filename.extension:some_fork_name
,some_fork_name
是应填充fork_name
的值。filename.extension
应填充file.name
,extension
应填充file.extension
。完整路径file.path
将包含分支名称。类型: keyword
示例:Zone.Identifer
-
威胁指标.文件.GID
-
文件的所属组 ID (GID)。
类型: keyword
示例:1001
-
威胁指标.文件.组
-
文件的所属组名称。
类型: keyword
示例:alice
-
威胁指标.文件.哈希.MD5
-
MD5 哈希。
类型: keyword
-
威胁指标.文件.哈希.SHA1
-
SHA1 哈希。
类型: keyword
-
威胁指标.文件.哈希.SHA256
-
SHA256 哈希。
类型: keyword
-
威胁指标.文件.哈希.SHA512
-
SHA512 哈希。
类型: keyword
-
威胁指标.文件.哈希.ssdeep
-
SSDEEP 哈希。
类型: keyword
-
威胁指标.文件.inode
-
表示文件系统中文件的 inode。
类型: keyword
示例:256383
-
威胁指标.文件.MIME类型
-
MIME 类型应使用IANA 官方类型(如果可能)识别文件或字节流的格式。当有多种类型适用时,应使用最具体的类型。
类型: keyword
-
威胁指标.文件.模式
-
文件的八进制表示模式。
类型: keyword
示例:0640
-
威胁指标.文件.修改时间
-
文件内容上次修改的时间。
类型: date
-
威胁指标.文件.名称
-
包含扩展名的文件名,不包含目录。
类型: keyword
示例:example.png
-
威胁指标.文件.所有者
-
文件所有者的用户名。
类型: keyword
示例:alice
-
威胁指标.文件.路径
-
文件的完整路径,包括文件名。在适当情况下,它应包含驱动器盘符。
类型: keyword
示例:/home/alice/example.png
-
威胁指标.文件.路径.文本
-
类型: match_only_text
-
威胁指标.文件.PE.体系结构
-
文件的 CPU 架构目标。
类型: keyword
示例:x64
-
威胁指标.文件.PE.公司
-
文件的内部公司名称,在编译时提供。
类型: keyword
示例:Microsoft Corporation
-
威胁指标.文件.PE.描述
-
文件的内部描述,在编译时提供。
类型: keyword
示例:画图
-
威胁指标.文件.PE.文件版本
-
文件的内部版本,在编译时提供。
类型: keyword
示例:6.3.9600.17415
-
威胁指标.文件.PE.imphash
-
PE 文件中导入项的哈希值。即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)后,也可以使用 imphash(或导入哈希)来识别二进制文件。可在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。
类型: keyword
示例:0c6803c4e922103c4dca5963aad36ddf
-
威胁指标.文件.PE.原始文件名
-
文件的内部名称,在编译时提供。
类型: keyword
示例:MSPAINT.EXE
-
威胁指标.文件.PE.产品
-
文件的内部产品名称,在编译时提供。
类型: keyword
示例:Microsoft® Windows® 操作系统
-
威胁指标.文件.大小
-
文件大小(以字节为单位)。仅当
file.type
为“file”时才相关。类型: long
示例:16384
-
威胁指标.文件.目标路径
-
符号链接的目标路径。
类型: keyword
-
威胁指标.文件.目标路径.文本
-
类型: match_only_text
-
威胁指标.文件.类型
-
文件类型(file、dir 或 symlink)。
类型: keyword
示例:file
-
威胁指标.文件.UID
-
文件所有者的用户 ID (UID) 或安全标识符 (SID)。
类型: keyword
示例:1001
-
威胁指标.文件.X509.备用名称
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
威胁指标.文件.X509.发行者.通用名称
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
威胁指标.文件.X509.发行者.国家
-
国家/地区代码©列表
类型: keyword
示例:US
-
威胁指标.文件.X509.发行者.可分辨名称
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
威胁指标.文件.X509.发行者.区域
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
威胁指标.文件.X509.发行者.组织
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
威胁指标.文件.X509.发行者.组织单位
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
威胁指标.文件.X509.发行者.州或省
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
威胁指标.文件.X509.有效期截止
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
威胁指标.文件.X509.有效期开始
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
威胁指标.文件.X509.公钥算法
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
威胁指标.文件.X509.公钥曲线
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
威胁指标.文件.X509.公钥指数
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
威胁指标.文件.X509.公钥大小
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
威胁指标.文件.X509.序列号
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
威胁指标.文件.X509.签名算法
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
威胁指标.文件.X509.主体.通用名称
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
威胁指标.文件.X509.主体.国家
-
国家/地区代码©列表
类型: keyword
示例:US
-
威胁指标.文件.X509.主体.可分辨名称
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
威胁指标.文件.X509.主体.区域
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
威胁指标.文件.X509.主体.组织
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
威胁指标.文件.X509.主体.组织单位
-
主题的组织单位 (OU) 列表。
类型: keyword
-
威胁指标.文件.X509.主体.州或省
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
威胁指标.文件.X509.版本号
-
x509 格式的版本。
类型: keyword
示例:3
-
威胁指标.首次出现时间
-
情报源首次报告发现此指标的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
威胁指标.地理位置.城市名称
-
城市名称。
类型: keyword
示例: Montreal
-
威胁指标.地理位置.洲代码
-
表示大陆名称的两位代码。
类型: keyword
示例: NA
-
威胁指标.地理位置.洲名称
-
大陆名称。
类型: keyword
示例: 北美洲
-
威胁指标.地理位置.国家ISO代码
-
国家/地区 ISO 代码。
类型: keyword
示例: CA
-
威胁指标.地理位置.国家名称
-
国家/地区名称。
类型: keyword
示例: 加拿大
-
威胁指标.地理位置.位置
-
经度和纬度。
类型: geo_point
示例: { "lon": -73.614830, "lat": 45.505918 }
-
威胁指标.地理位置.名称
-
用户定义的位置描述,在他们关心的粒度级别。可以是其数据中心的名称、楼层编号(如果描述本地物理实体)、城市名称。通常不用于自动地理定位。
类型: keyword
示例: boston-dc
-
威胁指标.地理位置.邮政编码
-
与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或邮政编码,并且在不同国家/地区会有很大差异。
类型: keyword
示例: 94040
-
威胁指标.地理位置.地区ISO代码
-
区域 ISO 代码。
类型: keyword
示例: CA-QC
-
威胁指标.地理位置.地区名称
-
区域名称。
类型: keyword
示例: 魁北克
-
威胁指标.地理位置.时区
-
位置的时区,例如 IANA 时区名称。
类型: keyword
示例: America/Argentina/Buenos_Aires
-
威胁指标.IP地址
-
将威胁指标识别为 IP 地址(不考虑方向)。
类型: ip
示例:1.2.3.4
-
威胁指标.最后出现时间
-
情报源最后一次报告发现此指标的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
威胁指标.标记.TLP
-
交通灯协议共享标记。建议值:* WHITE * GREEN * AMBER * RED
类型: keyword
示例:白色
-
威胁指标.修改时间
-
情报源最后一次修改此指标信息的日期和时间。
类型: date
示例:2020-11-05T17:25:47.000Z
-
威胁指标.端口
-
将威胁指标识别为端口号(不考虑方向)。
类型: long
示例:443
-
威胁指标.提供者
-
指标提供者的名称。
类型: keyword
示例:lrz_urlhaus
-
威胁指标.参考
-
指向有关此指标的更多信息的参考 URL。
类型: keyword
-
威胁指标.注册表.数据.字节
-
使用 Base64 编码写入的原始字节。对于 Windows 注册表操作(例如 SetValueEx 和 RegQueryValueEx),这对应于
lp_data
指向的数据。这是可选的,但提供了更好的可恢复性,并且应该为 REG_BINARY 编码的值填充。类型: keyword
例如:ZQBuAC0AVQBTAAAAZQBuAAAAAAA=
-
威胁指标.注册表.数据.字符串
-
写入字符串类型时的内容。在将字符串数据写入注册表时,填充为数组。对于单个字符串注册表类型(REG_SZ、REG_EXPAND_SZ),这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列,此数组将是可变长度的。对于数字数据(例如 REG_DWORD 和 REG_QWORD),这应该使用十进制表示形式填充(例如
"1"
)。类型:通配符
例如:["C:\rta\red_ttp\bin\myapp.exe"]
-
威胁指标.注册表.数据.类型
-
用于编码内容的标准注册表类型
类型: keyword
例如:REG_SZ
-
威胁指标.注册表.配置单元
-
蜂巢的缩写名称。
类型: keyword
例如:HKLM
-
威胁指标.注册表.键
-
键的相对路径(相对于蜂巢)。
类型: keyword
例如:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe
-
威胁指标.注册表.路径
-
完整路径,包括蜂巢、键和值
类型: keyword
例如:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger
-
威胁指标.注册表.值
-
写入的值的名称。
类型: keyword
例如:Debugger
-
威胁指标.扫描程序统计信息
-
成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。
类型: long
示例:4
-
威胁指标.观测
-
观察到此指标进行威胁活动的次数。
类型: long
示例:20
-
威胁指标.类型
-
以 STIX 2.0 中的 Cyber Observable 表示的指标类型。建议值:* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate
类型: keyword
示例:ipv4-addr
-
威胁指标.URL.域名
-
url 的域名,例如“www.elastic.co”。在某些情况下,URL 可能会直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入
domain
字段。如果 URL 包含由[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获到domain
字段中。类型: keyword
示例:www.elastic.co
-
威胁指标.URL.扩展名
-
该字段包含原始请求 url 中的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置文件扩展名,因为并非每个 url 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名具有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
威胁指标.URL.片段
-
url 中
#
之后的片段,例如“top”。#
不是片段的一部分。类型: keyword
-
威胁指标.URL.完整URL
-
如果完整 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重建的还是存在于事件源中。类型:通配符
-
威胁指标.URL.完整URL.文本
-
类型: match_only_text
-
威胁指标.URL.原始URL
-
在事件源中看到的未修改的原始 url。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论完整与否。
类型:通配符
示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
威胁指标.URL.原始URL.文本
-
类型: match_only_text
-
威胁指标.URL.密码
-
请求的密码。
类型: keyword
-
威胁指标.URL.路径
-
请求的路径,例如“/search”。
类型:通配符
-
威胁指标.URL.端口
-
请求的端口,例如 443。
类型: long
示例:443
格式: string
-
威胁指标.URL.查询
-
查询字段描述请求的查询字符串,例如“q=elasticsearch”。
?
不包含在查询字符串中。如果 URL 不包含?
,则没有查询字段。如果存在?
但没有查询,则查询字段存在且为空字符串。exists
查询可用于区分这两种情况。类型: keyword
-
威胁指标.URL.注册域名
-
剥离子域后,最高的注册 url 域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表(http://publicsuffix.org)这样的列表精确地确定此值。简单地获取最后两个标签来近似此值对于像“co.uk”这样的 TLD 来说效果并不好。
类型: keyword
示例: example.com
-
威胁指标.URL.方案
-
请求的方案,例如“https”。注意:
:
不是方案的一部分。类型: keyword
示例:https
-
威胁指标.URL.子域名
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
威胁指标.URL.顶级域名
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
威胁指标.URL.用户名
-
请求的用户名。
类型: keyword
-
威胁指标.X509.备用名称
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
威胁指标.X509.发行者.通用名称
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
威胁指标.X509.发行者.国家
-
国家/地区代码©列表
类型: keyword
示例:US
-
威胁指标.X509.发行者.可分辨名称
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
威胁指标.X509.发行者.区域
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
威胁指标.X509.发行者.组织
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
威胁指标.X509.发行者.组织单位
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
威胁指标.X509.发行者.州或省
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
威胁指标.X509.有效期截止
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
威胁指标.X509.有效期开始
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
威胁指标.X509.公钥算法
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
威胁指标.X509.公钥曲线
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
威胁指标.X509.公钥指数
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
威胁指标.X509.公钥大小
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
威胁指标.X509.序列号
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
威胁指标.X509.签名算法
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
威胁指标.X509.主体.通用名称
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
威胁指标.X509.主体.国家
-
国家/地区代码©列表
类型: keyword
示例:US
-
威胁指标.X509.主体.可分辨名称
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
威胁指标.X509.主体.区域
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
威胁指标.X509.主体.组织
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
威胁指标.X509.主体.组织单位
-
主题的组织单位 (OU) 列表。
类型: keyword
-
威胁指标.X509.主体.州或省
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
威胁指标.X509.版本号
-
x509 格式的版本。
类型: keyword
示例:3
-
威胁.软件.别名
-
安全社区中由通用名称跟踪的一组相关入侵活动的软件别名。虽然不是必需的,但您可以使用与 MITRE ATT&CK® 相关的软件描述。
类型: keyword
示例:[“X-Agent”]
-
威胁.软件.ID
-
此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的 ID。虽然不是必需的,但您可以使用 MITRE ATT&CK® 软件 ID。
类型: keyword
示例:S0552
-
威胁.软件.名称
-
此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的名称。虽然不是必需的,但您可以使用 MITRE ATT&CK® 软件名称。
类型: keyword
示例:AdFind
-
威胁.软件.平台
-
此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的平台。建议值:* AWS * Azure * Azure AD * GCP * Linux * macOS * 网络 * Office 365 * SaaS * Windows
虽然不是必需的,但您可以使用 MITRE ATT&CK® 软件平台。
类型: keyword
示例:[“Windows”]
-
威胁.软件.参考
-
此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的参考 URL。虽然不是必需的,但您可以使用 MITRE ATT&CK® 软件参考 URL。
类型: keyword
-
威胁.软件.类型
-
此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的类型。建议值 * 恶意软件 * 工具
While not required, you can use a MITRE ATT&CK® software type.
类型: keyword
示例:工具
-
威胁.策略.ID
-
此威胁使用的策略的 ID。例如,您可以使用 MITRE ATT&CK® 策略。(例如,https://attack.mitre.org/tactics/TA0002/)
类型: keyword
示例:TA0002
-
威胁.策略.名称
-
此威胁使用的策略类型的名称。例如,您可以使用 MITRE ATT&CK® 策略。(例如,https://attack.mitre.org/tactics/TA0002/)
类型: keyword
示例:执行
-
威胁.策略.参考
-
此威胁使用的策略的参考 URL。例如,您可以使用 MITRE ATT&CK® 策略。(例如,https://attack.mitre.org/tactics/TA0002/)
类型: keyword
-
威胁.技术.ID
-
此威胁使用的技术的 ID。例如,您可以使用 MITRE ATT&CK® 技术。(例如,https://attack.mitre.org/techniques/T1059/)
类型: keyword
示例:T1059
-
威胁.技术.名称
-
此威胁使用的技术的名称。例如,您可以使用 MITRE ATT&CK® 技术。(例如,https://attack.mitre.org/techniques/T1059/)
类型: keyword
示例:命令和脚本解释器
-
威胁.技术.名称.文本
-
类型: match_only_text
-
威胁.技术.参考
-
此威胁使用的技术的参考 URL。例如,您可以使用 MITRE ATT&CK® 技术。(例如,https://attack.mitre.org/techniques/T1059/)
类型: keyword
-
威胁.技术.子技术.ID
-
此威胁使用的子技术的完整 ID。例如,您可以使用 MITRE ATT&CK® 子技术。(例如,https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
示例:T1059.001
-
威胁.技术.子技术.名称
-
此威胁使用的子技术的名称。例如,您可以使用 MITRE ATT&CK® 子技术。(例如,https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
示例:PowerShell
-
威胁.技术.子技术.名称.文本
-
类型: match_only_text
-
威胁.技术.子技术.参考
-
此威胁使用的子技术的参考 URL。例如,您可以使用 MITRE ATT&CK® 子技术。(例如,https://attack.mitre.org/techniques/T1059/001/)
类型: keyword
与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身,并有意避免对相关 X.509 证书文件进行深入分析。
-
TLS.密码
-
指示当前连接期间使用的密码的字符串。
类型: keyword
示例:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS.客户端.证书
-
客户端提供的 PEM 编码的独立证书。这通常与
client.certificate_chain
互斥,因为此值也存在于该列表中。类型: keyword
示例:MII…
-
TLS.客户端.证书链
-
构成客户端提供的证书链的 PEM 编码证书数组。这通常与
client.certificate
互斥,因为该值应该是链中的第一个证书。类型: keyword
示例:["MII…", "MII…"]
-
TLS.客户端.哈希.MD5
-
使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC
-
TLS.客户端.哈希.SHA1
-
使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:9E393D93138888D288266C2D915214D1D1CCEB2A
-
TLS.客户端.哈希.SHA256
-
使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0
-
TLS.客户端.发行者
-
客户端提供的 X.509 证书的发行者主题的可分辨名称。
类型: keyword
示例:CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com
-
TLS.客户端.ja3
-
基于客户端执行 SSL/TLS 握手的方式来识别客户端的哈希值。
类型: keyword
示例:d4e5b18d6b55c71272893221c96ba240
-
TLS.客户端.有效期截止
-
指示客户端证书何时不再被视为有效的日期/时间。
类型: date
示例:2021-01-01T00:00:00.000Z
-
TLS.客户端.有效期开始
-
指示客户端证书何时首次被视为有效的日期/时间。
类型: date
示例:1970-01-01T00:00:00.000Z
-
TLS.客户端.服务器名称
-
也称为 SNI,它告诉服务器客户端尝试连接到的主机名。当此值可用时,应将其复制到
destination.domain
。类型: keyword
示例:www.elastic.co
-
TLS.客户端.主体
-
客户端提供的 X.509 证书主题的可分辨名称。
类型: keyword
示例:CN=myclient, OU=Documentation Team, DC=example, DC=com
-
TLS.客户端.支持的密码
-
客户端在客户端你好期间提供的密码数组。
类型: keyword
示例:["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]
-
TLS.客户端.X509.备用名称
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
TLS.客户端.X509.发行者.通用名称
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
TLS.客户端.X509.发行者.国家
-
国家/地区代码©列表
类型: keyword
示例:US
-
TLS.客户端.X509.发行者.可分辨名称
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
TLS.客户端.X509.发行者.区域
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
TLS.客户端.X509.发行者.组织
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
TLS.客户端.X509.发行者.组织单位
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
tls.client.x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
tls.client.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
tls.client.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
tls.client.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
tls.client.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
tls.client.x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
tls.client.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
tls.client.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
tls.client.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
tls.client.x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
tls.client.x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
tls.client.x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
tls.client.x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
tls.client.x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
tls.client.x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
tls.client.x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
tls.client.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
tls.curve
-
用于给定密码(适用时)的曲线的字符串指示。
类型: keyword
示例:secp256r1
-
tls.established
-
布尔标志,指示 TLS 协商是否成功并过渡到加密隧道。
类型:布尔值
-
tls.next_protocol
-
指示正在隧道传输的协议的字符串。根据 IANA 注册表中的值(https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids),此字符串应为小写。
类型: keyword
示例:http/1.1
-
tls.resumed
-
布尔标志,指示此 TLS 连接是否从现有的 TLS 协商恢复。
类型:布尔值
-
tls.server.certificate
-
服务器提供的 PEM 编码的独立证书。这通常与
server.certificate_chain
互斥,因为此值也存在于该列表中。类型: keyword
示例:MII…
-
tls.server.certificate_chain
-
构成服务器提供的证书链的 PEM 编码证书数组。这通常与
server.certificate
互斥,因为该值应该是链中的第一个证书。类型: keyword
示例:["MII…", "MII…"]
-
tls.server.hash.md5
-
使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC
-
tls.server.hash.sha1
-
使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:9E393D93138888D288266C2D915214D1D1CCEB2A
-
tls.server.hash.sha256
-
使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。
类型: keyword
示例:0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0
-
tls.server.issuer
-
服务器提供的 x.509 证书的发行者的主体。
类型: keyword
示例:CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com
-
tls.server.ja3s
-
一种基于服务器如何执行 SSL/TLS 握手来识别服务器的哈希值。
类型: keyword
示例:394441ab65754e2207b1e1b457b3641d
-
tls.server.not_after
-
指示服务器证书何时不再被视为有效的日期戳。
类型: date
示例:2021-01-01T00:00:00.000Z
-
tls.server.not_before
-
指示服务器证书何时首次被视为有效的日期戳。
类型: date
示例:1970-01-01T00:00:00.000Z
-
tls.server.subject
-
服务器提供的 x.509 证书的主体。
类型: keyword
示例:CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com
-
tls.server.x509.alternative_names
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
tls.server.x509.issuer.common_name
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
tls.server.x509.issuer.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
tls.server.x509.issuer.distinguished_name
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
tls.server.x509.issuer.locality
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
tls.server.x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
tls.server.x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
tls.server.x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
tls.server.x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
tls.server.x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
tls.server.x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
tls.server.x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
tls.server.x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
tls.server.x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
tls.server.x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
tls.server.x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
tls.server.x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
tls.server.x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
tls.server.x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
tls.server.x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
tls.server.x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
tls.server.x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
tls.server.x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
tls.server.x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3
-
tls.version
-
从原始字符串解析的版本的数字部分。
类型: keyword
示例:1.2
-
tls.version_protocol
-
从原始字符串解析的规范化小写协议名称。
类型: keyword
示例:tls
-
span.id
-
跨度在其跟踪范围内的唯一标识符。跨度表示事务中的操作,例如对另一个服务的请求或数据库查询。
类型: keyword
示例:3ff9a8981b7ccd5a
-
trace.id
-
跟踪的唯一标识符。跟踪对属于同一组的多个事件(如事务)进行分组。例如,由多个互连服务处理的用户请求。
类型: keyword
示例:4bf92f3577b34da6a3ce929d0e0e4736
-
transaction.id
-
事务在其跟踪范围内的唯一标识符。事务是在服务内测量的最高级别的工作,例如对服务器的请求。
类型: keyword
示例:00f067aa0ba902b7
URL 字段提供对完整或部分 URL 的支持,并支持将其分解为方案、域名、路径等。
-
url.domain
-
url 的域名,例如“www.elastic.co”。在某些情况下,URL 可能会直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入
domain
字段。如果 URL 包含由[
和]
(IETF RFC 2732)括起来的文字 IPv6 地址,则[
和]
字符也应捕获到domain
字段中。类型: keyword
示例:www.elastic.co
-
url.extension
-
该字段包含原始请求 url 中的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置文件扩展名,因为并非每个 url 都有文件扩展名。不得包含前导句点。例如,值必须是“png”,而不是“.png”。请注意,当文件名具有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。
类型: keyword
示例:png
-
url.fragment
-
url 中
#
之后的片段,例如“top”。#
不是片段的一部分。类型: keyword
-
url.full
-
如果完整 URL 对您的用例很重要,则应将其存储在
url.full
中,无论此字段是重建的还是存在于事件源中。类型:通配符
-
url.full.text
-
类型: match_only_text
-
url.original
-
在事件源中看到的未修改的原始 url。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论完整与否。
类型:通配符
示例:https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch
-
url.original.text
-
类型: match_only_text
-
url.password
-
请求的密码。
类型: keyword
-
url.path
-
请求的路径,例如“/search”。
类型:通配符
-
url.port
-
请求的端口,例如 443。
类型: long
示例:443
格式: string
-
url.query
-
查询字段描述请求的查询字符串,例如“q=elasticsearch”。
?
不包含在查询字符串中。如果 URL 不包含?
,则没有查询字段。如果存在?
但没有查询,则查询字段存在且为空字符串。exists
查询可用于区分这两种情况。类型: keyword
-
url.registered_domain
-
剥离子域后,最高的注册 url 域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表(http://publicsuffix.org)这样的列表精确地确定此值。简单地获取最后两个标签来近似此值对于像“co.uk”这样的 TLD 来说效果并不好。
类型: keyword
示例: example.com
-
url.scheme
-
请求的方案,例如“https”。注意:
:
不是方案的一部分。类型: keyword
示例:https
-
url.subdomain
-
完全限定域名中的子域名部分包含除注册域名下主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。
类型: keyword
示例: east
-
url.top_level_domain
-
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)等列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。
类型: keyword
示例: co.uk
-
url.username
-
请求的用户名。
类型: keyword
用户字段描述与事件相关用户的相关信息。字段可以有一个条目或多个条目。如果用户有多个 ID,请提供包含所有 ID 的数组。
-
user.changes.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.changes.email
-
用户电子邮件地址。
类型: keyword
-
user.changes.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.changes.full_name.text
-
类型: match_only_text
-
user.changes.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.changes.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.changes.group.name
-
组的名称。
类型: keyword
-
user.changes.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
user.changes.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.changes.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
user.changes.name.text
-
类型: match_only_text
-
user.changes.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
-
user.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.email
-
用户电子邮件地址。
类型: keyword
-
user.effective.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.effective.full_name.text
-
类型: match_only_text
-
user.effective.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.effective.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.effective.group.name
-
组的名称。
类型: keyword
-
user.effective.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
user.effective.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.effective.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
user.effective.name.text
-
类型: match_only_text
-
user.effective.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
-
user.email
-
用户电子邮件地址。
类型: keyword
-
user.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.full_name.text
-
类型: match_only_text
-
user.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.group.name
-
组的名称。
类型: keyword
-
user.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
user.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
user.name.text
-
类型: match_only_text
-
user.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
-
user.target.domain
-
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.target.email
-
用户电子邮件地址。
类型: keyword
-
user.target.full_name
-
用户的全名(如果可用)。
类型: keyword
示例: Albert Einstein
-
user.target.full_name.text
-
类型: match_only_text
-
user.target.group.domain
-
组所属目录的名称。例如,LDAP 或 Active Directory 域名。
类型: keyword
-
user.target.group.id
-
系统/平台上组的唯一标识符。
类型: keyword
-
user.target.group.name
-
组的名称。
类型: keyword
-
user.target.hash
-
唯一的用户哈希,用于以匿名形式关联用户信息。如果
user.id
或user.name
包含机密信息且无法使用,则很有用。类型: keyword
-
user.target.id
-
用户的唯一标识符。
类型: keyword
示例: S-1-5-21-202424912787-2692429404-2351956786-1000
-
user.target.name
-
用户的短名称或登录名。
类型: keyword
示例: a.einstein
-
user.target.name.text
-
类型: match_only_text
-
user.target.roles
-
事件发生时用户角色的数组。
类型: keyword
示例: ["kibana_admin", "reporting_user"]
user_agent 字段通常来自浏览器请求。它们通常显示在来自已解析的用户代理字符串的 Web 服务日志中。
-
user_agent.device.name
-
设备名称。
类型: keyword
示例:iPhone
-
user_agent.name
-
用户代理的名称。
类型: keyword
示例:Safari
-
user_agent.original
-
未解析的用户代理字符串。
类型: keyword
示例:Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1
-
user_agent.original.text
-
类型: match_only_text
-
user_agent.os.family
-
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型: keyword
示例:debian
-
user_agent.os.full
-
操作系统名称,包括版本或代号。
类型: keyword
示例:Mac OS Mojave
-
user_agent.os.full.text
-
类型: match_only_text
-
user_agent.os.kernel
-
操作系统内核版本,以原始字符串形式表示。
类型: keyword
示例:4.4.0-112-generic
-
user_agent.os.name
-
操作系统名称,不包括版本。
类型: keyword
示例:Mac OS X
-
user_agent.os.name.text
-
类型: match_only_text
-
user_agent.os.platform
-
操作系统平台(例如 centos、ubuntu、windows)。
类型: keyword
示例:darwin
-
user_agent.os.type
-
使用
os.type
字段将操作系统分类到以下广泛的商业系列之一。应使用以下值之一(小写):linux、macos、unix、windows。如果您处理的操作系统不在列表中,则不应填充该字段。请通过针对 ECS 创建问题告知我们,以建议添加它。类型: keyword
示例:macos
-
user_agent.os.version
-
操作系统版本,以原始字符串形式表示。
类型: keyword
示例:10.14.1
-
user_agent.version
-
用户代理的版本。
类型: keyword
示例:12.0
VLAN 字段用于识别数据包的 802.1q 标记,以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。Network.vlan 字段用于记录数据包或连接观察到的单个 VLAN 标记,或者在 q-in-q 封装情况下记录外部标记,通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标记(多个 802.1q 封装),通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用以指示 q-in-q 标记。Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息,当观察者事件包含离散的入口和出口 VLAN 信息时,通常由防火墙、路由器或负载均衡器提供。
-
vlan.id
-
观察者报告的 VLAN ID。
类型: keyword
示例:10
-
vlan.name
-
观察者报告的可选 VLAN 名称。
类型: keyword
示例:outside
漏洞字段描述与事件相关的漏洞信息。
-
vulnerability.category
-
漏洞影响的系统或架构类型。这些可能是特定于平台的(例如,Debian 或 SUSE)或通用的(例如,数据库或防火墙)。例如(Qualys 漏洞类别)此字段必须为数组。
类型: keyword
示例:["Firewall"]
-
vulnerability.classification
-
漏洞评分系统的分类。例如(https://www.first.org/cvss/)
类型: keyword
示例:CVSS
-
vulnerability.description
-
漏洞的描述,提供漏洞的更多上下文。例如(常见漏洞和暴露 CVE 描述)
类型: keyword
示例:在 2.12.6 之前的 macOS 中,RPC 中存在漏洞……
-
vulnerability.description.text
-
类型: match_only_text
-
vulnerability.enumeration
-
用于此漏洞的标识符类型。例如(https://cve.mitre.org/about/)
类型: keyword
示例:CVE
-
vulnerability.id
-
标识 (ID) 是漏洞条目的数字部分。它包含漏洞的唯一标识号。例如(常见漏洞和暴露 CVE ID
类型: keyword
示例:CVE-2019-00001
-
vulnerability.reference
-
提供已识别漏洞的更多信息、上下文和缓解措施的资源。
类型: keyword
示例:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111
-
vulnerability.report_id
-
报告或扫描标识号。
类型: keyword
示例:20191018.0001
-
vulnerability.scanner.vendor
-
漏洞扫描器供应商的名称。
类型: keyword
示例:Tenable
-
vulnerability.score.base
-
分数范围为 0.0 到 10.0,其中 10.0 为最严重。基本分数涵盖对可利用性指标(攻击载体、复杂性、权限和用户交互)、影响指标(机密性、完整性和可用性)以及范围的评估。例如(https://www.first.org/cvss/specification-document)
类型:float
示例:5.5
-
vulnerability.score.environmental
-
分数范围为 0.0 到 10.0,其中 10.0 为最严重。环境分数涵盖对任何修改后的基本指标、机密性、完整性和可用性要求的评估。例如(https://www.first.org/cvss/specification-document)
类型:float
示例:5.5
-
vulnerability.score.temporal
-
分数范围为 0.0 到 10.0,其中 10.0 为最严重。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如(https://www.first.org/cvss/specification-document)
类型:float
-
vulnerability.score.version
-
国家漏洞数据库 (NVD) 除了根据 CVSS v3.0 规范中定义的 CVSS v3.0 严重性评级外,还为 CVSS v2.0 基本分数范围提供了“低”、“中”和“高”的定性严重性等级。CVSS 为 FIRST.Org, Inc. (FIRST) 拥有和管理,FIRST 是一家总部位于美国的非营利组织,其使命是帮助世界各地的计算机安全事件响应团队。例如(https://nvd.nist.gov/vuln-metrics/cvss)
类型: keyword
示例:2.0
-
vulnerability.severity
-
漏洞的严重性可以帮助进行指标和内部优先级排序,以进行修复。例如(https://nvd.nist.gov/vuln-metrics/cvss)
类型: keyword
示例:严重
本规范实现了 x509 证书的通用核心字段。这些信息可能记录在 TLS 会话、可执行二进制文件中发现的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析中。当证书与文件相关时,请使用 file.x509
下的字段。当 DER 编码证书的哈希值可用时,应填充 hash
数据集(例如 file.hash.sha256
)。包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509
和/或 tls.client.x509
。
-
x509.alternative_names
-
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。
类型: keyword
示例:*.elastic.co
-
x509.issuer.common_name
-
颁发证书颁发机构的通用名称 (CN) 列表。
类型: keyword
示例:Example SHA2 High Assurance Server CA
-
x509.issuer.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
x509.issuer.distinguished_name
-
颁发证书颁发机构的区分名称 (DN)。
类型: keyword
示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA
-
x509.issuer.locality
-
区域名称 (L) 列表
类型: keyword
示例:Mountain View
-
x509.issuer.organization
-
颁发证书颁发机构的组织 (O) 列表。
类型: keyword
示例:Example Inc
-
x509.issuer.organizational_unit
-
颁发证书颁发机构的组织单位 (OU) 列表。
类型: keyword
示例:www.example.com
-
x509.issuer.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
x509.not_after
-
证书不再被视为有效的时间。
类型: date
示例:2020-07-16 03:15:39+00:00
-
x509.not_before
-
证书首次被视为有效的时间。
类型: date
示例:2019-08-16 01:40:25+00:00
-
x509.public_key_algorithm
-
用于生成公钥的算法。
类型: keyword
示例:RSA
-
x509.public_key_curve
-
椭圆曲线公钥算法使用的曲线。这是特定于算法的。
类型: keyword
示例:nistp521
-
x509.public_key_exponent
-
用于推导出公钥的指数。这是特定于算法的。
类型: long
示例:65537
字段未被索引。
-
x509.public_key_size
-
公钥空间的大小(以位为单位)。
类型: long
示例:2048
-
x509.serial_number
-
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应将其格式化为不包含冒号和大写字符。
类型: keyword
示例:55FBB9C7DEBF09809D12CCAA
-
x509.signature_algorithm
-
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。
类型: keyword
示例:SHA256-RSA
-
x509.subject.common_name
-
主题的通用名称 (CN) 列表。
类型: keyword
示例:shared.global.example.net
-
x509.subject.country
-
国家/地区代码©列表
类型: keyword
示例:US
-
x509.subject.distinguished_name
-
证书主题实体的区分名称 (DN)。
类型: keyword
示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net
-
x509.subject.locality
-
区域名称 (L) 列表
类型: keyword
示例:San Francisco
-
x509.subject.organization
-
主题的组织 (O) 列表。
类型: keyword
示例:Example, Inc.
-
x509.subject.organizational_unit
-
主题的组织单位 (OU) 列表。
类型: keyword
-
x509.subject.state_or_province
-
州或省名称 (ST、S 或 P) 列表
类型: keyword
示例:California
-
x509.version_number
-
x509 格式的版本。
类型: keyword
示例:3