ECS 分类字段：event.category

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的第二级。

event.category 代表 ECS 类别的“大类”。例如，使用 event.category:process 过滤将返回所有与进程活动相关的事件。此字段与 event.type 紧密相关，后者用作子类别。

此字段是一个数组。这允许对属于多个类别的某些事件进行正确的分类。

允许的值

此类别中的事件注释系统上发生的 API 调用。这些事件的典型来源可能是操作系统级别的原生库（例如 Windows Win32、Linux libc 等），或托管的事件源（例如 ETW、syslog），但也可能包括网络协议（例如 SOAP、RPC、Websocket、REST 等）。

api 类别的预期事件类型

access, admin, allowed, change, creation, deletion, denied, end, info, start, user

此类别中的事件与挑战和响应过程相关，在此过程中，提供并验证凭据以允许创建会话。这些日志的常见来源是 Windows 事件日志和 ssh 日志。可视化和分析此类别中的事件，以查找失败的登录和其他与身份验证相关的活动。

身份验证类别的预期事件类型

start, end, info

配置类别中的事件必须处理创建、修改或删除应用程序、进程或系统的设置或参数。

示例来源包括安全策略更改日志、配置审核日志和系统完整性监控。

配置类别的预期事件类型

access, change, creation, deletion, info

数据库类别表示与数据存储和检索系统相关的事件和指标。请注意，此类别的使用不限于关系数据库系统。示例包括来自 MS SQL、MySQL、Elasticsearch、MongoDB 等的事件日志。使用此类别来可视化和分析数据库活动，例如访问和更改。

数据库类别的预期事件类型

access, change, info, error

驱动程序类别中的事件与操作系统设备驱动程序和类似的软件实体有关，例如 Windows 驱动程序、内核扩展、内核模块等。

使用此类别中的事件和指标来可视化和分析主机上的驱动程序相关活动和状态。

驱动程序类别的预期事件类型

change, end, info, start

此类别用于与电子邮件、电子邮件附件和电子邮件网络或协议活动相关的事件。

电子邮件事件可以由电子邮件安全网关、邮件传输代理、电子邮件云服务提供商或邮件服务器监控应用程序生成。

电子邮件类别的预期事件类型

info

与已在文件系统上创建或已存在于文件系统上的一组信息相关。使用此类别的事件来可视化和分析文件的创建、访问和删除。此类别中的事件可以来自基于主机的来源和基于网络的来源。基于网络的文件传输检测的示例来源是 Zeek file.log。

文件类别的预期事件类型

access, change, creation, deletion, info

使用此类别来可视化和分析诸如主机清单或主机生命周期事件之类的信息。

此类别中的大多数事件通常可以从外部观察到，例如从虚拟机管理程序或控制平面的角度来看。有些也可以从内部看到，例如“启动”或“结束”。

请注意，此类别用于有关主机本身的信息；它并非旨在捕获“发生在主机上”的活动。

主机类别的预期事件类型

access, change, end, info, start

与用户、组和管理相关的身份和访问管理 (IAM) 事件。使用此类别来可视化和分析来自活动目录、LDAP、Okta、Duo 和其他 IAM 系统的 IAM 相关日志和数据。

IAM 类别的预期事件类型

admin, change, creation, deletion, group, info, user

与来自入侵检测系统/入侵防御系统和功能的入侵检测相关，包括基于网络和基于主机的入侵检测。使用此类别来可视化和分析来自 Snort、Suricata 和 Palo Alto 威胁检测等系统的入侵检测警报。

入侵检测类别的预期事件类型

allowed, denied, info

此类别中的事件是指将库（例如 (dll / so / dynlib)）加载到进程中。使用此类别来可视化和分析主机上与库加载相关的活动。请记住，与驱动程序相关的活动将记录在上面的“驱动程序”类别下。

库类别的预期事件类型

start

恶意软件检测事件和警报。使用此类别来可视化和分析来自 EDR/EPP 系统（例如 Elastic Endpoint Security、Symantec Endpoint Protection、Crowdstrike）和网络入侵检测系统/入侵防御系统（例如 Suricata）的恶意软件检测，或其他恶意软件相关事件来源，例如 Palo Alto Networks 威胁日志和 Wildfire 日志。

恶意软件类别的预期事件类型

info

与所有网络活动相关，包括网络连接生命周期、网络流量以及基本上任何包含 IP 地址的事件。许多包含解码网络协议事务的事件都属于此类别。使用此类别中的事件来可视化或分析网络端口、协议、地址、地理位置信息等的计数。

网络类别的预期事件类型

access, allowed, connection, denied, end, info, protocol, start

与安装在主机上的软件包相关。使用此类别来可视化和分析安装在各种主机上的软件清单，或者在没有漏洞扫描数据的情况下确定主机漏洞。

软件包类别的预期事件类型

access, change, deletion, info, installation, start

使用此类别的事件来可视化和分析特定于进程的信息，例如生命周期事件或进程祖先。

进程类别的预期事件类型

access, change, end, info, start

与存储在 Windows 注册表中的设置和资源有关。使用此类别来可视化和分析诸如注册表访问和修改之类的活动。

注册表类别的预期事件类型

access, change, creation, deletion

会话类别应用于关于与主机和服务的逻辑持久连接的事件和指标。使用此类别来可视化和分析资源之间交互式或自动的持久连接。此类别的数据库可能来自 Windows 事件日志、SSH 日志或无状态会话（例如基于 HTTP Cookie 的会话）等。

会话类别的预期事件类型

start, end, info

使用此类别来可视化和分析描述威胁参与者目标、动机或行为的事件。

威胁类别的预期事件类型

indicator

与漏洞扫描结果相关。使用此类别来分析由Tenable、Qualys、内部扫描程序和其他漏洞管理来源检测到的漏洞。

漏洞类别的预期事件类型

info

与 Web 服务器访问相关。使用此类别从 apache、IIS、nginx Web 服务器等创建 Web 服务器/代理活动的仪表板。注意：来自网络观察器（例如 Zeek http 日志）的事件也可能包含在此类别中。

Web 类别的预期事件类型

access, error, info