文件字段
编辑文件字段
编辑文件定义为在文件系统上创建或已存在于文件系统的一组信息。
文件对象可以与主机事件、网络事件和/或文件事件相关联(例如,由文件完整性监控 [FIM] 产品或服务生成的事件)。文件字段提供与事件或指标相关的受影响文件的详细信息。
文件字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
最后一次访问文件的时间。 请注意,并非所有文件系统都跟踪访问时间。 类型:日期 |
扩展 |
|
|
文件属性数组。 属性名称因平台而异。以下是此字段中预期值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
文件创建时间。 请注意,并非所有文件系统都存储创建时间。 类型:日期 |
扩展 |
|
|
文件属性或元数据最后更改的时间。 请注意,对文件内容的更改将更新 类型:日期 |
扩展 |
|
|
作为文件来源的设备。 类型:keyword 示例: |
扩展 |
|
|
文件所在目录。在适当情况下,应包含驱动器号。 类型:keyword 示例: |
扩展 |
|
|
文件所在的驱动器号。此字段仅与 Windows 相关。 值应为大写,并且不包含冒号。 类型:keyword 示例: |
扩展 |
|
|
文件扩展名,不包括前面的点。 请注意,当文件名具有多个扩展名(例如 example.tar.gz)时,仅应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 类型:keyword 示例: |
扩展 |
|
|
fork 是与文件系统对象关联的附加数据。 在 Linux 上,资源 fork 用于存储与文件系统对象的附加数据。文件始终至少有一个用于数据部分的 fork,并且可能存在其他 fork。 在 NTFS 上,这类似于备用数据流 (ADS),文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的典型格式为: 类型:keyword 示例: |
扩展 |
|
|
文件的首要组 ID (GID)。 类型:keyword 示例: |
扩展 |
|
|
文件的首要组名。 类型:keyword 示例: |
扩展 |
|
|
在文件系统中表示文件的 inode。 类型:keyword 示例: |
扩展 |
|
|
MIME 类型应使用IANA 官方类型(如果可能)标识文件或字节流的格式。当适用多种类型时,应使用最具体的类型。 类型:keyword |
扩展 |
|
|
文件的八进制表示模式。 类型:keyword 示例: |
扩展 |
|
|
文件内容最后修改的时间。 类型:日期 |
扩展 |
|
|
包括扩展名的文件名,不包含目录。 类型:keyword 示例: |
扩展 |
|
|
文件所有者的用户名。 类型:keyword 示例: |
扩展 |
|
|
文件的完整路径,包括文件名。在适当情况下,应包含驱动器号。 类型:keyword 多字段
示例: |
扩展 |
|
|
文件大小(以字节为单位)。 仅当 类型:long 示例: |
扩展 |
|
|
符号链接的目标路径。 类型:keyword 多字段
|
扩展 |
|
|
文件类型(file、dir 或 symlink)。 类型:keyword 示例: |
扩展 |
|
|
文件所有者的用户 ID (UID) 或安全标识符 (SID)。 类型:keyword 示例: |
扩展 |
字段重用
编辑file 字段预计嵌套在
-
threat.enrichments.indicator.file -
threat.indicator.file
另请注意,file 字段可以直接在事件的根目录下使用。
可以嵌套在 File 下的字段集
编辑| 位置 | 字段集 | 描述 |
|---|---|---|
|
这些字段包含有关二进制代码签名的信息。 |
|
|
[测试版] 此字段重用处于测试阶段,可能会有所更改。 这些字段包含 Linux 可执行链接格式 (ELF) 元数据。 |
|
|
哈希值,通常是文件哈希值。 |
|
|
[测试版] 此字段重用处于测试阶段,可能会有所更改。 这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。 |
|
|
这些字段包含 Windows 可移植执行体 (PE) 元数据。 |
|
|
这些字段包含 x509 证书元数据。 |