哈希字段
编辑哈希字段
编辑哈希字段表示不同的位运算哈希算法及其值。
常用哈希(例如 MD5、SHA1)的字段名称是预定义的。对于其他哈希,请使用哈希算法名称的小写形式,并根据需要使用下划线分隔符(蛇形命名法,例如 sha3_512)来添加字段。
请注意,此字段集用于可能针对一系列通用字节计算的常用哈希。特定实体的哈希,例如 ja3 或 imphash,则放置在其相关的字段集(分别为 tls 和 pe)中。
哈希字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
[测试版] 此字段为测试版,可能会发生更改。 代码目录哈希,用于唯一标识和验证可执行代码的完整性。 类型:keyword 示例: |
扩展 |
|
|
MD5 哈希。 类型:keyword |
扩展 |
|
|
SHA1 哈希。 类型:keyword |
扩展 |
|
|
SHA256 哈希。 类型:keyword |
扩展 |
|
|
SHA384 哈希。 类型:keyword |
扩展 |
|
|
SHA512 哈希。 类型:keyword |
扩展 |
|
|
SSDEEP 哈希。 类型:keyword |
扩展 |
|
|
TLSH 哈希。 类型:keyword |
扩展 |
字段重用
编辑hash 字段预期嵌套在
-
dll.hash -
email.attachments.file.hash -
file.hash -
process.hash
另请注意,hash 字段预期不会直接用于事件的根级别。