风险信息字段
编辑风险信息字段
编辑用于描述实体(例如主机和用户)的风险评分和风险等级的字段。这些字段不允许嵌套在 event.* 下。请继续使用 event.risk_score 和 event.risk_score_norm 来表示事件风险。
这些字段处于测试阶段,可能会发生更改。
风险信息字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类级别。 类型:keyword 示例: |
扩展 |
|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类分数。 类型:float 示例: |
扩展 |
|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类分数,并归一化为 0 到 100 的范围。 类型:float 示例: |
扩展 |
|
|
从系统外部获得的风险分类级别,例如来自某些外部威胁情报平台。 类型:keyword 示例: |
扩展 |
|
|
从系统外部获得的风险分类分数,例如来自某些外部威胁情报平台。 类型:float 示例: |
扩展 |
|
|
从系统外部获得的风险分类分数,例如来自某些外部威胁情报平台,并归一化为 0 到 100 的范围。 类型:float 示例: |
扩展 |
字段重用
编辑预期 risk 字段嵌套在:
-
host.risk -
user.risk
另请注意,risk 字段不应直接在事件的根级别使用。