威胁字段

threat.enrichments

与事件相关的指示器对象的列表，以及该关联/增强的上下文。

类型：嵌套

注意：此字段应包含一个值数组。

扩展

threat.enrichments.indicator

包含与事件相关的指示器的对象。

类型：对象

扩展

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 规模标识供应商中立的置信度评级。供应商特定的置信度规模可以作为自定义字段添加。

此字段的预期值

类型：关键字

示例：Medium

扩展

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 传递 Angler EK。

扩展

threat.enrichments.indicator.email.address

将威胁指示器识别为电子邮件地址（无论方向如何）。

类型：关键字

示例：[email protected]

扩展

threat.enrichments.indicator.first_seen

情报源首次报告发现此指示器的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.ip

将威胁指示器识别为 IP 地址（无论方向如何）。

类型：ip

示例：1.2.3.4

扩展

threat.enrichments.indicator.last_seen

情报源最后一次报告发现此指示器的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.marking.tlp

交通灯协议共享标记。

此字段的预期值

类型：关键字

示例：CLEAR

扩展

threat.enrichments.indicator.marking.tlp_version

交通灯协议版本。

类型：关键字

示例：2.0

扩展

threat.enrichments.indicator.modified_at

情报源最后一次修改此指示器信息的时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.name

以 UI 友好格式显示指示器名称。

URL、IP 地址、电子邮件地址、注册表项、端口号、哈希值或其他相关名称可用作显示名称。

类型：关键字

示例：5.2.75.227

扩展

threat.enrichments.indicator.port

将威胁指示器识别为端口号（无论方向如何）。

类型：长整型

示例：443

扩展

threat.enrichments.indicator.provider

指示器提供程序的名称。

类型：关键字

示例：lrz_urlhaus

扩展

threat.enrichments.indicator.reference

指向有关此指示器的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

扩展

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

示例：4

扩展

threat.enrichments.indicator.sightings

观察到此指示器执行威胁活动次数。

类型：长整型

示例：20

扩展

threat.enrichments.indicator.type

指示器类型，如 STIX 2.0 中的 Cyber Observable 所表示。

此字段的预期值

类型：关键字

示例：ipv4-addr

扩展

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指示器值。

类型：关键字

示例：bad-domain.com

扩展

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指示器的字段。

类型：关键字

示例：file.hash.sha256

扩展

threat.enrichments.matched.id

标识增强事件的指示器文档的 _id。

类型：关键字

示例：ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

扩展

threat.enrichments.matched.index

标识增强事件的指示器文档的 _index。

类型：关键字

示例：filebeat-8.0.0-2021.05.23-000011

扩展

threat.enrichments.matched.occurred

指示何时生成指示器匹配。

类型：日期

示例：2021-10-05T17:00:58.326Z

扩展

threat.enrichments.matched.type

标识导致事件使用给定指示器增强的匹配类型。

类型：关键字

示例：indicator_match_rule

扩展

threat.feed.dashboard_id

属于威胁源的仪表板的已保存对象 ID，用于在 Kibana 中显示指向威胁源的仪表板链接。

类型：关键字

示例：5ba16340-72e6-11eb-a3e3-b3cc7c78a70f

扩展

threat.feed.description

以 UI 友好格式描述威胁源。

类型：关键字

示例：来自 AlienVault Open Threat eXchange 网络的威胁源。

扩展

threat.feed.name

以 UI 友好格式显示威胁源的名称。

类型：关键字

示例：AlienVault OTX

扩展

threat.feed.reference

以 UI 友好格式显示威胁源的参考信息。

类型：关键字

示例：https://otx.alienvault.com

扩展

threat.framework

用于进一步分类和分类报告威胁的策略和技术的威胁框架的名称。框架分类可以由检测系统提供，在摄取时进行评估，或者追溯性地标记到事件。

类型：关键字

示例：MITRE ATT&CK

扩展

threat.group.alias

一组相关入侵活动的组的别名，这些活动在安全社区中以通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组别名。

类型：关键字

注意：此字段应包含一个值数组。

示例：[ "Magecart Group 6" ]

扩展

threat.group.id

一组相关入侵活动的组的 ID，这些活动在安全社区中以通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组 ID。

类型：关键字

示例：G0037

扩展

threat.group.name

一组相关入侵活动的组的名称，这些活动在安全社区中以通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组名称。

类型：关键字

示例：FIN6

扩展

threat.group.reference

一组相关入侵活动的组的参考 URL，这些活动在安全社区中以通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组参考 URL。

类型：关键字

示例：https://attack.mitre.org/groups/G0037/

扩展

threat.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 规模标识供应商中立的置信度评级。供应商特定的置信度规模可以作为自定义字段添加。

此字段的预期值

类型：关键字

示例：Medium

扩展

threat.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 传递 Angler EK。

扩展

threat.indicator.email.address

将威胁指示器识别为电子邮件地址（无论方向如何）。

类型：关键字

示例：[email protected]

扩展

threat.indicator.first_seen

情报源首次报告发现此指示器的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.indicator.id

此威胁用来执行行为的指示器的 ID，通常使用 MITRE ATT&CK® 建模。此字段可以有多个值，以便在使用不同 ID 格式的系统之间识别相同的指示器。

虽然不是必需的，但一种常见的方法是使用 STIX 2.x 指示器 ID。

类型：关键字

注意：此字段应包含一个值数组。

示例：[indicator--d7008e06-ab86-415a-9803-3c81ce2d3c37]

扩展

threat.indicator.ip

将威胁指示器识别为 IP 地址（无论方向如何）。

类型：ip

示例：1.2.3.4

扩展

threat.indicator.last_seen

情报源最后一次报告发现此指示器的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.indicator.marking.tlp

交通灯协议共享标记。

此字段的预期值

类型：关键字

示例：CLEAR

扩展

threat.indicator.marking.tlp_version

交通灯协议版本。

类型：关键字

示例：2.0

扩展

threat.indicator.modified_at

情报源最后一次修改此指示器信息的时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

扩展

threat.indicator.name

以 UI 友好格式显示指示器名称。

URL、IP 地址、电子邮件地址、注册表项、端口号、哈希值或其他相关名称可用作显示名称。

类型：关键字

示例：5.2.75.227

扩展

threat.indicator.port

将威胁指示器识别为端口号（无论方向如何）。

类型：长整型

示例：443

扩展

threat.indicator.provider

指示器提供程序的名称。

类型：关键字

示例：lrz_urlhaus

扩展

threat.indicator.reference

指向有关此指示器的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

扩展

threat.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

示例：4

扩展

threat.indicator.sightings

观察到此指示器执行威胁活动次数。

类型：长整型

示例：20

扩展

threat.indicator.type

指示器类型，如 STIX 2.0 中的 Cyber Observable 所表示。

此字段的预期值

类型：关键字

示例：ipv4-addr

扩展

threat.software.alias

软件的别名（或别名），用于一组相关的入侵活动，这些活动在安全社区中以通用名称进行跟踪。

虽然不是必需的，但您可以使用与 MITRE ATT&CK® 相关的软件描述。

类型：关键字

注意：此字段应包含一个值数组。

示例：[ "X-Agent" ]

扩展

threat.software.id

此威胁使用的软件的 ID，用于执行通常使用 MITRE ATT&CK® 建模的行为。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件 ID。

类型：关键字

示例：S0552

扩展

threat.software.name

此威胁使用的软件的名称，用于执行通常使用 MITRE ATT&CK® 建模的行为。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型：关键字

示例：AdFind

扩展

threat.software.platforms

此威胁使用的软件的平台，用于执行通常使用 MITRE ATT&CK® 建模的行为。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台值。

此字段的预期值

类型：关键字

注意：此字段应包含一个值数组。

示例：[ "Windows" ]

扩展

threat.software.reference

此威胁使用的软件的参考 URL，用于执行通常使用 MITRE ATT&CK® 建模的行为。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考 URL。

类型：关键字

示例：https://attack.mitre.org/software/S0552/

扩展

threat.software.type

此威胁使用的软件类型，用于执行通常使用 MITRE ATT&CK® 建模的行为。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件类型。

此字段的预期值

类型：关键字

示例：Tool

扩展

threat.tactic.id

此威胁使用的策略 ID。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例：TA0002

扩展

threat.tactic.name

此威胁使用的策略类型的名称。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例：Execution

扩展

threat.tactic.reference

此威胁使用的策略的参考 URL。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例：https://attack.mitre.org/tactics/TA0002/

扩展

threat.technique.id

此威胁使用的技术的 ID。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：关键字

注意：此字段应包含一个值数组。

示例：T1059

扩展

threat.technique.name

此威胁使用的技术的名称。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：关键字

多字段

注意：此字段应包含一个值数组。

示例：Command and Scripting Interpreter

扩展

threat.technique.reference

此威胁使用的技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：关键字

注意：此字段应包含一个值数组。

示例：https://attack.mitre.org/techniques/T1059/

扩展

threat.technique.subtechnique.id

此威胁使用的子技术的完整 ID。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

注意：此字段应包含一个值数组。

示例：T1059.001

扩展

threat.technique.subtechnique.name

此威胁使用的子技术的名称。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

多字段

注意：此字段应包含一个值数组。

示例：PowerShell

扩展

threat.technique.subtechnique.reference

此威胁使用的子技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

注意：此字段应包含一个值数组。

示例：https://attack.mitre.org/techniques/T1059/001/

扩展

threat.enrichments.indicator.as.*

as

描述自治系统（互联网路由前缀）的字段。

threat.enrichments.indicator.file.*

文件

描述文件的字段。

threat.enrichments.indicator.geo.*

geo

描述位置的字段。

threat.enrichments.indicator.registry.*

registry

与 Windows 注册表操作相关的字段。

threat.enrichments.indicator.url.*

URL

允许您以各种形式存储 URL 的字段。

threat.enrichments.indicator.x509.*

x509

这些字段包含 x509 证书元数据。

threat.indicator.as.*

as

描述自治系统（互联网路由前缀）的字段。

threat.indicator.file.*

文件

描述文件的字段。

threat.indicator.geo.*

geo

描述位置的字段。

threat.indicator.registry.*

registry

与 Windows 注册表操作相关的字段。

threat.indicator.url.*

URL

允许您以各种形式存储 URL 的字段。

threat.indicator.x509.*

x509

这些字段包含 x509 证书元数据。