« ECS 分类字段:event.outcome 迁移到 ECS »
Elastic 文档 Elastic 通用架构 (ECS) 参考 [8.16] ECS 分类字段

使用分类字段

编辑

使用分类字段

编辑

事件分类字段协同工作,用于识别和分组来自多个数据源的相似事件。

以下一般原则可以指导分类过程

  • 来自多个数据源的事件,如果足够相似以至于可以一起查看或分析,则应该属于相同的 event.category 字段。
  • event.categoryevent.type 都是数组,如果事件可以合理地归类到多个类别和/或类型中,则可以填充多个允许的值。
  • event.kindevent.categoryevent.typeevent.outcome 都有允许的值。这是为了规范化这些字段。列表中不允许的值不应使用。
  • event.outcome 的值是一个非常有限的集合,用于指示成功或失败。可以被认为是结果的特定于领域的动作(例如拒绝和允许)不会捕获在 event.outcome 字段中,而是捕获在 event.type 和/或 event.action 字段中。
  • event.categoryevent.typeevent.outcome 的值在所有 event.kind 值中保持一致。
  • 当特定事件不符合任何已定义的允许分类值时,应将该字段留空。

以下示例详细说明了填充分类字段的情况,并为分类决策提供了一些上下文。

防火墙阻止网络连接

编辑

此防火墙事件描述了一个成功阻止的网络连接

...
  {
    "source": {
      "address": "10.42.42.42",
      "ip": "10.42.42.42",
      "port": 38842
    },
    "destination": {
      "address": "10.42.42.1",
      "ip": "10.42.42.1",
      "port": 443
    },
    "rule": {
      "name": "wan-lan",
      "id": "default"
    },
    ...
    "event": {
      "kind": "event", 
      "category": [ 
        "network"
      ],
      "type": [ 
        "connection",
        "denied"
      ],
      "outcome": "success", 
      "action": "dropped" 
    }
  }
...

分类为 event

event.category 将此事件分类为 network 活动。

此事件既是尝试的网络 connection,也被 denied

阻止此连接是预期的。从发出事件的防火墙的角度来看,结果是 success

防火墙将此被拒绝的连接分类为 dropped,此值捕获在 event.action 中。

“拒绝”的网络连接可能属于不同的动作值:“blocked”、“dropped”、“quarantined”等。event.action 字段捕获源所描述的采取的动作,而填充 event.type:denied 提供了一个独立的、规范化的值。

单个查询将返回所有使用相同分类值规范化的已拒绝网络连接

event.category:network AND event.type:denied

创建用户帐户失败

编辑

用户 alice 尝试将用户帐户 bob 添加到目录服务中,但操作失败

{
  "user": {
    "name": "alice",
    "target": {
      "name": "bob"
    }
  },
  "event": {
    "kind": "event", 
    "category": [ 
      "iam"
    ],
    "type": [ 
      "user",
      "creation"
    ],
    "outcome": "failure" 
  }
}

同样分类为 event

使用 iam 对用户帐户活动进行分类。

usercreation

尝试创建用户帐户,但未成功。

文件的 информационный 列表

编辑

实用程序(例如文件完整性监控 (FIM) 应用程序)对文件进行清单,但不访问或修改文件

{
  "file": {
    "name": "example.png",
    "owner": "alice",
    "path": "/home/alice/example.png",
    "type": "file"
  },
  "event": {
    "kind": "event", 
    "category": [ 
      "file"
    ],
    "type": [ 
      "info"
    ]
  }
}

分类为 event

该事件报告的是 file

info 类型对纯粹的信息事件进行分类。此处目标文件未被访问或修改。

源数据不包含有关事件结果的任何上下文,因此不应填充 event.outcome

安全应用程序未能阻止网络连接

编辑

入侵检测系统 (IDS) 尝试阻止连接但失败。IDS 发出的事件被视为警报

{
  "source": {
      "address": "10.42.42.42",
      "ip": "10.42.42.42",
      "port": 38842
    },
  "destination": {
      "address": "10.42.42.1",
      "ip": "10.42.42.1",
      "port": 443
  },
  ...
  "event": {
    "kind": "alert", 
    "category": [ 
      "intrusion_detection",
      "network"
    ],
    "type": [ 
      "connection",
      "denied"
    ],
    "outcome": "failure" 
  }
}

当检测规则生成警报时,IDS 发出此事件。event.kind 设置为 alert

由于事件是由网络 IDS 设备发出的,因此该事件同时被分类为 networkintrusion_detection

警报事件是一个 connection,已被 IDS 的配置 denied

IDS 在尝试拒绝连接时遇到问题。由于 IDS 采取的操作失败,因此结果设置为 failure
« ECS 分类字段:event.outcome 迁移到 ECS »