x509 证书字段

编辑

这实现了 x509 证书的通用核心字段。此信息可能与 TLS 会话、可执行二进制文件中发现的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。

当证书与文件相关时,请使用file.x509下的字段。如果 DER 编码证书的哈希值可用,则也应填充hash数据集(例如file.hash.sha256)。

包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509和/或tls.client.x509

x509 证书字段详情

编辑
字段 描述 级别

x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。

类型:keyword

注意:此字段应包含一个值数组。

示例:*.elastic.co

扩展

x509.issuer.common_name

颁发证书机构的通用名 (CN) 列表。

类型:keyword

注意:此字段应包含一个值数组。

示例:Example SHA2 High Assurance Server CA

扩展

x509.issuer.country

国家/地区 (C) 代码列表

类型:keyword

注意:此字段应包含一个值数组。

示例:US

扩展

x509.issuer.distinguished_name

颁发证书机构的识别名称 (DN)。

类型:keyword

示例:C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

扩展

x509.issuer.locality

地区名称 (L) 列表

类型:keyword

注意:此字段应包含一个值数组。

示例:Mountain View

扩展

x509.issuer.organization

颁发证书机构的组织 (O) 列表。

类型:keyword

注意:此字段应包含一个值数组。

示例:Example Inc

扩展

x509.issuer.organizational_unit

颁发证书机构的组织单位 (OU) 列表。

类型:keyword

注意:此字段应包含一个值数组。

示例:www.example.com

扩展

x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型:keyword

注意:此字段应包含一个值数组。

示例:California

扩展

x509.not_after

证书不再被视为有效的日期和时间。

类型:date

示例:2020-07-16T03:15:39Z

扩展

x509.not_before

证书首次被视为有效的日期和时间。

类型:date

示例:2019-08-16T01:40:25Z

扩展

x509.public_key_algorithm

用于生成公钥的算法。

类型:keyword

示例:RSA

扩展

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型:keyword

示例:nistp521

扩展

x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型:long

示例:65537

扩展

x509.public_key_size

公钥空间的大小(以位为单位)。

类型:long

示例:2048

扩展

x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性,这应以 16 进制编码,并格式化为无冒号且大写字符。

类型:keyword

示例:55FBB9C7DEBF09809D12CCAA

扩展

x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中的名称。参见 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353

类型:keyword

示例:SHA256-RSA

扩展

x509.subject.common_name

主题的通用名 (CN) 列表。

类型:keyword

注意:此字段应包含一个值数组。

示例:shared.global.example.net

扩展

x509.subject.country

国家/地区 (C) 代码列表

类型:keyword

注意:此字段应包含一个值数组。

示例:US

扩展

x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型:keyword

示例:C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

扩展

x509.subject.locality

地区名称 (L) 列表

类型:keyword

注意:此字段应包含一个值数组。

示例:San Francisco

扩展

x509.subject.organization

主题的组织 (O) 列表。

类型:keyword

注意:此字段应包含一个值数组。

示例:Example, Inc.

扩展

x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型:keyword

注意:此字段应包含一个值数组。

扩展

x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型:keyword

注意:此字段应包含一个值数组。

示例:California

扩展

x509.version_number

x509 格式的版本。

类型:keyword

示例:3

扩展

字段复用

编辑

预期x509字段嵌套在:

  • file.x509
  • threat.enrichments.indicator.x509
  • threat.indicator.x509
  • tls.client.x509
  • tls.server.x509

另请注意,x509字段不应直接在事件的根目录中使用。