x509 证书字段
编辑x509 证书字段
编辑这实现了 x509 证书的通用核心字段。此信息可能与 TLS 会话、可执行二进制文件中发现的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。
当证书与文件相关时,请使用file.x509
下的字段。如果 DER 编码证书的哈希值可用,则也应填充hash
数据集(例如file.hash.sha256
)。
包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509
和/或tls.client.x509
。
x509 证书字段详情
编辑字段 | 描述 | 级别 |
---|---|---|
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
颁发证书机构的通用名 (CN) 列表。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
国家/地区 (C) 代码列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
颁发证书机构的识别名称 (DN)。 类型:keyword 示例: |
扩展 |
|
地区名称 (L) 列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
颁发证书机构的组织 (O) 列表。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
颁发证书机构的组织单位 (OU) 列表。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
州或省名称 (ST、S 或 P) 列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
证书不再被视为有效的日期和时间。 类型:date 示例: |
扩展 |
|
证书首次被视为有效的日期和时间。 类型:date 示例: |
扩展 |
|
用于生成公钥的算法。 类型:keyword 示例: |
扩展 |
|
椭圆曲线公钥算法使用的曲线。这是特定于算法的。 类型:keyword 示例: |
扩展 |
|
用于导出公钥的指数。这是特定于算法的。 类型:long 示例: |
扩展 |
|
公钥空间的大小(以位为单位)。 类型:long 示例: |
扩展 |
|
证书颁发机构颁发的唯一序列号。为保持一致性,这应以 16 进制编码,并格式化为无冒号且大写字符。 类型:keyword 示例: |
扩展 |
|
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中的名称。参见 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。 类型:keyword 示例: |
扩展 |
|
主题的通用名 (CN) 列表。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
国家/地区 (C) 代码列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
证书主题实体的识别名称 (DN)。 类型:keyword 示例: |
扩展 |
|
地区名称 (L) 列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
主题的组织 (O) 列表。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
主题的组织单位 (OU) 列表。 类型:keyword 注意:此字段应包含一个值数组。 |
扩展 |
|
州或省名称 (ST、S 或 P) 列表 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
x509 格式的版本。 类型:keyword 示例: |
扩展 |
字段复用
编辑预期x509
字段嵌套在:
-
file.x509
-
threat.enrichments.indicator.x509
-
threat.indicator.x509
-
tls.client.x509
-
tls.server.x509
另请注意,x509
字段不应直接在事件的根目录中使用。