ECS 分类字段:event.category
编辑ECS 分类字段:event.category编辑
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。
event.category 代表 ECS 类别的“大桶”。例如,根据 event.category:process 过滤会产生与进程活动相关的所有事件。此字段与 event.type 密切相关,后者用作子类别。
此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。
允许的值
api编辑
此类别中的事件注释系统上发生的 API 调用。这些事件的典型来源可能是通过本机库(例如 Windows Win32、Linux libc 等)从操作系统级别,或事件的托管来源(例如 ETW、syslog),但也可能包括网络协议(例如 SOAP、RPC、Websocket、REST 等)。
类别 api 的预期事件类型
access, admin, allowed, change, creation, deletion, denied, end, info, start, user
authentication编辑
此类别中的事件与提供和验证凭据以允许创建会话的质询和响应过程相关。这些日志的常见来源是 Windows 事件日志和 ssh 日志。可视化和分析此类别中的事件以查找登录失败和其他与身份验证相关的活动。
类别 authentication 的预期事件类型
start, end, info
configuration编辑
配置类别中的事件必须与创建、修改或删除应用程序、进程或系统的设置或参数有关。
示例来源包括安全策略更改日志、配置审核日志和系统完整性监控。
类别 configuration 的预期事件类型
access, change, creation, deletion, info
database编辑
database 类别表示与数据存储和检索系统相关的事件和指标。请注意,此类别的使用并不局限于关系数据库系统。示例包括来自 MS SQL、MySQL、Elasticsearch、MongoDB 等的事件日志。使用此类别可视化和分析数据库活动,例如访问和更改。
类别 database 的预期事件类型
access, change, info, error
driver编辑
driver 类别中的事件与操作系统设备驱动程序和类似软件实体(例如 Windows 驱动程序、内核扩展、内核模块等)有关。
使用此类别中的事件和指标可视化和分析主机上的驱动程序相关活动和状态。
类别 driver 的预期事件类型
change, end, info, start
email编辑
此类别用于与电子邮件消息、电子邮件附件和电子邮件网络或协议活动相关的事件。
电子邮件事件可以由电子邮件安全网关、邮件传输代理、电子邮件云服务提供商或邮件服务器监控应用程序产生。
类别 email 的预期事件类型
info
file编辑
与在文件系统上创建或已存在于文件系统上的信息集相关。使用此类别的事件可视化和分析文件的创建、访问和删除。此类别中的事件可能来自基于主机的来源和基于网络的来源。基于网络检测文件传输的示例来源是 Zeek file.log。
类别 file 的预期事件类型
access, change, creation, deletion, info
host编辑
使用此类别可视化和分析主机清单或主机生命周期事件等信息。
此类别中的大多数事件通常可以从外部观察到,例如从虚拟机管理程序或控制平面的角度观察。有些也可以从内部看到,例如“开始”或“结束”。
请注意,此类别用于有关主机本身的信息;它不打算捕获“在主机上发生”的活动。
类别 host 的预期事件类型
access, change, end, info, start
iam编辑
与用户、组和管理相关的身份和访问管理 (IAM) 事件。使用此类别可视化和分析来自活动目录、LDAP、Okta、Duo 和其他 IAM 系统的 IAM 相关日志和数据。
类别 iam 的预期事件类型
admin, change, creation, deletion, group, info, user
intrusion_detection编辑
与来自 IDS/IPS 系统和功能(基于网络和基于主机的)的入侵检测相关。使用此类别可视化和分析来自 Snort、Suricata 和 Palo Alto 威胁检测等系统的入侵检测警报。
类别 intrusion_detection 的预期事件类型
allowed, denied, info
library编辑
此类别中的事件是指将库(例如(dll / so / dynlib))加载到进程中。使用此类别可视化和分析主机上的库加载相关活动。请记住,驱动程序相关活动将在上面的“驱动程序”类别下捕获。
类别 library 的预期事件类型
start
malware编辑
恶意软件检测事件和警报。使用此类别可视化和分析来自 EDR/EPP 系统(例如 Elastic Endpoint Security、Symantec Endpoint Protection、Crowdstrike)和网络 IDS/IPS 系统(例如 Suricata)或其他恶意软件相关事件来源(例如 Palo Alto Networks 威胁日志和 Wildfire 日志)的恶意软件检测。
类别 malware 的预期事件类型
info
network编辑
与所有网络活动相关,包括网络连接生命周期、网络流量,以及基本上任何包含 IP 地址的事件。许多包含解码网络协议事务的事件都属于此类别。使用此类别中的事件可视化或分析网络端口、协议、地址、地理位置信息等的计数。
类别 network 的预期事件类型
access, allowed, connection, denied, end, info, protocol, start
package编辑
与安装在主机上的软件包相关。使用此类别可视化和分析安装在各种主机上的软件清单,或在没有漏洞扫描数据的情况下确定主机漏洞。
类别 package 的预期事件类型
access, change, deletion, info, installation, start
process编辑
使用此类别的事件可视化和分析进程特定信息,例如生命周期事件或进程祖先关系。
类别 process 的预期事件类型
access, change, end, info, start
registry编辑
与存储在 Windows 注册表中的设置和资产有关。使用此类别可视化和分析注册表访问和修改等活动。
类别 registry 的预期事件类型
access, change, creation, deletion
session编辑
session 类别适用于与主机和服务的逻辑持久连接相关的事件和指标。使用此类别可视化和分析资产之间交互式或自动持久连接。此类别的数据可能来自 Windows 事件日志、SSH 日志或无状态会话,例如基于 HTTP Cookie 的会话等。
类别 session 的预期事件类型
start, end, info
threat编辑
使用此类别可视化和分析描述威胁行为者目标、动机或行为的事件。
类别 threat 的预期事件类型
indicator
vulnerability编辑
与漏洞扫描结果相关。使用此类别分析由 Tenable、Qualys、内部扫描仪和其他漏洞管理来源检测到的漏洞。
类别 vulnerability 的预期事件类型
info
web编辑
与 Web 服务器访问相关。使用此类别从 apache、IIS、nginx Web 服务器等创建 Web 服务器/代理活动的仪表板。注意:来自网络观察器(例如 Zeek http 日志)的事件也可能包含在此类别中。
类别 web 的预期事件类型
access, error, info