ECS 分类字段:event.type
编辑ECS 分类字段:event.type编辑
这是 ECS 分类字段中的四个字段之一,指示 ECS 类别层次结构中的第三级。
event.type 代表一个分类“子桶”,当与 event.category 字段值一起使用时,可以将事件过滤到适合单个可视化的级别。
此字段是一个数组。这将允许对属于多个事件类型的事件进行适当的分类。
允许的值
access编辑
access 事件类型用于类别中指示某事物被访问的事件子集。常见示例包括 event.category:database AND event.type:access 或 event.category:file AND event.type:access。请注意,对于文件访问,目录列表和文件打开都应包含在此子类别中。您可以使用 ECS event.action 字段进一步区分访问操作。
admin编辑
admin 事件类型用于类别中与管理员对象相关的事件子集。例如,IAM 框架中的管理更改,这些更改不会特别影响用户或组(例如,将新应用程序添加到联合解决方案或连接 Active Directory 中的离散森林),将属于此子类别。常见示例:event.category:iam AND event.type:change AND event.type:admin。您可以使用 ECS event.action 字段进一步区分管理员操作。
allowed编辑
allowed 事件类型用于类别中指示某事物被允许的事件子集。常见示例包括 event.category:network AND event.type:connection AND event.type:allowed(指示网络防火墙事件,其中防火墙处置为允许连接完成)和 event.category:intrusion_detection AND event.type:allowed(指示网络入侵防御系统事件,其中 IPS 处置为允许连接完成)。您可以使用 ECS event.action 字段进一步区分允许的操作,并使用您选择的任何值进行填充,例如“允许”、“检测”或“通过”。
change编辑
change 事件类型用于类别中指示某事物已更改的事件子集。如果语义最适合将事件描述为已修改,则将它们包含在此子类别中。常见示例包括 event.category:process AND event.type:change 和 event.category:file AND event.type:change。您可以使用 ECS event.action 字段进一步区分更改操作。
connection编辑
主要与 event.category:network 一起使用,此值用于网络流量的子集,其中包含足够的信息以将事件包含在流或连接分析中。此子类别中的事件将至少包含源和目标 IP 地址、源和目标 TCP/UDP 端口,并且通常包含传输的字节数和/或数据包数。此子类别中的事件可能包含单向或双向信息,包括汇总信息。使用此子类别来可视化和分析网络连接。流分析,包括 Netflow、IPFIX 和其他与流相关的事件,都适合此子类别。请注意,许多下一代防火墙 (NGFW) 设备的防火墙事件也将适合此子类别。流/连接信息的常用过滤器将是 event.category:network AND event.type:connection AND event.type:end(查看或分析所有已完成的网络连接,忽略中间流报告)。您可以使用 ECS event.action 字段进一步区分连接事件,并使用您选择的任何值进行填充,例如“超时”或“重置”。
creation编辑
“creation” 事件类型用于类别中指示某事物被创建的事件子集。一个常见的示例是 event.category:file AND event.type:creation。
deletion编辑
deletion 事件类型用于类别中指示某事物被删除的事件子集。一个常见的示例是 event.category:file AND event.type:deletion,用于指示文件已被删除。
denied编辑
denied 事件类型用于类别中指示某事物被拒绝的事件子集。常见示例包括 event.category:network AND event.type:denied(指示网络防火墙事件,其中防火墙处置为拒绝连接)和 event.category:intrusion_detection AND event.type:denied(指示网络入侵防御系统事件,其中 IPS 处置为拒绝连接完成)。您可以使用 ECS event.action 字段进一步区分拒绝的操作,并使用您选择的任何值进行填充,例如“阻止”、“丢弃”或“隔离”。
end编辑
end 事件类型用于类别中指示某事物已结束的事件子集。一个常见的示例是 event.category:process AND event.type:end。
error编辑
error 事件类型用于类别中指示或描述错误的事件子集。一个常见的示例是 event.category:database AND event.type:error。请注意,事件摄取过程中发生的管道错误不应使用此 event.type 值。相反,它们应该使用 event.kind:pipeline_error。
group编辑
group 事件类型用于类别中与组对象相关的事件子集。常见示例:event.category:iam AND event.type:creation AND event.type:group。您可以使用 ECS event.action 字段进一步区分组操作。
indicator编辑
indicator 事件类型用于类别中包含有关入侵指标 (IOC) 详细信息的事件子集。
一个常见的示例是 event.category:threat AND event.type:indicator。
info编辑
info 事件类型用于类别中指示它们纯粹是信息性的事件子集,并且不会报告状态更改或任何类型的操作。例如,文件完整性监控系统 (FIM) 的初始运行,其中代理报告所有受管理的文件,将属于“信息”子类别。同样,包含所有当前正在运行的进程的转储(与报告进程启动/结束相反)的事件将属于“信息”子类别。另一个常见的示例是 event.category:intrusion_detection AND event.type:info。
installation编辑
installation 事件类型用于类别中指示某事物被安装的事件子集。一个常见的示例是 event.category:package 和 event.type:installation。
protocol编辑
protocol 事件类型用于类别中指示它们包含协议详细信息或分析的事件子集,而不仅仅是识别协议。通常,包含特定协议详细信息的网络事件将属于此子类别。一个常见的示例是 event.category:network AND event.type:protocol AND event.type:connection AND event.type:end(指示事件是连接结束时发送的网络连接事件,该事件还包含协议详细信息细分)。请注意,仅指示协议名称或 ID 的事件不应使用 protocol 值。请进一步注意,当使用 protocol 子类别时,识别的协议将填充到 ECS network.protocol 字段中。
start编辑
start 事件类型用于类别中指示某事物已启动的事件子集。一个常见的示例是 event.category:process AND event.type:start。
user编辑
user 事件类型用于类别中与用户对象相关的事件子集。常见示例:event.category:iam AND event.type:deletion AND event.type:user。您可以使用 ECS event.action 字段进一步区分用户操作。