文件字段
编辑文件字段编辑
文件定义为一组在文件系统上创建或已存在的信息。
文件对象可以与主机事件、网络事件和/或文件事件(例如由文件完整性监控 [FIM] 产品或服务产生的事件)关联。文件字段提供有关与事件或指标关联的受影响文件的详细信息。
文件字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
文件上次被访问的时间。 请注意,并非所有文件系统都跟踪访问时间。 类型:日期 |
扩展 |
|
|
文件属性数组。 属性名称因平台而异。以下是一些预期在该字段中出现的非详尽列表值:存档、压缩、目录、加密、执行、隐藏、读取、只读、系统、写入。 类型:关键字 注意:该字段应包含一个值数组。 示例: |
扩展 |
|
|
文件创建时间。 请注意,并非所有文件系统都存储创建时间。 类型:日期 |
扩展 |
|
|
文件属性或元数据上次更改的时间。 请注意,对文件内容的更改将更新 类型:日期 |
扩展 |
|
|
作为文件来源的设备。 类型:关键字 示例: |
扩展 |
|
|
文件所在目录。在适当情况下应包括驱动器盘符。 类型:关键字 示例: |
扩展 |
|
|
文件所在驱动器盘符。该字段仅在 Windows 上相关。 值应为大写,不包括冒号。 类型:关键字 示例: |
扩展 |
|
|
文件扩展名,不包括前导点。 请注意,当文件名包含多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 类型:关键字 示例: |
扩展 |
|
|
fork 是与文件系统对象关联的附加数据。 在 Linux 上,资源 fork 用于将附加数据与文件系统对象存储在一起。文件始终至少包含一个用于数据部分的 fork,并且可能存在其他 fork。 在 NTFS 上,这类似于备用数据流 (ADS),文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式: 类型:关键字 示例: |
扩展 |
|
|
文件的首要组 ID (GID)。 类型:关键字 示例: |
扩展 |
|
|
文件的首要组名称。 类型:关键字 示例: |
扩展 |
|
|
表示文件系统中文件的 inode。 类型:关键字 示例: |
扩展 |
|
|
MIME 类型应使用IANA 官方类型(如果可能)标识文件或字节流的格式。如果适用多种类型,则应使用最具体的类型。 类型:关键字 |
扩展 |
|
|
文件的模式,以八进制表示。 类型:关键字 示例: |
扩展 |
|
|
文件内容上次修改的时间。 类型:日期 |
扩展 |
|
|
包括扩展名的文件名,不包括目录。 类型:关键字 示例: |
扩展 |
|
|
文件所有者的用户名。 类型:关键字 示例: |
扩展 |
|
|
文件的完整路径,包括文件名。在适当情况下应包括驱动器盘符。 类型:关键字 多字段
示例: |
扩展 |
|
|
文件大小,以字节为单位。 仅在 类型:长整型 示例: |
扩展 |
|
|
符号链接的目标路径。 类型:关键字 多字段
|
扩展 |
|
|
文件类型(文件、目录或符号链接)。 类型:关键字 示例: |
扩展 |
|
|
文件所有者的用户 ID (UID) 或安全标识符 (SID)。 类型:关键字 示例: |
扩展 |
字段重用编辑
预期file 字段嵌套在
-
threat.enrichments.indicator.file -
threat.indicator.file
另外请注意,file 字段可以直接用于事件的根目录。
可以在 File 下嵌套的字段集编辑
| 位置 | 字段集 | 描述 |
|---|---|---|
|
这些字段包含有关二进制代码签名的信息。 |
|
|
[beta] 此字段重用为测试版,可能会发生变化。 这些字段包含 Linux 可执行链接格式 (ELF) 元数据。 |
|
|
哈希值,通常是文件哈希值。 |
|
|
[beta] 此字段重用为测试版,可能会发生变化。 这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。 |
|
|
这些字段包含 Windows 可移植可执行文件 (PE) 元数据。 |
|
|
这些字段包含 x509 证书元数据。 |