哈希字段
编辑哈希字段编辑
哈希字段表示不同的位运算哈希算法及其值。
常用哈希的字段名(例如 MD5、SHA1)是预定义的。通过将哈希算法名称转换为小写并使用下划线分隔符(蛇形命名法,例如 sha3_512)来添加其他哈希的字段。
请注意,此字段集用于在通用字节范围内计算的常用哈希。特定于实体的哈希,例如 ja3 或 imphash,将放置在其相关的字段集(分别为 tls 和 pe)中。
哈希字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
MD5 哈希。 类型: 关键字 |
扩展 |
|
|
SHA1 哈希。 类型: 关键字 |
扩展 |
|
|
SHA256 哈希。 类型: 关键字 |
扩展 |
|
|
SHA384 哈希。 类型: 关键字 |
扩展 |
|
|
SHA512 哈希。 类型: 关键字 |
扩展 |
|
|
SSDEEP 哈希。 类型: 关键字 |
扩展 |
|
|
TLSH 哈希。 类型: 关键字 |
扩展 |
字段重用编辑
预计 hash 字段嵌套在
-
dll.hash -
email.attachments.file.hash -
file.hash -
process.hash
另外请注意,hash 字段不应直接用于事件的根部。