风险信息字段
编辑风险信息字段编辑
用于描述实体(例如主机和用户)的风险评分和风险级别的字段。这些字段不允许嵌套在 event.* 下。请继续使用 event.risk_score 和 event.risk_score_norm 获取事件风险。
这些字段处于测试阶段,可能会发生变化。
风险信息字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类级别。 类型:关键字 示例: |
扩展 |
|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类评分。 类型:浮点数 示例: |
扩展 |
|
|
由内部系统作为实体分析和实体风险评分的一部分计算出的风险分类评分,并标准化为 0 到 100 的范围。 类型:浮点数 示例: |
扩展 |
|
|
从系统外部获取的风险分类级别,例如从某些外部威胁情报平台获取。 类型:关键字 示例: |
扩展 |
|
|
从系统外部获取的风险分类评分,例如从某些外部威胁情报平台获取。 类型:浮点数 示例: |
扩展 |
|
|
从系统外部获取的风险分类评分,例如从某些外部威胁情报平台获取,并标准化为 0 到 100 的范围。 类型:浮点数 示例: |
扩展 |
字段复用编辑
risk 字段预期嵌套在以下位置
-
host.risk -
user.risk
另请注意,risk 字段不应直接用于事件的根目录。