威胁字段

threat.enrichments

丰富事件的相关指标对象列表，以及该关联/丰富的内容。

类型：嵌套

注意：此字段应包含一个值数组。

扩展

threat.enrichments.indicator

包含丰富事件的相关指标的对象。

类型：对象

扩展

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的无/低/中/高等级来标识与供应商无关的置信度等级。特定于供应商的置信度等级可以作为自定义字段添加。

此字段的预期值

类型：关键字

示例： 中

扩展

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例： 观察到 IP x.x.x.x 正在传送 Angler EK。

扩展

threat.enrichments.indicator.email.address

将威胁指标标识为电子邮件地址（不考虑方向）。

类型：关键字

示例： [email protected]

扩展

threat.enrichments.indicator.first_seen

情报来源首次报告发现此指标的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.ip

将威胁指标标识为 IP 地址（不考虑方向）。

类型：ip

示例： 1.2.3.4

扩展

threat.enrichments.indicator.last_seen

情报来源最后一次报告发现此指标的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.marking.tlp

交通灯协议共享标记。

此字段的预期值

类型：关键字

示例： 清除

扩展

threat.enrichments.indicator.marking.tlp_version

交通灯协议版本。

类型：关键字

示例： 2.0

扩展

threat.enrichments.indicator.modified_at

情报来源最后一次修改此指标信息的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.enrichments.indicator.name

以 UI 友好格式显示的名称指示器

URL、IP 地址、电子邮件地址、注册表项、端口号、哈希值或其他相关名称都可以用作显示名称。

类型：关键字

示例： 5.2.75.227

扩展

threat.enrichments.indicator.port

将威胁指标标识为端口号（不考虑方向）。

类型：长整型

示例： 443

扩展

threat.enrichments.indicator.provider

指标提供者的名称。

类型：关键字

示例： lrz_urlhaus

扩展

threat.enrichments.indicator.reference

链接到有关此指标的更多信息的参考 URL。

类型：关键字

示例： https://system.example.com/indicator/0001234

扩展

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

示例： 4

扩展

threat.enrichments.indicator.sightings

观察到此指标正在进行威胁活动的次数。

类型：长整型

示例： 20

扩展

threat.enrichments.indicator.type

STIX 2.0 中网络可观察对象表示的指标类型。

此字段的预期值

类型：关键字

示例： ipv4-addr

扩展

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指标值。

类型：关键字

示例： bad-domain.com

扩展

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指标的字段。

类型：关键字

示例： file.hash.sha256

扩展

threat.enrichments.matched.id

标识丰富事件的指标文档的 _id。

类型：关键字

示例： ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

扩展

threat.enrichments.matched.index

标识丰富事件的指标文档的 _index。

类型：关键字

示例： filebeat-8.0.0-2021.05.23-000011

扩展

threat.enrichments.matched.occurred

指示指标匹配何时生成

类型：日期

示例： 2021-10-05T17:00:58.326Z

扩展

threat.enrichments.matched.type

标识导致事件通过给定指标丰富的匹配类型

类型：关键字

示例： indicator_match_rule

扩展

threat.feed.dashboard_id

属于威胁情报源的仪表板的已保存对象 ID，用于在 Kibana 中显示指向威胁情报源的仪表板链接。

类型：关键字

示例： 5ba16340-72e6-11eb-a3e3-b3cc7c78a70f

扩展

threat.feed.description

以 UI 友好格式描述威胁情报源。

类型：关键字

示例： 来自 AlienVault Open Threat eXchange 网络的威胁情报源。

扩展

threat.feed.name

以 UI 友好格式显示的威胁情报源名称。

类型：关键字

示例： AlienVault OTX

扩展

threat.feed.reference

以 UI 友好格式显示的威胁情报源的参考信息。

类型：关键字

示例： https://otx.alienvault.com

扩展

threat.framework

用于进一步分类和归类所报告威胁的策略和技术的威胁框架名称。框架分类可以由检测系统提供，在摄取时进行评估，或回顾性地标记到事件。

类型：关键字

示例： MITRE ATT&CK

扩展

threat.group.alias

一组相关入侵活动的组别名，这些入侵活动在安全社区中使用通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组别名。

类型：关键字

注意：此字段应包含一个值数组。

示例： [ "Magecart Group 6" ]

扩展

threat.group.id

一组相关入侵活动的组 ID，这些入侵活动在安全社区中使用通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组 ID。

类型：关键字

示例： G0037

扩展

threat.group.name

一组相关入侵活动的组名称，这些入侵活动在安全社区中使用通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组名称。

类型：关键字

示例： FIN6

扩展

threat.group.reference

一组相关入侵活动的组参考 URL，这些入侵活动在安全社区中使用通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 组参考 URL。

类型：关键字

示例： https://attack.mitre.org/groups/G0037/

扩展

threat.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的无/低/中/高等级来标识与供应商无关的置信度等级。特定于供应商的置信度等级可以作为自定义字段添加。

此字段的预期值

类型：关键字

示例： 中

扩展

threat.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例： 观察到 IP x.x.x.x 正在传送 Angler EK。

扩展

threat.indicator.email.address

将威胁指标标识为电子邮件地址（不考虑方向）。

类型：关键字

示例： [email protected]

扩展

threat.indicator.first_seen

情报来源首次报告发现此指标的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.indicator.ip

将威胁指标标识为 IP 地址（不考虑方向）。

类型：ip

示例： 1.2.3.4

扩展

threat.indicator.last_seen

情报来源最后一次报告发现此指标的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.indicator.marking.tlp

交通灯协议共享标记。

此字段的预期值

类型：关键字

示例： 清除

扩展

threat.indicator.marking.tlp_version

交通灯协议版本。

类型：关键字

示例： 2.0

扩展

threat.indicator.modified_at

情报来源最后一次修改此指标信息的日期和时间。

类型：日期

示例： 2020-11-05T17:25:47.000Z

扩展

threat.indicator.name

以 UI 友好格式显示的名称指示器

URL、IP 地址、电子邮件地址、注册表项、端口号、哈希值或其他相关名称都可以用作显示名称。

类型：关键字

示例： 5.2.75.227

扩展

threat.indicator.port

将威胁指标标识为端口号（不考虑方向）。

类型：长整型

示例： 443

扩展

threat.indicator.provider

指标提供者的名称。

类型：关键字

示例： lrz_urlhaus

扩展

threat.indicator.reference

链接到有关此指标的更多信息的参考 URL。

类型：关键字

示例： https://system.example.com/indicator/0001234

扩展

threat.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

示例： 4

扩展

threat.indicator.sightings

观察到此指标正在进行威胁活动的次数。

类型：长整型

示例： 20

扩展

threat.indicator.type

STIX 2.0 中网络可观察对象表示的指标类型。

此字段的预期值

类型：关键字

示例： ipv4-addr

扩展

threat.software.alias

一组相关入侵活动的软件别名，这些入侵活动在安全社区中使用通用名称进行跟踪。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 关联的软件描述。

类型：关键字

注意：此字段应包含一个值数组。

示例： [ "X-Agent" ]

扩展

threat.software.id

此威胁用于执行通常使用 MITRE ATT&CK® 建模的行为的软件的 ID。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件 ID。

类型：关键字

示例： S0552

扩展

threat.software.name

此威胁用于执行通常使用 MITRE ATT&CK® 建模的行为的软件的名称。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型：关键字

示例： AdFind

扩展

threat.software.platforms

此威胁用于执行通常使用 MITRE ATT&CK® 建模的行为的软件的平台。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台值。

此字段的预期值

类型：关键字

注意：此字段应包含一个值数组。

示例： [ "Windows" ]

扩展

threat.software.reference

此威胁用于执行通常使用 MITRE ATT&CK® 建模的行为的软件的参考 URL。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考 URL。

类型：关键字

示例： https://attack.mitre.org/software/S0552/

扩展

threat.software.type

此威胁用于执行通常使用 MITRE ATT&CK® 建模的行为的软件的类型。

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件类型。

此字段的预期值

类型：关键字

示例： Tool

扩展

threat.tactic.id

此威胁使用的战术的 ID。例如，您可以使用 MITRE ATT&CK® 战术。（例如 https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例： TA0002

扩展

threat.tactic.name

此威胁使用的战术类型的名称。例如，您可以使用 MITRE ATT&CK® 战术。（例如 https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例： 执行

扩展

threat.tactic.reference

此威胁使用的战术的参考 URL。例如，您可以使用 MITRE ATT&CK® 战术。（例如 https://attack.mitre.org/tactics/TA0002/）

类型：关键字

注意：此字段应包含一个值数组。

示例： https://attack.mitre.org/tactics/TA0002/

扩展

threat.technique.id

此威胁使用的技术的 ID。例如，您可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

类型：关键字

注意：此字段应包含一个值数组。

示例： T1059

扩展

threat.technique.name

此威胁使用的技术的名称。例如，您可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

类型：关键字

多字段

注意：此字段应包含一个值数组。

示例： 命令和脚本解释器

扩展

threat.technique.reference

此威胁使用的技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

类型：关键字

注意：此字段应包含一个值数组。

示例： https://attack.mitre.org/techniques/T1059/

扩展

threat.technique.subtechnique.id

此威胁使用的子技术的完整 ID。例如，您可以使用 MITRE ATT&CK® 子技术。（例如 https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

注意：此字段应包含一个值数组。

示例： T1059.001

扩展

threat.technique.subtechnique.name

此威胁使用的子技术的名称。例如，您可以使用 MITRE ATT&CK® 子技术。（例如 https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

多字段

注意：此字段应包含一个值数组。

示例： PowerShell

扩展

threat.technique.subtechnique.reference

此威胁使用的子技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 子技术。（例如 https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

注意：此字段应包含一个值数组。

示例： https://attack.mitre.org/techniques/T1059/001/

扩展

threat.enrichments.indicator.as.*

as

描述自治系统（互联网路由前缀）的字段。

threat.enrichments.indicator.file.*

文件

描述文件的字段。

threat.enrichments.indicator.geo.*

geo

描述位置的字段。

threat.enrichments.indicator.registry.*

注册表

与 Windows 注册表操作相关的字段。

threat.enrichments.indicator.url.*

网址

允许您以各种形式存储 URL 的字段。

threat.enrichments.indicator.x509.*

x509

这些字段包含 x509 证书元数据。

threat.indicator.as.*

as

描述自治系统（互联网路由前缀）的字段。

threat.indicator.file.*

文件

描述文件的字段。

threat.indicator.geo.*

geo

描述位置的字段。

threat.indicator.registry.*

注册表

与 Windows 注册表操作相关的字段。

threat.indicator.url.*

网址

允许您以各种形式存储 URL 的字段。

threat.indicator.x509.*

x509

这些字段包含 x509 证书元数据。