使用分类字段
编辑使用分类字段编辑
事件分类字段协同工作,以识别和分组来自多个数据源的类似事件。
这些一般原则可以帮助指导分类过程
- 来自多个数据源的事件,如果足够相似可以一起查看或分析,则应归入相同的
event.category字段。 - 两者
event.category和event.type都是数组,如果事件可以合理地归类为多个类别和/或类型,则它们可能包含多个允许的值。 -
event.kind,event.category,event.type和event.outcome都有允许的值。这是为了规范这些字段。列表中没有的价值观不应使用。 event.outcome的值是一个非常有限的集合,用来表示成功或失败。域特定的操作(例如拒绝和允许)可能被视为结果,不会被捕获在event.outcome字段中,而是被捕获在event.type和/或event.action字段中。event.category,event.type和event.outcome的值在所有event.kind的值中都是一致的。- 当特定事件不符合任何已定义的允许分类值时,应将该字段留空。
以下示例详细说明了填充分类字段,并为分类决策提供了一些上下文。
防火墙阻止网络连接编辑
来自防火墙的此事件描述了成功阻止的网络连接
...
{
"source": {
"address": "10.42.42.42",
"ip": "10.42.42.42",
"port": 38842
},
"destination": {
"address": "10.42.42.1",
"ip": "10.42.42.1",
"port": 443
},
"rule": {
"name": "wan-lan",
"id": "default"
},
...
"event": {
"kind": "event",
"category": [
"network"
],
"type": [
"connection",
"denied"
],
"outcome": "success",
"action": "dropped"
}
}
...
|
将事件分类为 |
|
|
|
|
|
该事件既是尝试的网络 |
|
|
阻止此连接是预期的。从发出事件的防火墙的角度来看,结果是 |
|
|
防火墙将此被拒绝的连接分类为 |
“拒绝”的网络连接可能属于不同的操作值:“blocked”、“dropped”、“quarantined”等。 event.action 字段捕获源描述的操作,并填充 event.type:denied 提供一个独立的、规范化的值。
单个查询将返回所有使用相同的分类值进行规范的被拒绝的网络连接
event.category:network AND event.type:denied
创建用户帐户的失败尝试编辑
用户 alice 尝试将用户帐户 bob 添加到目录服务中,但操作失败
{
"user": {
"name": "alice",
"target": {
"name": "bob"
}
},
"event": {
"kind": "event",
"category": [
"iam"
],
"type": [
"user",
"creation"
],
"outcome": "failure"
}
}
文件的资讯清单编辑
文件完整性监控 (FIM) 应用程序等实用程序会对文件进行清单,但不会访问或修改文件
{
"file": {
"name": "example.png",
"owner": "alice",
"path": "/home/alice/example.png",
"type": "file"
},
"event": {
"kind": "event",
"category": [
"file"
],
"type": [
"info"
]
}
}
源数据不包含有关事件结果的任何上下文,因此 event.outcome 不应填充。
安全应用程序未能阻止网络连接编辑
入侵检测系统 (IDS) 尝试阻止连接,但失败。IDS 发出的事件被认为是警报