x509 证书字段
编辑x509 证书字段编辑
这实现了 x509 证书的通用核心字段。此信息可能与 TLS 会话、可执行二进制文件中发现的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。
当证书与文件相关时,请使用 file.x509 下的字段。如果 DER 编码证书的哈希可用,则应填充 hash 数据集(例如 file.hash.sha256)。
包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段:tls.server.x509 和/或 tls.client.x509。
x509 证书字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)以及电子邮件地址。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
颁发证书颁发机构的通用名称 (CN) 列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
国家/地区 (C) 代码列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
颁发证书颁发机构的识别名称 (DN)。 类型:关键字 示例: |
扩展 |
|
|
地区名称 (L) 列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
颁发证书颁发机构的组织 (O) 列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
颁发证书颁发机构的组织单位 (OU) 列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
州或省名称 (ST、S 或 P) 列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
证书不再被视为有效的日期和时间。 类型:日期 示例: |
扩展 |
|
|
证书首次被视为有效的日期和时间。 类型:日期 示例: |
扩展 |
|
|
用于生成公钥的算法。 类型:关键字 示例: |
扩展 |
|
|
椭圆曲线公钥算法使用的曲线。这是特定于算法的。 类型:关键字 示例: |
扩展 |
|
|
用于推导出公钥的指数。这是特定于算法的。 类型:长整型 示例: |
扩展 |
|
|
公钥空间的大小(以位为单位)。 类型:长整型 示例: |
扩展 |
|
|
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值为字母数字,则应格式化为不包含冒号和不包含大写字符。 类型:关键字 示例: |
扩展 |
|
|
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。 类型:关键字 示例: |
扩展 |
|
|
主题的通用名称 (CN) 列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
国家/地区 (C) 代码列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
证书主题实体的识别名称 (DN)。 类型:关键字 示例: |
扩展 |
|
|
地区名称 (L) 列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
主题的组织 (O) 列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
主题的组织单位 (OU) 列表。 类型:关键字 注意:此字段应包含一个值数组。 |
扩展 |
|
|
州或省名称 (ST、S 或 P) 列表 类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
x509 格式的版本。 类型:关键字 示例: |
扩展 |
字段重用编辑
预计 x509 字段将嵌套在以下位置
-
file.x509 -
threat.enrichments.indicator.x509 -
threat.indicator.x509 -
tls.client.x509 -
tls.server.x509
另请注意,不应直接在事件的根目录下使用 x509 字段。