› ›

Amazon Security Lake

版本	2.1.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此 Amazon Security Lake 集成可帮助您分析安全数据，以便更全面地了解整个组织的安全态势。借助 Security Lake，您还可以提高工作负载、应用程序和数据的保护水平。

Security Lake 自动化从集成的 AWS 服务和第三方服务收集安全相关日志和事件数据的过程。它还可以帮助您通过可自定义的保留和复制设置来管理数据生命周期。Security Lake 将摄取的数据转换为 Apache Parquet 格式和名为开放网络安全架构框架 (OCSF) 的标准开源架构。通过 OCSF 支持，Security Lake 可以规范化并合并来自 AWS 和各种企业安全数据源的安全数据。

Amazon Security Lake 集成可以通过两种不同的模式收集数据

AWS S3 轮询模式：Amazon Security Lake 将数据写入 S3，Elastic Agent 通过列出其内容和读取新文件来轮询 S3 存储桶。
AWS S3 SQS 模式：Amazon Security Lake 将数据写入 S3，S3 向 SQS 发送新对象的通知，Elastic Agent 从 SQS 接收通知，然后读取 S3 对象。此模式可以使用多个 Agent。

兼容性

编辑

此模块遵循 OCSF 架构版本 v1.1.0。

数据流

编辑

Amazon Security Lake 集成从第三方服务和 AWS 服务收集事件数据流中的日志。

注意

编辑

Amazon Security Lake 集成支持从 AWS 服务和第三方服务收集的事件。
由于 OCSF 架构的性质和结构，此集成在映射的深度方面存在限制。一些重要的对象（如Actor、User 和 Product）具有比其他对象更完善的映射，这些对象在初始 2-3 级嵌套后会被展平，以保持其可维护性并保持在字段映射限制内。这将根据需要进行调整。

要求

编辑

必须安装 Elastic Agent。
需要 Elastic Agent 从 Amazon Security Lake 流式传输数据，并将数据发送到 Elastic，然后通过集成的摄取管道处理事件。

设置

编辑

要从 Amazon Security Lake 收集数据，请按照以下步骤操作

编辑

要启用和启动 Amazon Security Lake，请按照此处提到的步骤操作：https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html。
创建数据湖后，请按照以下步骤创建数据订阅者以使用数据。
- 打开 Security Lake 控制台。
- 使用页面右上角的 AWS 区域选择器，选择要创建订阅者的区域。
- 在导航窗格中，选择 订阅者。
- 在“订阅者”页面上，选择 创建订阅者。
- 对于 订阅者详细信息，输入 订阅者名称 和可选的描述。
- 对于 日志和事件源，选择订阅者有权使用的源。
- 对于 数据访问方法，选择 S3 以设置订阅者的数据访问。
- 对于 订阅者凭证，提供订阅者的 AWS 账户 ID 和 外部 ID。
- 对于 通知详细信息，选择 SQS 队列。
- 选择“创建”。
上述步骤将创建并提供所需的详细信息，例如 IAM 角色/AWS 角色 ID、外部 ID 和队列 URL，以配置 AWS Security Lake 集成。

在 Elastic 中启用集成

编辑

在 Kibana 中，转到“管理”>“集成”。
在“搜索集成”搜索栏中，键入 Amazon Security Lake。image::images/amazon_security_lake/search.png[搜索]
从搜索结果中单击“Amazon Security Lake”集成。
单击“添加 Amazon Security Lake 集成”按钮以添加集成。image::images/amazon_security_lake/home_page.png[主页]
默认情况下，通过 S3 存储桶收集日志的切换按钮将关闭，并通过 AWS SQS 收集日志。
- 队列 URL image::images/amazon_security_lake/queue_url.png[队列 URL]
- 通过 S3 存储桶收集日志已关闭
- 角色 ARN
- 外部 ID image::images/amazon_security_lake/role_arn_and_external_id.png[角色 ARN 和外部 ID]
如果要通过 AWS S3 收集日志，则必须输入以下详细信息
- 存储桶 ARN
- 角色 ARN
- 外部 ID

注意

还有其他输入组合选项可用，请此处。
指标不是 Amazon Security Lake 集成的一部分。
事件包含在 Amazon Security Lake 集成中。
服务检查未纳入 Amazon Security Lake 集成。
要进行故障排除，请确保 AWS 账户中的 IAM 角色具有正确的权限。

日志参考

编辑

事件

编辑

这是 Event 数据集。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集。	constant_keyword
event.message	针对在日志查看器中查看而优化的日志消息。	文本
event.module	事件模块。	constant_keyword
input.type	Filebeat 输入的类型。	关键字
log.flags	日志文件的标志。	关键字
log.offset	日志文件中条目的偏移量。	长整型
ocsf.access_mask	平台本机格式的访问掩码。	长整型
ocsf.action	action_id 的标准化标题。	关键字
ocsf.action_id	控制或其他基于策略的系统所采取的导致结果或处置的操作。在大多数情况下，处置符合 1 允许或 2 拒绝的操作。	整数
ocsf.activity_id	触发事件的活动的标准化标识符。	关键字
ocsf.activity_name	事件活动名称，由 activity_id 定义。	关键字
ocsf.actor.authorizations.decision	授权结果/结果，例如允许、拒绝。	关键字
ocsf.actor.authorizations.policy.desc	策略的描述。	关键字
ocsf.actor.authorizations.policy.group.desc	组描述。	关键字
ocsf.actor.authorizations.policy.group.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.authorizations.policy.group.name	组名称。	关键字
ocsf.actor.authorizations.policy.group.privileges	组权限。	关键字
ocsf.actor.authorizations.policy.group.type	组或帐户的类型。	关键字
ocsf.actor.authorizations.policy.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.authorizations.policy.name	策略名称。例如：IAM 策略。	关键字
ocsf.actor.authorizations.policy.uid	策略实例的唯一标识符。	关键字
ocsf.actor.authorizations.policy.version	策略版本号。	关键字
ocsf.actor.idp.name	身份提供者的名称。	关键字
ocsf.actor.idp.uid	身份提供者的唯一标识符。	关键字
ocsf.actor.invoked_by	事件中描述的调用活动的服务名称。	关键字
ocsf.actor.process.auid	审核子系统在登录时分配的审核用户。	关键字
ocsf.actor.process.cmd_line	用于启动应用程序、服务、进程或作业的完整命令行。	关键字
ocsf.actor.process.container.hash.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.container.hash.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.container.hash.value	数字指纹值。	关键字
ocsf.actor.process.container.image.labels	映像标签。	关键字
ocsf.actor.process.container.image.name	映像名称。	关键字
ocsf.actor.process.container.image.path	映像文件的完整路径。	关键字
ocsf.actor.process.container.image.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.actor.process.container.image.uid	唯一映像 ID。	关键字
ocsf.actor.process.container.name	容器名称。	关键字
ocsf.actor.process.container.network_driver	容器使用的网络驱动程序。例如，桥接、覆盖、主机、无等。	关键字
ocsf.actor.process.container.orchestrator	管理容器的编排器，例如 ECS、EKS、K8s 或 OpenShift。	关键字
ocsf.actor.process.container.pod_uuid	容器正在执行的 pod（或等效项）的唯一标识符。	关键字
ocsf.actor.process.container.runtime	运行容器的后端，例如 containerd 或 cri-o。	关键字
ocsf.actor.process.container.size	容器映像的大小。	长整型
ocsf.actor.process.container.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.actor.process.container.uid	此容器实例的完整容器唯一标识符。	关键字
ocsf.actor.process.created_time	创建/启动进程的时间。	日期
ocsf.actor.process.created_time_dt	创建/启动进程的时间。	日期
ocsf.actor.process.egid	此进程正在运行的有效组。	关键字
ocsf.actor.process.euid	此进程正在运行的有效用户。	关键字
ocsf.actor.process.file.accessed_time	上次访问文件的时间。	日期
ocsf.actor.process.file.accessed_time_dt	上次访问文件的时间。	日期
ocsf.actor.process.file.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.file.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.file.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.file.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.file.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.file.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.file.accessor.groups.desc	组描述。	关键字
ocsf.actor.process.file.accessor.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.accessor.groups.name	组名称。	关键字
ocsf.actor.process.file.accessor.groups.privileges	组权限。	关键字
ocsf.actor.process.file.accessor.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.file.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.file.accessor.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.file.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.file.accessor.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.process.file.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.file.accessor.type_id	帐户类型标识符。	关键字
ocsf.actor.process.file.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.file.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.file.attributes	表示文件属性的位掩码值。	长整型
ocsf.actor.process.file.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.actor.process.file.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.actor.process.file.confidentiality_id	文件内容机密性指示符的规范化标识符。	整数
ocsf.actor.process.file.created_time	文件创建的时间。	日期
ocsf.actor.process.file.created_time_dt	文件创建的时间。	日期
ocsf.actor.process.file.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.file.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.file.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.file.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.file.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.file.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.file.creator.groups.desc	组描述。	关键字
ocsf.actor.process.file.creator.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.creator.groups.name	组名称。	关键字
ocsf.actor.process.file.creator.groups.privileges	组权限。	关键字
ocsf.actor.process.file.creator.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.file.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.file.creator.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.file.creator.name	城市名称。	关键字
ocsf.actor.process.file.creator.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.process.file.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.file.creator.type_id	帐户类型标识符。	关键字
ocsf.actor.process.file.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.file.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.file.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.actor.process.file.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.file.hashes.value	数字指纹值。	关键字
ocsf.actor.process.file.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.actor.process.file.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.actor.process.file.modified_time	上次修改文件的时间。	日期
ocsf.actor.process.file.modified_time_dt	上次修改文件的时间。	日期
ocsf.actor.process.file.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.file.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.file.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.file.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.file.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.modifier.email_addr	映像名称。例如：elixir。	关键字
ocsf.actor.process.file.modifier.full_name	用户的电子邮件地址。	关键字
ocsf.actor.process.file.modifier.groups.desc	组描述。	关键字
ocsf.actor.process.file.modifier.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.modifier.groups.name	组名称。	关键字
ocsf.actor.process.file.modifier.groups.privileges	组权限。	关键字
ocsf.actor.process.file.modifier.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.file.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.file.modifier.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.file.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.file.modifier.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.process.file.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.file.modifier.type_id	帐户类型标识符。	关键字
ocsf.actor.process.file.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.file.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.file.name	文件名称。例如：svchost.exe。	关键字
ocsf.actor.process.file.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.file.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.file.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.file.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.file.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.file.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.file.owner.groups.desc	组描述。	关键字
ocsf.actor.process.file.owner.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.file.owner.groups.name	组名称。	关键字
ocsf.actor.process.file.owner.groups.privileges	组权限。	关键字
ocsf.actor.process.file.owner.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.file.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.file.owner.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.file.owner.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.file.owner.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.process.file.owner.type	该事件发生在个人设备上。用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.file.owner.type_id	帐户类型标识符。	关键字
ocsf.actor.process.file.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.file.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.file.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.actor.process.file.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.actor.process.file.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.actor.process.file.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.actor.process.file.product.name	功能名称。	关键字
ocsf.actor.process.file.product.path	产品的安装路径。	关键字
ocsf.actor.process.file.product.uid	功能的唯一标识符。	关键字
ocsf.actor.process.file.product.url_string	指向产品的 URL。	关键字
ocsf.actor.process.file.product.vendor_name	产品供应商的名称。	关键字
ocsf.actor.process.file.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.actor.process.file.security_descriptor	对象安全描述符。	关键字
ocsf.actor.process.file.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.actor.process.file.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.actor.process.file.signature.certificate.created_time	证书创建的时间。	日期
ocsf.actor.process.file.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.actor.process.file.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.actor.process.file.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.actor.process.file.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.file.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.actor.process.file.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.actor.process.file.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.actor.process.file.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.actor.process.file.signature.certificate.uid	证书的唯一标识符。	关键字
ocsf.actor.process.file.signature.certificate.version	证书版本。	关键字
ocsf.actor.process.file.signature.created_time	数字签名创建的时间。	日期
ocsf.actor.process.file.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.actor.process.file.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.actor.process.file.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.file.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.file.signature.digest.value	数字指纹值。	关键字
ocsf.actor.process.file.size	数据的大小，以字节为单位。	长整型
ocsf.actor.process.file.type	文件类型。	关键字
ocsf.actor.process.file.type_id	文件类型 ID。	关键字
ocsf.actor.process.file.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.actor.process.file.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.actor.process.file.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.actor.process.group.desc	组描述。	关键字
ocsf.actor.process.group.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.group.name	组名称。	关键字
ocsf.actor.process.group.privileges	组权限。	关键字
ocsf.actor.process.group.type	组或帐户的类型。	关键字
ocsf.actor.process.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.integrity	进程完整性级别，已规范化为 direction_id 值的标题。对于其他，由事件源定义（仅限 Windows）。	关键字
ocsf.actor.process.integrity_id	进程完整性级别的规范化标识符（仅限 Windows）。	整数
ocsf.actor.process.lineage	进程的沿袭，由每个祖先进程的路径列表表示。例如：[/usr/sbin/sshd, /usr/bin/bash, /usr/bin/whoami]。	关键字
ocsf.actor.process.loaded_modules	已加载模块名称的列表。	关键字
ocsf.actor.process.name	进程的友好名称，例如：Notepad++。	关键字
ocsf.actor.process.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	长整型
ocsf.actor.process.parent_process.auid	审核子系统在登录时分配的审核用户。	关键字
ocsf.actor.process.parent_process.cmd_line	用于启动应用程序、服务、进程或作业的完整命令行。	关键字
ocsf.actor.process.parent_process.container.hash.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.container.hash.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.parent_process.container.hash.value	数字指纹值。	关键字
ocsf.actor.process.parent_process.container.image.labels	映像标签。	关键字
ocsf.actor.process.parent_process.container.image.name	映像名称。	关键字
ocsf.actor.process.parent_process.container.image.path	映像文件的完整路径。	关键字
ocsf.actor.process.parent_process.container.image.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.actor.process.parent_process.container.image.uid	唯一映像 ID。	关键字
ocsf.actor.process.parent_process.container.name	容器名称。	关键字
ocsf.actor.process.parent_process.container.network_driver	容器使用的网络驱动程序。例如，桥接、覆盖、主机、无等。	关键字
ocsf.actor.process.parent_process.container.orchestrator	管理容器的编排器，例如 ECS、EKS、K8s 或 OpenShift。	关键字
ocsf.actor.process.parent_process.container.pod_uuid	容器正在执行的 pod（或等效项）的唯一标识符。	关键字
ocsf.actor.process.parent_process.container.runtime	运行容器的后端，例如 containerd 或 cri-o。	关键字
ocsf.actor.process.parent_process.container.size	容器映像的大小。	长整型
ocsf.actor.process.parent_process.container.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.actor.process.parent_process.container.uid	此容器实例的完整容器唯一标识符。	关键字
ocsf.actor.process.parent_process.created_time	创建/启动进程的时间。	日期
ocsf.actor.process.parent_process.created_time_dt	创建/启动进程的时间。	日期
ocsf.actor.process.parent_process.egid	此进程正在运行的有效组。	关键字
ocsf.actor.process.parent_process.euid	此进程正在运行的有效用户。	关键字
ocsf.actor.process.parent_process.file.accessed_time	上次访问文件的时间。	日期
ocsf.actor.process.parent_process.file.accessed_time_dt	上次访问文件的时间。	日期
ocsf.actor.process.parent_process.file.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.parent_process.file.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.parent_process.file.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.file.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.parent_process.file.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.desc	组描述。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.name	组名称。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.privileges	组权限。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.file.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.file.accessor.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.parent_process.file.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.parent_process.file.accessor.org.*		对象
ocsf.actor.process.parent_process.file.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.parent_process.file.accessor.type_id	帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.parent_process.file.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.parent_process.file.attributes	表示文件属性的位掩码值。	长整型
ocsf.actor.process.parent_process.file.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.actor.process.parent_process.file.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.actor.process.parent_process.file.confidentiality_id	文件内容机密性指示符的规范化标识符。	整数
ocsf.actor.process.parent_process.file.created_time	文件创建的时间。	日期
ocsf.actor.process.parent_process.file.created_time_dt	文件创建的时间。	日期
ocsf.actor.process.parent_process.file.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.parent_process.file.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.parent_process.file.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.file.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.parent_process.file.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.parent_process.file.creator.groups.desc	组描述。	关键字
ocsf.actor.process.parent_process.file.creator.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.creator.groups.name	组名称。	关键字
ocsf.actor.process.parent_process.file.creator.groups.privileges	组权限。	关键字
ocsf.actor.process.parent_process.file.creator.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.file.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.file.creator.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.parent_process.file.creator.name	城市名称。	关键字
ocsf.actor.process.parent_process.file.creator.org.*		对象
ocsf.actor.process.parent_process.file.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.parent_process.file.creator.type_id	帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.parent_process.file.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.parent_process.file.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.actor.process.parent_process.file.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.parent_process.file.hashes.value	数字指纹值。	关键字
ocsf.actor.process.parent_process.file.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.actor.process.parent_process.file.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.actor.process.parent_process.file.modified_time	上次修改文件的时间。	日期
ocsf.actor.process.parent_process.file.modified_time_dt	上次修改文件的时间。	日期
ocsf.actor.process.parent_process.file.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.parent_process.file.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.parent_process.file.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.file.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.modifier.email_addr	映像名称。例如：elixir。	关键字
ocsf.actor.process.parent_process.file.modifier.full_name	用户的电子邮件地址。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.desc	组描述。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.name	组名称。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.privileges	组权限。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.file.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.file.modifier.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.parent_process.file.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.parent_process.file.modifier.org.*		对象
ocsf.actor.process.parent_process.file.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.parent_process.file.modifier.type_id	帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.parent_process.file.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.parent_process.file.name	文件名称。例如：svchost.exe。	关键字
ocsf.actor.process.parent_process.file.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.parent_process.file.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.parent_process.file.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.file.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.parent_process.file.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.parent_process.file.owner.groups.desc	组描述。	关键字
ocsf.actor.process.parent_process.file.owner.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.file.owner.groups.name	组名称。	关键字
ocsf.actor.process.parent_process.file.owner.groups.privileges	组权限。	关键字
ocsf.actor.process.parent_process.file.owner.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.file.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.file.owner.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.parent_process.file.owner.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.parent_process.file.owner.org.*		对象
ocsf.actor.process.parent_process.file.owner.type	该事件发生在个人设备上。用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.parent_process.file.owner.type_id	帐户类型标识符。	关键字
ocsf.actor.process.parent_process.file.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.parent_process.file.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.parent_process.file.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.actor.process.parent_process.file.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.actor.process.parent_process.file.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.actor.process.parent_process.file.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.actor.process.parent_process.file.product.name	功能名称。	关键字
ocsf.actor.process.parent_process.file.product.path	产品的安装路径。	关键字
ocsf.actor.process.parent_process.file.product.uid	功能的唯一标识符。	关键字
ocsf.actor.process.parent_process.file.product.url_string	指向产品的 URL。	关键字
ocsf.actor.process.parent_process.file.product.vendor_name	产品供应商的名称。	关键字
ocsf.actor.process.parent_process.file.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.actor.process.parent_process.file.security_descriptor	对象安全描述符。	关键字
ocsf.actor.process.parent_process.file.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.actor.process.parent_process.file.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.created_time	证书创建的时间。	日期
ocsf.actor.process.parent_process.file.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.actor.process.parent_process.file.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.actor.process.parent_process.file.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.actor.process.parent_process.file.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.uid	证书的唯一标识符。	关键字
ocsf.actor.process.parent_process.file.signature.certificate.version	证书版本。	关键字
ocsf.actor.process.parent_process.file.signature.created_time	数字签名创建的时间。	日期
ocsf.actor.process.parent_process.file.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.actor.process.parent_process.file.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.actor.process.parent_process.file.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.file.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.actor.process.parent_process.file.signature.digest.value	数字指纹值。	关键字
ocsf.actor.process.parent_process.file.size	数据的大小，以字节为单位。	长整型
ocsf.actor.process.parent_process.file.type	文件类型。	关键字
ocsf.actor.process.parent_process.file.type_id	文件类型 ID。	关键字
ocsf.actor.process.parent_process.file.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.actor.process.parent_process.file.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.actor.process.parent_process.file.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.actor.process.parent_process.group.desc	组描述。	关键字
ocsf.actor.process.parent_process.group.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.group.name	组名称。	关键字
ocsf.actor.process.parent_process.group.privileges	组权限。	关键字
ocsf.actor.process.parent_process.group.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.integrity	进程完整性级别，已规范化为 direction_id 值的标题。对于其他，由事件源定义（仅限 Windows）。	关键字
ocsf.actor.process.parent_process.integrity_id	进程完整性级别的规范化标识符（仅限 Windows）。	整数
ocsf.actor.process.parent_process.lineage	进程的沿袭，由每个祖先进程的路径列表表示。例如：[/usr/sbin/sshd, /usr/bin/bash, /usr/bin/whoami]。	关键字
ocsf.actor.process.parent_process.loaded_modules	已加载模块名称的列表。	关键字
ocsf.actor.process.parent_process.name	进程的友好名称，例如：Notepad++。	关键字
ocsf.actor.process.parent_process.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	长整型
ocsf.actor.process.parent_process.parent_process	此进程对象的父进程。建议仅为第一个进程对象填充此字段，以防止深度嵌套。	已扁平化
ocsf.actor.process.parent_process.parent_process_keyword		关键字
ocsf.actor.process.parent_process.pid	操作系统报告的进程标识符。进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。	长整型
ocsf.actor.process.parent_process.sandbox	容器（即沙箱）的名称。例如，hardened_ps、high_security_ps、oracle_ps、netsvcs_ps 或 default_ps。	关键字
ocsf.actor.process.parent_process.session.created_time	会话创建的时间。	日期
ocsf.actor.process.parent_process.session.created_time_dt	会话创建的时间。	日期
ocsf.actor.process.parent_process.session.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.session.expiration_time	会话过期时间。	日期
ocsf.actor.process.parent_process.session.expiration_time_dt	会话过期时间。	日期
ocsf.actor.process.parent_process.session.is_remote	指示会话是否为远程会话。	布尔值
ocsf.actor.process.parent_process.session.issuer	会话颁发者的标识符。	关键字
ocsf.actor.process.parent_process.session.mfa		布尔值
ocsf.actor.process.parent_process.session.terminal	与会话关联的伪终端。例如，tty 或 pts 值。	关键字
ocsf.actor.process.parent_process.session.uid	会话的唯一标识符。	关键字
ocsf.actor.process.parent_process.session.uuid	会话的通用唯一标识符。	关键字
ocsf.actor.process.parent_process.terminated_time	进程终止的时间。	日期
ocsf.actor.process.parent_process.terminated_time_dt	进程终止的时间。	日期
ocsf.actor.process.parent_process.tid	操作系统返回的与事件关联的线程标识符。	长整型
ocsf.actor.process.parent_process.uid	生产者（工具）为此进程分配的唯一标识符。有助于将进程事件与该进程的其他事件关联起来。	关键字
ocsf.actor.process.parent_process.user.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.parent_process.user.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.parent_process.user.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.parent_process.user.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.parent_process.user.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.parent_process.user.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.user.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.parent_process.user.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.parent_process.user.groups.desc	组描述。	关键字
ocsf.actor.process.parent_process.user.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.parent_process.user.groups.name	组名称。	关键字
ocsf.actor.process.parent_process.user.groups.privileges	组权限。	关键字
ocsf.actor.process.parent_process.user.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.parent_process.user.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.parent_process.user.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.process.parent_process.user.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.parent_process.user.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.process.parent_process.user.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.parent_process.user.type_id	帐户类型标识符。	关键字
ocsf.actor.process.parent_process.user.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.parent_process.user.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.parent_process.xattributes	表示进程扩展属性的零个或多个名称/值对的无序集合。	已扁平化
ocsf.actor.process.pid	操作系统报告的进程标识符。进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。	长整型
ocsf.actor.process.sandbox	容器（即沙箱）的名称。例如，hardened_ps、high_security_ps、oracle_ps、netsvcs_ps 或 default_ps。	关键字
ocsf.actor.process.session.created_time	会话创建的时间。	日期
ocsf.actor.process.session.created_time_dt	会话创建的时间。	日期
ocsf.actor.process.session.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.session.expiration_time	会话过期时间。	日期
ocsf.actor.process.session.expiration_time_dt	会话过期时间。	日期
ocsf.actor.process.session.is_remote	指示会话是否为远程会话。	布尔值
ocsf.actor.process.session.issuer	会话颁发者的标识符。	关键字
ocsf.actor.process.session.mfa		布尔值
ocsf.actor.process.session.terminal	与会话关联的伪终端。例如，tty 或 pts 值。	关键字
ocsf.actor.process.session.uid	会话的唯一标识符。	关键字
ocsf.actor.process.session.uuid	会话的通用唯一标识符。	关键字
ocsf.actor.process.terminated_time	进程终止的时间。	日期
ocsf.actor.process.terminated_time_dt	进程终止的时间。	日期
ocsf.actor.process.tid	操作系统返回的与事件关联的线程标识符。	长整型
ocsf.actor.process.uid	生产者（工具）为此进程分配的唯一标识符。有助于将进程事件与该进程的其他事件关联起来。	关键字
ocsf.actor.process.user.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.process.user.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.process.user.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.process.user.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.process.user.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.process.user.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.user.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.process.user.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.process.user.groups.desc	组描述。	关键字
ocsf.actor.process.user.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.process.user.groups.name	组名称。	关键字
ocsf.actor.process.user.groups.privileges	组权限。	关键字
ocsf.actor.process.user.groups.type	组或帐户的类型。	关键字
ocsf.actor.process.user.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.process.user.name	用户名。例如，janedoe1。	关键字
ocsf.actor.process.user.org.*		对象
ocsf.actor.process.user.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.process.user.type_id	帐户类型标识符。	关键字
ocsf.actor.process.user.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.process.user.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actor.process.xattributes	表示进程扩展属性的零个或多个名称/值对的无序集合。	已扁平化
ocsf.actor.session.count	在一段时间内，从同一源 IP、目标 IP、应用程序和内容/威胁类型中产生的相同会话数。	整数
ocsf.actor.session.created_time	会话创建的时间。	日期
ocsf.actor.session.created_time_dt	会话创建的时间。	日期
ocsf.actor.session.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.session.expiration_reason	触发会话过期的原因。	关键字
ocsf.actor.session.expiration_time	会话过期时间。	日期
ocsf.actor.session.expiration_time_dt	会话过期时间。	日期
ocsf.actor.session.is_mfa	指示身份验证期间是否使用了多因素身份验证。	布尔值
ocsf.actor.session.is_remote	指示会话是否为远程会话。	布尔值
ocsf.actor.session.is_vpn	指示会话是否为 VPN 会话。	布尔值
ocsf.actor.session.issuer	会话颁发者的标识符。	关键字
ocsf.actor.session.mfa		布尔值
ocsf.actor.session.terminal	与会话关联的伪终端。例如，tty 或 pts 值。	关键字
ocsf.actor.session.uid	会话的唯一标识符。	关键字
ocsf.actor.session.uid_alt	会话的备用唯一标识符。例如，AWS ARN - arn:aws:sts::123344444444:assumed-role/Admin/example-session。	关键字
ocsf.actor.session.uuid	会话的通用唯一标识符。	关键字
ocsf.actor.user.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.actor.user.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.actor.user.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.actor.user.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.actor.user.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.actor.user.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.actor.user.email_addr	用户的电子邮件地址。	关键字
ocsf.actor.user.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.actor.user.groups.desc	组描述。	关键字
ocsf.actor.user.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.actor.user.groups.name	组名称。	关键字
ocsf.actor.user.groups.privileges	组权限。	关键字
ocsf.actor.user.groups.type	组或帐户的类型。	关键字
ocsf.actor.user.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.actor.user.ldap_person	用户的 LDAP 属性。	已扁平化
ocsf.actor.user.name	用户名。例如，janedoe1。	关键字
ocsf.actor.user.org.*	与用户相关的组织和组织单元。	对象
ocsf.actor.user.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.actor.user.type_id	帐户类型标识符。	关键字
ocsf.actor.user.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.actor.user.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.actual_permissions	以平台原生格式授予的权限。	长整型
ocsf.analytic.category	分析类别。	关键字
ocsf.analytic.desc	生成发现结果的分析的描述。	关键字
ocsf.analytic.name	生成发现结果的分析的名称。	关键字
ocsf.analytic.related_analytics.category	分析类别。	关键字
ocsf.analytic.related_analytics.desc	生成发现结果的分析的描述。	关键字
ocsf.analytic.related_analytics.name	生成发现结果的分析的名称。	关键字
ocsf.analytic.related_analytics.related_analytics		已扁平化
ocsf.analytic.related_analytics.type	分析类型。	关键字
ocsf.analytic.related_analytics.type_id	分析类型 ID。	关键字
ocsf.analytic.related_analytics.uid	生成发现结果的分析的唯一标识符。	关键字
ocsf.analytic.related_analytics.version	分析版本。例如：1.1。	关键字
ocsf.analytic.type	分析类型。	关键字
ocsf.analytic.type_id	分析类型 ID。	关键字
ocsf.analytic.uid	生成发现结果的分析的唯一标识符。	关键字
ocsf.analytic.version	分析版本。例如：1.1。	关键字
ocsf.answers.class	此资源记录中包含的 DNS 数据类别。请参阅 RFC1035。例如：IN。	关键字
ocsf.answers.flag_ids	DNS 响应头标志 ID 的列表。	关键字
ocsf.answers.flags	DNS 响应头标志的列表。	关键字
ocsf.answers.packet_uid	生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。	关键字
ocsf.answers.rdata	描述 DNS 资源的数据。此数据的含义取决于资源记录的类型和类别。	关键字
ocsf.answers.ttl	资源记录可以被缓存的时间间隔。零值表示资源记录只能用于正在进行的事务，不应被缓存。	长整型
ocsf.answers.type	此资源记录中包含的数据类型。请参阅 RFC1035。例如：CNAME。	关键字
ocsf.api.group.desc	组描述。	文本
ocsf.api.group.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.api.group.name	组名称。	关键字
ocsf.api.group.privileges	组权限。	关键字
ocsf.api.group.type	组或帐户的类型。	关键字
ocsf.api.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.api.operation	与请求关联的动词/操作。	关键字
ocsf.api.request.containers.hash	为 Docker 创建的镜像的 Commit 哈希值或容器的 SHA256 哈希值。	已扁平化
ocsf.api.request.containers.image	用作运行容器模板的容器镜像。	已扁平化
ocsf.api.request.containers.name	容器名称。	关键字
ocsf.api.request.containers.network_driver	容器使用的网络驱动程序。例如，桥接、覆盖、主机、无等。	关键字
ocsf.api.request.containers.orchestrator	管理容器的编排器，例如 ECS、EKS、K8s 或 OpenShift。	关键字
ocsf.api.request.containers.pod_uuid	容器正在执行的 pod（或等效项）的唯一标识符。	关键字
ocsf.api.request.containers.runtime	运行容器的后端，例如 containerd 或 cri-o。	关键字
ocsf.api.request.containers.size	容器映像的大小。	整数
ocsf.api.request.containers.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.api.request.containers.uid	此容器实例的完整容器唯一标识符。	关键字
ocsf.api.request.data	与 API 请求关联的附加数据。	已扁平化
ocsf.api.request.flags	通信标志列表，已归一化为 flag_ids 值的标题。	关键字
ocsf.api.request.uid	唯一的请求标识符。	关键字
ocsf.api.response.code	发送给请求的数字响应。	整数
ocsf.api.response.containers.hash	为 Docker 创建的镜像的 Commit 哈希值或容器的 SHA256 哈希值。	已扁平化
ocsf.api.response.containers.image	用作运行容器模板的容器镜像。	已扁平化
ocsf.api.response.containers.name	容器名称。	关键字
ocsf.api.response.containers.network_driver	容器使用的网络驱动程序。例如，桥接、覆盖、主机、无等。	关键字
ocsf.api.response.containers.orchestrator	管理容器的编排器，例如 ECS、EKS、K8s 或 OpenShift。	关键字
ocsf.api.response.containers.pod_uuid	容器正在执行的 pod（或等效项）的唯一标识符。	关键字
ocsf.api.response.containers.runtime	运行容器的后端，例如 containerd 或 cri-o。	关键字
ocsf.api.response.containers.size	容器映像的大小。	整数
ocsf.api.response.containers.tag	容器使用的标签。它可以指示版本、格式、操作系统。	关键字
ocsf.api.response.containers.uid	此容器实例的完整容器唯一标识符。	关键字
ocsf.api.response.data	与 API 响应关联的附加数据。	已扁平化
ocsf.api.response.error	错误代码。	关键字
ocsf.api.response.error_message	错误消息。	文本
ocsf.api.response.flags	通信标志列表，已归一化为 flag_ids 值的标题。	关键字
ocsf.api.response.message	由源定义的事件/发现的描述。	文本
ocsf.api.service.labels	与服务关联的标签列表。	关键字
ocsf.api.service.name	服务的名称。	关键字
ocsf.api.service.uid	服务的唯一标识符。	关键字
ocsf.api.service.version	服务的版本。	关键字
ocsf.api.version	API 服务的版本。	关键字
ocsf.app.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.app.lang	由 ISO 639-1 定义的两位小写字母语言代码。	关键字
ocsf.app.name	CIS 基准名称。	关键字
ocsf.app.path	产品的安装路径。	关键字
ocsf.app.uid	产品的唯一标识符。	关键字
ocsf.app.url_string	指向产品的 URL。	关键字
ocsf.app.vendor_name	产品供应商的名称。	关键字
ocsf.app.version	由事件源定义的产品版本。	关键字
ocsf.app_name	与事件或对象关联的应用程序的名称。	关键字
ocsf.assignee	分配给事件的用户详细信息。	已扁平化
ocsf.assignee_group	分配给事件的组详细信息。	已扁平化
ocsf.attacks.tactics.name	与攻击技术关联的战术名称，如 ATT&CK MatrixTM 定义。	关键字
ocsf.attacks.tactics.uid	与攻击技术关联的战术 ID，如 ATT&CK MatrixTM 定义。	关键字
ocsf.attacks.technique.name	攻击技术的名称，如 ATT&CK MatrixTM 定义。例如：Drive-by Compromise（路过式入侵）。	关键字
ocsf.attacks.technique.uid	攻击技术的唯一标识符，如 ATT&CK MatrixTM 定义。例如：T1189。	关键字
ocsf.attacks.version	ATT&CK Matrix 版本。	关键字
ocsf.attempt	尝试传递电子邮件的尝试次数。	长整型
ocsf.auth_protocol	身份验证协议，由 auth_protocol_id 的标题定义。如果为 Other，则由事件源定义。	关键字
ocsf.auth_protocol_id	用于创建用户会话的身份验证协议的规范化标识符。	关键字
ocsf.authorizations.decision	授权结果/结果，例如允许、拒绝。	关键字
ocsf.authorizations.policy.desc	策略的描述。	关键字
ocsf.authorizations.policy.group.desc	组描述。	关键字
ocsf.authorizations.policy.group.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.authorizations.policy.group.name	组名称。	关键字
ocsf.authorizations.policy.group.privileges	组权限。	关键字
ocsf.authorizations.policy.group.type	组或帐户的类型。	关键字
ocsf.authorizations.policy.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.authorizations.policy.name	策略名称。例如：IAM 策略。	关键字
ocsf.authorizations.policy.uid	策略实例的唯一标识符。	关键字
ocsf.authorizations.policy.version	策略版本号。	关键字
ocsf.banner	消息服务器连接到电子邮件服务器后收到的初始 SMTP 连接响应。	关键字
ocsf.base_address	已访问或请求的内存地址。	关键字
ocsf.capabilities	RDP 功能的列表。	关键字
ocsf.category_name	事件类别名称，由 category_uid 值定义：身份和访问管理。	关键字
ocsf.category_uid	事件的类别唯一标识符。3 身份和访问管理身份和访问管理 (IAM) 事件与系统身份验证和访问控制模型的监督相关。此类事件的示例包括身份验证的成功或失败、授权授予、密码更改、实体更改、特权使用等。	关键字
ocsf.certificate.created_time	证书创建的时间。	日期
ocsf.certificate.created_time_dt	证书创建的时间。	日期
ocsf.certificate.expiration_time	证书的到期时间。	日期
ocsf.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.certificate.version	证书版本。	关键字
ocsf.certificate_chain	RDP TLS 连接中观察到的证书列表。	关键字
ocsf.cis_benchmark_result.desc	CIS 基准描述。	关键字
ocsf.cis_benchmark_result.name	CIS 基准名称。	关键字
ocsf.cis_benchmark_result.remediation.desc	补救策略的描述。	关键字
ocsf.cis_benchmark_result.remediation.kb_article_list	与端点相关的知识库文章或补丁列表。	已扁平化
ocsf.cis_benchmark_result.remediation.kb_articles	与实体相关的知识库文章。	关键字
ocsf.cis_benchmark_result.remediation.references	支持补救策略描述的 URL/参考列表。	关键字
ocsf.cis_benchmark_result.rule.category	规则类别。	关键字
ocsf.cis_benchmark_result.rule.desc	生成事件的规则的描述。	关键字
ocsf.cis_benchmark_result.rule.name	生成事件的规则的名称。	关键字
ocsf.cis_benchmark_result.rule.type	规则类型。	关键字
ocsf.cis_benchmark_result.rule.uid	生成事件的规则的唯一标识符。	关键字
ocsf.cis_benchmark_result.rule.version	规则版本。	关键字
ocsf.cis_csc.control	CIS 关键安全控制。	关键字
ocsf.cis_csc.version	CIS 关键安全控制版本。	关键字
ocsf.class_name	事件类名称，由 class_uid 值定义：安全发现。	关键字
ocsf.class_uid	类的唯一标识符。类描述事件中可用的属性。2001 安全发现安全发现事件描述安全产品执行的发现、检测、异常、警报和/或操作。	关键字
ocsf.client_dialects	客户端所使用的 SMB 协议版本列表。	关键字
ocsf.client_hassh.algorithm	密钥交换、加密、身份验证和压缩算法的串联（以 ; 分隔）。注意：这不是哈希实现的基础算法。	关键字
ocsf.client_hassh.fingerprint.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.client_hassh.fingerprint.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.client_hassh.fingerprint.value	数字指纹值。	关键字
ocsf.cloud.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.cloud.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.cloud.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.cloud.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.cloud.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.cloud.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.cloud.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.cloud.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.cloud.project_uid	云项目的唯一标识符。	关键字
ocsf.cloud.provider	云服务提供商的唯一名称，例如 AWS、MS Azure、GCP 等。	关键字
ocsf.cloud.region	云区域的名称，由云提供商定义。	关键字
ocsf.cloud.zone	云区域中的可用区，由云提供商定义。	关键字
ocsf.codes	FTP 命令的返回代码列表。	长整型
ocsf.command	命令名称。	关键字
ocsf.command_responses	FTP 命令的响应列表。	关键字
ocsf.command_uid	与此扫描事件关联的命令标识符。此 ID 唯一标识主动扫描命令，例如，如果远程启动。	关键字
ocsf.comment	用户提供的关于实体为何更改的评论。	关键字
ocsf.compliance.control	控制是一组规范的、优先的、简化的最佳实践，可用于加强其网络安全态势。例如，AWS SecurityHub 控制、CIS 控制。	关键字
ocsf.compliance.requirements	与行业或监管框架中的特定控制相关的要求列表。例如，NIST.800-53.r5 AU-10。	关键字
ocsf.compliance.standards	安全标准是组织可以遵循的一组标准，用于保护敏感和机密信息。例如，NIST SP 800-53、CIS AWS Foundations Benchmark v1.4.0、ISO/IEC 27001。	关键字
ocsf.compliance.status	合规性检查的结果状态，已归一化为 status_id 值的标题。如果为 Other，则由事件源定义。	关键字
ocsf.compliance.status_code	合规性检查的结果状态代码。	关键字
ocsf.compliance.status_detail	状态、status_code 值的上下文描述。	文本
ocsf.compliance.status_id	合规性检查的规范化状态标识符。	整数
ocsf.component	数据对象的子组件的名称或相对路径名（如果适用）。	关键字
ocsf.confidence	置信度，已归一化为 confidence_id 值的标题。如果为 Other，则由事件源定义。	关键字
ocsf.confidence_id	归一化置信度指的是创建该发现的规则的准确性。置信度较低的规则意味着发现范围较广，可能会创建本质上并非恶意的发现报告。	关键字
ocsf.confidence_score	事件源报告的置信度评分。	长整型
ocsf.connection_info.boundary	连接的边界，已归一化为boundary_id的标题。在其他的情况下，由事件源定义。对于云连接，这转化为流量边界（同一 VPC、通过 IGW 等）。对于传统网络，这被描述为本地、内部或外部。	关键字
ocsf.connection_info.boundary_id	连接边界的归一化标识符。对于云连接，这转化为流量边界（同一 VPC、通过 IGW 等）。对于传统网络，这被描述为本地、内部或外部。	关键字
ocsf.connection_info.direction	发起连接、流量或电子邮件的方向，已归一化为 direction_id 值的标题。在其他的情况下，由事件源定义。	关键字
ocsf.connection_info.direction_id	发起连接、流量或电子邮件的方向的归一化标识符。	关键字
ocsf.connection_info.protocol_name	小写的 TCP/IP 协议名称，由互联网号码分配机构 (IANA) 定义。请参阅协议号。例如：tcp 或 udp。	关键字
ocsf.connection_info.protocol_num	TCP/IP 协议号，由互联网号码分配机构 (IANA) 定义。如果协议未由 IANA 定义，请使用 -1。请参阅协议号。例如：TCP 为 6，UDP 为 17。	关键字
ocsf.connection_info.protocol_ver	互联网协议版本。	关键字
ocsf.connection_info.protocol_ver_id	互联网协议版本标识符。	关键字
ocsf.connection_info.tcp_flags	网络连接 TCP 标头标志（即，控制位）。	长整型
ocsf.connection_info.uid	连接的唯一标识符。	关键字
ocsf.connection_uid	网络连接标识符。	关键字
ocsf.count	在事件开始时间到结束时间期间，同一逻辑组中发生事件的次数。	长整型
ocsf.create_mask	创建对象所需的原始 Windows 掩码。	关键字
ocsf.data_sources	发现的数据源。	关键字
ocsf.database	数据库对象用于数据库，数据库通常是包含结构化和非结构化数据或数据类型的有组织集合的数据存储服务。	已扁平化
ocsf.databucket	数据存储桶对象是一个基本容器，用于保存数据，通常通过使用数据分区进行组织。	已扁平化
ocsf.dce_rpc.command	请求命令（例如，REQUEST、BIND）。	关键字
ocsf.dce_rpc.command_response	对请求命令的回复（例如，RESPONSE、BINDACK 或 FAULT）。	关键字
ocsf.dce_rpc.flags	接口标志列表。	关键字
ocsf.dce_rpc.opnum	用于标识特定远程过程调用 (RPC) 方法或接口中方法的运算编号。	长整型
ocsf.dce_rpc.rpc_interface.ack_reason	一个整数，提供有关确认结果的原因代码或其他信息。	长整型
ocsf.dce_rpc.rpc_interface.ack_result	一个整数，表示 DCE/RPC 调用的确认结果。	长整型
ocsf.dce_rpc.rpc_interface.uuid	特定远程过程或服务的唯一标识符。	关键字
ocsf.dce_rpc.rpc_interface.version	会话中使用的 DCE/RPC 协议的版本。	关键字
ocsf.desc	事件的简短描述。	关键字
ocsf.device.autoscale_uid	云自动缩放配置的唯一标识符。	关键字
ocsf.device.container	描述容器实例的信息。	已扁平化
ocsf.device.created_time	已知创建设备的时间。	日期
ocsf.device.created_time_dt	已知创建设备的时间。	日期
ocsf.device.desc	设备的描述，通常由操作系统报告。	关键字
ocsf.device.domain	设备所在的网络域。例如：work.example.com。	关键字
ocsf.device.first_seen_time	设备的初始发现时间。	日期
ocsf.device.first_seen_time_dt	设备的初始发现时间。	日期
ocsf.device.groups.desc	组描述。	关键字
ocsf.device.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.device.groups.name	组名称。	关键字
ocsf.device.groups.privileges	组权限。	关键字
ocsf.device.groups.type	组或帐户的类型。	关键字
ocsf.device.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.device.hostname	设备名称。	关键字
ocsf.device.hw_info.bios_date	BIOS 日期。例如：03/31/16。	关键字
ocsf.device.hw_info.bios_manufacturer	BIOS 制造商。例如：LENOVO。	关键字
ocsf.device.hw_info.bios_ver	BIOS 版本。例如：LENOVO G5ETA2WW (2.62)。	关键字
ocsf.device.hw_info.chassis	机箱类型描述系统外壳或物理外形。例如，以下 Windows 机箱类型示例。	关键字
ocsf.device.hw_info.cpu_bits	CPU 架构，用于在内存中寻址的位数。例如：32 或 64。	长整型
ocsf.device.hw_info.cpu_cores	所有已安装处理器中的处理器内核数。例如：42。	长整型
ocsf.device.hw_info.cpu_count	系统上的物理处理器数量。例如：1。	长整型
ocsf.device.hw_info.cpu_speed	处理器的速度，以 MHz 为单位。例如：4200。	长整型
ocsf.device.hw_info.cpu_type	处理器类型。例如：x86 Family 6 Model 37 Stepping 5。	关键字
ocsf.device.hw_info.desktop_display.color_depth	数字颜色深度。	长整型
ocsf.device.hw_info.desktop_display.physical_height	显示器的数字物理高度。	长整型
ocsf.device.hw_info.desktop_display.physical_orientation	显示器的数字物理方向。	长整型
ocsf.device.hw_info.desktop_display.physical_width	显示器的数字物理宽度。	长整型
ocsf.device.hw_info.desktop_display.scale_factor	显示器的数字比例因子。	长整型
ocsf.device.hw_info.keyboard_info.function_keys	客户端键盘上的功能键数量。	长整型
ocsf.device.hw_info.keyboard_info.ime	输入法编辑器 (IME) 文件名。	关键字
ocsf.device.hw_info.keyboard_info.keyboard_layout	键盘区域设置标识符名称（例如，en-US）。	关键字
ocsf.device.hw_info.keyboard_info.keyboard_subtype	键盘数字代码。	长整型
ocsf.device.hw_info.keyboard_info.keyboard_type	键盘类型（例如，xt、ico）。	关键字
ocsf.device.hw_info.ram_size	已安装 RAM 的总量，以兆字节为单位。例如：2048。	长整型
ocsf.device.hw_info.serial_number	设备制造商序列号。	关键字
ocsf.device.hypervisor	设备上运行的虚拟机监控程序的名称。例如，Xen、VMware、Hyper-V、VirtualBox 等。	关键字
ocsf.device.image.labels	映像标签。	关键字
ocsf.device.image.name	映像名称。例如：elixir。	关键字
ocsf.device.image.path	映像文件的完整路径。	关键字
ocsf.device.image.tag	镜像标签。例如：1.11-alpine。	关键字
ocsf.device.image.uid	唯一镜像 ID。例如：77af4d6b9913。	关键字
ocsf.device.imei	与设备关联的国际移动设备识别码。	关键字
ocsf.device.instance_uid	VM 实例的唯一标识符。	关键字
ocsf.device.interface_name	网络接口的名称（例如，eth2）。	关键字
ocsf.device.interface_uid	网络接口的唯一标识符。	关键字
ocsf.device.ip	设备的 IP 地址，采用 IPv4 或 IPv6 格式。	ip
ocsf.device.is_compliant	事件发生在合规设备上。	布尔值
ocsf.device.is_managed	事件发生在托管设备上。	布尔值
ocsf.device.is_personal	事件发生在个人设备上。	布尔值
ocsf.device.is_trusted	事件发生在受信任的设备上。	布尔值
ocsf.device.last_seen_time	设备最近的发现时间。	日期
ocsf.device.last_seen_time_dt	设备最近的发现时间。	日期
ocsf.device.location.city	城市名称。	关键字
ocsf.device.location.continent	大洲的名称。	关键字
ocsf.device.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.device.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.device.location.desc	地理位置的描述。	关键字
ocsf.device.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.device.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.device.location.postal_code	位置的邮政编码。	关键字
ocsf.device.location.provider	地理位置数据的提供商。	关键字
ocsf.device.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.device.mac	设备的媒体访问控制 (MAC) 地址。	关键字
ocsf.device.modified_time	已知上次修改设备的时间。	日期
ocsf.device.modified_time_dt	已知上次修改设备的时间。	日期
ocsf.device.name	备用设备名称，通常由管理员分配。名称可以是任何其他有助于标识设备的字符串，例如电话号码；例如 310-555-1234。	关键字
ocsf.device.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	整数
ocsf.device.network_interfaces.hostname	与网络接口关联的主机名。	关键字
ocsf.device.network_interfaces.ip	与网络接口关联的 IP 地址。	ip
ocsf.device.network_interfaces.mac	网络接口的 MAC 地址。	关键字
ocsf.device.network_interfaces.name	网络接口的名称。	关键字
ocsf.device.network_interfaces.namespace	命名空间在合并或收购情况下很有用。例如，当存在需要分开的类似实体时。	关键字
ocsf.device.network_interfaces.subnet_prefix	子网前缀长度确定用于表示 IP 地址网络部分的位数。剩余的位保留用于标识该子网内的各个主机。	长整型
ocsf.device.network_interfaces.type	网络接口的类型。	关键字
ocsf.device.network_interfaces.type_id	网络接口类型标识符。	关键字
ocsf.device.network_interfaces.uid	网络接口的唯一标识符。	关键字
ocsf.device.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.device.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.device.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.device.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.device.os.build	操作系统版本号。	关键字
ocsf.device.os.country	操作系统国家/地区代码，由 ISO 3166-1 标准（Alpha-2 代码）定义。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。	关键字
ocsf.device.os.cpu_bits	CPU 架构，用于在内存中寻址的位数。例如，32 或 64。	长整型
ocsf.device.os.edition	操作系统版本。例如，Professional。	关键字
ocsf.device.os.lang	由 ISO 639-1 定义的两位小写字母语言代码。	关键字
ocsf.device.os.name	操作系统名称。	关键字
ocsf.device.os.sp_name	最新服务包的名称。	关键字
ocsf.device.os.sp_ver	最新服务包的版本号。	关键字
ocsf.device.os.type	操作系统的类型。	关键字
ocsf.device.os.type_id	操作系统的类型标识符。	关键字
ocsf.device.os.version	在事件发起的设备上运行的操作系统版本。例如，“Windows 10”、“OS X 10.7”或“iOS 9”。	关键字
ocsf.device.region	虚拟机所在的区域。例如，AWS 区域。	关键字
ocsf.device.risk_level	风险级别，已规范化为 risk_level_id 值的标题。对于其他情况，由事件源定义。	关键字
ocsf.device.risk_level_id	规范化的风险级别 ID。	关键字
ocsf.device.risk_score	事件源报告的风险评分。	长整型
ocsf.device.subnet	子网掩码。	ip_range
ocsf.device.subnet_uid	虚拟子网的唯一标识符。	关键字
ocsf.device.type	设备类型。例如，未知、服务器、台式机、笔记本电脑、平板电脑、移动设备、虚拟设备、浏览器或其他。	关键字
ocsf.device.type_id	设备类型 ID。	关键字
ocsf.device.uid	设备的唯一标识符。例如，Windows TargetSID 或 AWS EC2 ARN。	关键字
ocsf.device.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.device.vlan_uid	虚拟 LAN 标识符。	关键字
ocsf.device.vpc_uid	虚拟私有云 (VPC) 的唯一标识符。	关键字
ocsf.device.zone	网络区域或 LAN 网段。	关键字
ocsf.dialect	协商的协议方言。	关键字
ocsf.direction	电子邮件的方向，由 direction_id 值定义。	关键字
ocsf.direction_id	电子邮件相对于扫描主机或组织的方向。	关键字
ocsf.disposition	事件处置名称，已规范化为 disposition_id 值的标题。对于其他情况，由事件源定义。	关键字
ocsf.disposition_id	当检测到安全问题（如恶意软件或策略违规）并可能已纠正时，disposition_id 描述安全产品采取的操作。	关键字
ocsf.driver.file.accessed_time	上次访问文件的时间。	日期
ocsf.driver.file.accessed_time_dt	上次访问文件的时间。	日期
ocsf.driver.file.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.driver.file.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.driver.file.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.driver.file.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.driver.file.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.driver.file.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.driver.file.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.driver.file.accessor.groups.desc	组描述。	关键字
ocsf.driver.file.accessor.groups.name	组名称。	关键字
ocsf.driver.file.accessor.groups.privileges	组权限。	关键字
ocsf.driver.file.accessor.groups.type	组或帐户的类型。	关键字
ocsf.driver.file.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.driver.file.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.driver.file.accessor.org.*		对象
ocsf.driver.file.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.driver.file.accessor.type_id	帐户类型标识符。	关键字
ocsf.driver.file.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.driver.file.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.driver.file.attributes	表示文件属性的位掩码值。	长整型
ocsf.driver.file.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.driver.file.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.driver.file.confidentiality_id	文件内容机密性指示符的规范化标识符。	关键字
ocsf.driver.file.created_time	文件创建的时间。	日期
ocsf.driver.file.created_time_dt	文件创建的时间。	日期
ocsf.driver.file.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.driver.file.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.driver.file.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.driver.file.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.driver.file.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.driver.file.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.driver.file.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.driver.file.creator.groups.desc	组描述。	关键字
ocsf.driver.file.creator.groups.name	组名称。	关键字
ocsf.driver.file.creator.groups.privileges	组权限。	关键字
ocsf.driver.file.creator.groups.type	组或帐户的类型。	关键字
ocsf.driver.file.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.driver.file.creator.name	用户名。例如，janedoe1。	关键字
ocsf.driver.file.creator.org.*		对象
ocsf.driver.file.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.driver.file.creator.type_id	帐户类型标识符。	关键字
ocsf.driver.file.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.driver.file.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.driver.file.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.driver.file.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.driver.file.hashes.value	数字指纹值。	关键字
ocsf.driver.file.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.driver.file.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.driver.file.modified_time	上次修改文件的时间。	日期
ocsf.driver.file.modified_time_dt	上次修改文件的时间。	日期
ocsf.driver.file.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.driver.file.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.driver.file.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.driver.file.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.driver.file.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.driver.file.modifier.email_addr	用户的电子邮件地址。	关键字
ocsf.driver.file.modifier.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.driver.file.modifier.groups.desc	组描述。	关键字
ocsf.driver.file.modifier.groups.name	组名称。	关键字
ocsf.driver.file.modifier.groups.privileges	组权限。	关键字
ocsf.driver.file.modifier.groups.type	组或帐户的类型。	关键字
ocsf.driver.file.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.driver.file.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.driver.file.modifier.org.*		对象
ocsf.driver.file.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.driver.file.modifier.type_id	帐户类型标识符。	关键字
ocsf.driver.file.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.driver.file.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.driver.file.name	文件名称。例如：svchost.exe。	关键字
ocsf.driver.file.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.driver.file.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.driver.file.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.driver.file.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.driver.file.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.driver.file.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.driver.file.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.driver.file.owner.groups.desc	组描述。	关键字
ocsf.driver.file.owner.groups.name	组名称。	关键字
ocsf.driver.file.owner.groups.privileges	组权限。	关键字
ocsf.driver.file.owner.groups.type	组或帐户的类型。	关键字
ocsf.driver.file.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.driver.file.owner.name	用户名。例如，janedoe1。	关键字
ocsf.driver.file.owner.org.*		对象
ocsf.driver.file.owner.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.driver.file.owner.type_id	帐户类型标识符。	关键字
ocsf.driver.file.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.driver.file.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.driver.file.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.driver.file.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.driver.file.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.driver.file.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.driver.file.product.name	产品的名称。	关键字
ocsf.driver.file.product.path	产品的安装路径。	关键字
ocsf.driver.file.product.uid	产品的唯一标识符。	关键字
ocsf.driver.file.product.vendor_name	产品供应商的名称。	关键字
ocsf.driver.file.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.driver.file.security_descriptor	对象安全描述符。	关键字
ocsf.driver.file.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.driver.file.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.driver.file.signature.certificate.created_time	证书创建的时间。	日期
ocsf.driver.file.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.driver.file.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.driver.file.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.driver.file.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.driver.file.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.driver.file.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.driver.file.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.driver.file.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.driver.file.signature.certificate.version	证书版本。	关键字
ocsf.driver.file.signature.created_time	数字签名创建的时间。	日期
ocsf.driver.file.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.driver.file.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.driver.file.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.driver.file.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.driver.file.signature.digest.value	数字指纹值。	关键字
ocsf.driver.file.size	数据的大小，以字节为单位。	长整型
ocsf.driver.file.type	文件类型。	关键字
ocsf.driver.file.type_id	文件类型 ID。	关键字
ocsf.driver.file.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.driver.file.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.driver.file.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.dst_endpoint.container	描述容器实例的信息。	已扁平化
ocsf.dst_endpoint.domain	域的名称。	关键字
ocsf.dst_endpoint.hostname	端点的完全限定名称。	关键字
ocsf.dst_endpoint.hw_info	端点硬件信息。	已扁平化
ocsf.dst_endpoint.instance_uid	VM 实例的唯一标识符。	关键字
ocsf.dst_endpoint.interface_name	网络接口的名称（例如，eth2）。	关键字
ocsf.dst_endpoint.interface_uid	网络接口的唯一标识符。	关键字
ocsf.dst_endpoint.intermediate_ips	中间 IP 地址。例如，HTTP X-Forwarded-For 标头中的 IP 地址。	ip
ocsf.dst_endpoint.ip	端点的 IP 地址，可以是 IPv4 或 IPv6 格式。	ip
ocsf.dst_endpoint.location.city	城市名称。	关键字
ocsf.dst_endpoint.location.continent	大洲的名称。	关键字
ocsf.dst_endpoint.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.dst_endpoint.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.dst_endpoint.location.desc	地理位置的描述。	关键字
ocsf.dst_endpoint.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.dst_endpoint.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.dst_endpoint.location.postal_code	位置的邮政编码。	关键字
ocsf.dst_endpoint.location.provider	地理位置数据的提供商。	关键字
ocsf.dst_endpoint.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.dst_endpoint.mac	端点的媒体访问控制 (MAC) 地址。	关键字
ocsf.dst_endpoint.name	端点的简称。	关键字
ocsf.dst_endpoint.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	整数
ocsf.dst_endpoint.os	端点操作系统。	已扁平化
ocsf.dst_endpoint.port	网络连接中用于通信的端口。	长整型
ocsf.dst_endpoint.proxy_endpoint	与特定端点相关的网络代理信息。这可用于描述与网络地址转换 (NAT) 相关的信息。	已扁平化
ocsf.dst_endpoint.subnet_uid	虚拟子网的唯一标识符。	关键字
ocsf.dst_endpoint.svc_name	服务到服务连接中的服务名称。例如，AWS VPC 会记录 pkt-src-aws-service 和 pkt-dst-aws-service 字段，以识别连接来自或去往 AWS 服务。	关键字
ocsf.dst_endpoint.type	网络端点类型。例如，未知、服务器、台式机、笔记本电脑、平板电脑、移动设备、虚拟设备、浏览器或其他。	关键字
ocsf.dst_endpoint.type_id	网络端点类型 ID。	关键字
ocsf.dst_endpoint.uid	端点的唯一标识符。	关键字
ocsf.dst_endpoint.vlan_uid	虚拟 LAN 标识符。	关键字
ocsf.dst_endpoint.vpc_uid	虚拟私有云 (VPC) 的唯一标识符。	关键字
ocsf.dst_endpoint.zone	网络区域或 LAN 网段。	关键字
ocsf.duration	事件持续时间或聚合时间，事件从 start_time 到 end_time 涵盖的时间量，以毫秒为单位。	长整型
ocsf.email.cc	电子邮件标头抄送值，如 RFC 5322 定义。	关键字
ocsf.email.delivered_to	Delivered-To 电子邮件标头字段。	关键字
ocsf.email.from	电子邮件标头发件人值，如 RFC 5322 定义。	关键字
ocsf.email.message_uid	电子邮件标头 Message-Id 值，如 RFC 5322 定义。	关键字
ocsf.email.raw_header	电子邮件身份验证标头。	关键字
ocsf.email.reply_to	电子邮件标头回复至值，如 RFC 5322 定义。	关键字
ocsf.email.size	电子邮件的大小（以字节为单位），包括附件。	长整型
ocsf.email.smtp_from	SMTP MAIL FROM 命令的值。	关键字
ocsf.email.smtp_to	SMTP 信封 RCPT TO 命令的值。	关键字
ocsf.email.subject	电子邮件标头主题值，如 RFC 5322 定义。	关键字
ocsf.email.to	电子邮件标头收件人值，如 RFC 5322 定义。	关键字
ocsf.email.uid	电子邮件唯一标识符。	关键字
ocsf.email.x_originating_ip	X-Originating-IP 标头，用于标识电子邮件的原始 IP 地址。	ip
ocsf.email_auth.dkim	电子邮件的 DomainKeys Identified Mail (DKIM) 状态。	关键字
ocsf.email_auth.dkim_domain	电子邮件的 DomainKeys Identified Mail (DKIM) 签名域。	关键字
ocsf.email_auth.dkim_signature	发送/接收系统使用的 DomainKeys Identified Mail (DKIM) 签名。	关键字
ocsf.email_auth.dmarc	电子邮件的基于域的消息身份验证、报告和一致性 (DMARC) 状态。	关键字
ocsf.email_auth.dmarc_override	基于域的消息身份验证、报告和一致性 (DMARC) 覆盖操作。	关键字
ocsf.email_auth.dmarc_policy	基于域的消息身份验证、报告和一致性 (DMARC) 策略状态。	关键字
ocsf.email_auth.spf	电子邮件的 Sender Policy Framework (SPF) 状态。	关键字
ocsf.email_uid	电子邮件的唯一标识符，用于关联相关的电子邮件警报和活动事件。	关键字
ocsf.end_time	时间段的结束时间，或聚合事件中包含的最近事件的时间。	日期
ocsf.end_time_dt	时间段的结束时间，或聚合事件中包含的最近事件的时间。	日期
ocsf.enrichments.data	与属性和值关联的富化数据。此数据的含义取决于富化记录的类型。	已扁平化
ocsf.enrichments.name	富化数据所属的属性的名称。	关键字
ocsf.enrichments.provider	富化数据提供程序名称。	关键字
ocsf.enrichments.type	富化类型。例如，位置。	关键字
ocsf.enrichments.value	富化数据所属的属性的值。	关键字
ocsf.entity.data	作为 JSON 对象的托管实体内容。	已扁平化
ocsf.entity.name	托管实体的名称。	关键字
ocsf.entity.type	托管实体类型。	关键字
ocsf.entity.uid	被管理实体的标识符。	关键字
ocsf.entity.version	被管理实体的版本。	关键字
ocsf.entity_result.data	作为 JSON 对象的托管实体内容。	已扁平化
ocsf.entity_result.name	托管实体的名称。	关键字
ocsf.entity_result.type	托管实体类型。	关键字
ocsf.entity_result.uid	被管理实体的标识符。	关键字
ocsf.entity_result.version	被管理实体的版本。	关键字
ocsf.evidence	分析师看到的发现暴露的数据。	已扁平化
ocsf.evidences	描述与触发安全检测的活动相关联的各种证据工件。	已扁平化
ocsf.exit_code	进程终止时报告的退出代码。约定是零表示成功，任何非零退出代码表示发生了一些错误。	关键字
ocsf.expiration_time	共享过期时间。	日期
ocsf.expiration_time_dt	共享过期时间。	日期
ocsf.file.accessed_time	上次访问文件的时间。	日期
ocsf.file.accessed_time_dt	上次访问文件的时间。	日期
ocsf.file.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.file.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file.accessor.groups.desc	组描述。	关键字
ocsf.file.accessor.groups.name	组名称。	关键字
ocsf.file.accessor.groups.privileges	组权限。	关键字
ocsf.file.accessor.groups.type	组或帐户的类型。	关键字
ocsf.file.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file.accessor.ldap_person	LDAP 人员对象。	已扁平化
ocsf.file.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.file.accessor.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file.accessor.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file.accessor.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file.accessor.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file.accessor.type_id	帐户类型标识符。	关键字
ocsf.file.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file.attributes	表示文件属性的位掩码值。	长整型
ocsf.file.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.file.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.file.confidentiality_id	文件内容机密性指示符的规范化标识符。	关键字
ocsf.file.created_time	文件创建的时间。	日期
ocsf.file.created_time_dt	文件创建的时间。	日期
ocsf.file.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.file.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file.creator.groups.desc	组描述。	关键字
ocsf.file.creator.groups.name	组名称。	关键字
ocsf.file.creator.groups.privileges	组权限。	关键字
ocsf.file.creator.groups.type	组或帐户的类型。	关键字
ocsf.file.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file.creator.ldap_person	LDAP 人员对象。	已扁平化
ocsf.file.creator.name	用户名。例如，janedoe1。	关键字
ocsf.file.creator.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file.creator.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file.creator.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file.creator.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file.creator.type_id	帐户类型标识符。	关键字
ocsf.file.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.file.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file.hashes.value	数字指纹值。	关键字
ocsf.file.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.file.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.file.modified_time	上次修改文件的时间。	日期
ocsf.file.modified_time_dt	上次修改文件的时间。	日期
ocsf.file.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file.modifier.email_addr	用户的电子邮件地址。	关键字
ocsf.file.modifier.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file.modifier.groups.desc	组描述。	关键字
ocsf.file.modifier.groups.name	组名称。	关键字
ocsf.file.modifier.groups.privileges	组权限。	关键字
ocsf.file.modifier.groups.type	组或帐户的类型。	关键字
ocsf.file.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file.modifier.ldap_person	LDAP 人员对象。	已扁平化
ocsf.file.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.file.modifier.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file.modifier.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file.modifier.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file.modifier.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file.modifier.type_id	帐户类型标识符。	关键字
ocsf.file.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file.name	文件名称。例如：svchost.exe。	关键字
ocsf.file.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.file.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file.owner.groups.desc	组描述。	关键字
ocsf.file.owner.groups.name	组名称。	关键字
ocsf.file.owner.groups.privileges	组权限。	关键字
ocsf.file.owner.groups.type	组或帐户的类型。	关键字
ocsf.file.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file.owner.ldap_person	LDAP 人员对象。	已扁平化
ocsf.file.owner.name	用户名。例如，janedoe1。	关键字
ocsf.file.owner.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file.owner.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file.owner.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file.owner.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file.owner.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file.owner.type_id	帐户类型标识符。	关键字
ocsf.file.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.file.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.file.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.file.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.file.product.name	产品的名称。	关键字
ocsf.file.product.path	产品的安装路径。	关键字
ocsf.file.product.uid	产品的唯一标识符。	关键字
ocsf.file.product.url_string	指向产品的 URL。	关键字
ocsf.file.product.vendor_name	产品供应商的名称。	关键字
ocsf.file.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.file.security_descriptor	对象安全描述符。	关键字
ocsf.file.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.file.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.file.signature.certificate.created_time	证书创建的时间。	日期
ocsf.file.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.file.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.file.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.file.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.file.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.file.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.file.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.file.signature.certificate.version	证书版本。	关键字
ocsf.file.signature.created_time	数字签名创建的时间。	日期
ocsf.file.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.file.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.file.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file.signature.digest.value	数字指纹值。	关键字
ocsf.file.size	数据的大小，以字节为单位。	长整型
ocsf.file.type	文件类型。	关键字
ocsf.file.type_id	文件类型 ID。	关键字
ocsf.file.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.file.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.file.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.file_diff	用于变更检测的文件内容差异。例如，一个常见的用例是识别 INI 或配置/属性设置值中的逐项更改。	关键字
ocsf.file_result.accessed_time	上次访问文件的时间。	日期
ocsf.file_result.accessed_time_dt	上次访问文件的时间。	日期
ocsf.file_result.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file_result.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file_result.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file_result.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file_result.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file_result.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.file_result.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file_result.accessor.groups.desc	组描述。	关键字
ocsf.file_result.accessor.groups.name	组名称。	关键字
ocsf.file_result.accessor.groups.privileges	组权限。	关键字
ocsf.file_result.accessor.groups.type	组或帐户的类型。	关键字
ocsf.file_result.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file_result.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.file_result.accessor.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file_result.accessor.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file_result.accessor.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file_result.accessor.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file_result.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file_result.accessor.type_id	帐户类型标识符。	关键字
ocsf.file_result.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file_result.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file_result.attributes	表示文件属性的位掩码值。	长整型
ocsf.file_result.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.file_result.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.file_result.confidentiality_id	文件内容机密性指示符的规范化标识符。	关键字
ocsf.file_result.created_time	文件创建的时间。	日期
ocsf.file_result.created_time_dt	文件创建的时间。	日期
ocsf.file_result.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file_result.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file_result.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file_result.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file_result.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file_result.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.file_result.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file_result.creator.groups.desc	组描述。	关键字
ocsf.file_result.creator.groups.name	组名称。	关键字
ocsf.file_result.creator.groups.privileges	组权限。	关键字
ocsf.file_result.creator.groups.type	组或帐户的类型。	关键字
ocsf.file_result.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file_result.creator.name	用户名。例如，janedoe1。	关键字
ocsf.file_result.creator.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file_result.creator.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file_result.creator.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file_result.creator.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file_result.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file_result.creator.type_id	帐户类型标识符。	关键字
ocsf.file_result.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file_result.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file_result.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.file_result.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file_result.hashes.value	数字指纹值。	关键字
ocsf.file_result.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.file_result.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.file_result.modified_time	上次修改文件的时间。	日期
ocsf.file_result.modified_time_dt	上次修改文件的时间。	日期
ocsf.file_result.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file_result.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file_result.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file_result.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file_result.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file_result.modifier.email_addr	用户的电子邮件地址。	关键字
ocsf.file_result.modifier.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file_result.modifier.groups.desc	组描述。	关键字
ocsf.file_result.modifier.groups.name	组名称。	关键字
ocsf.file_result.modifier.groups.privileges	组权限。	关键字
ocsf.file_result.modifier.groups.type	组或帐户的类型。	关键字
ocsf.file_result.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file_result.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.file_result.modifier.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file_result.modifier.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file_result.modifier.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file_result.modifier.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file_result.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file_result.modifier.type_id	帐户类型标识符。	关键字
ocsf.file_result.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file_result.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file_result.name	文件名称。例如：svchost.exe。	关键字
ocsf.file_result.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.file_result.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.file_result.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.file_result.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.file_result.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.file_result.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.file_result.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.file_result.owner.groups.desc	组描述。	关键字
ocsf.file_result.owner.groups.name	组名称。	关键字
ocsf.file_result.owner.groups.privileges	组权限。	关键字
ocsf.file_result.owner.groups.type	组或帐户的类型。	关键字
ocsf.file_result.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.file_result.owner.name	用户名。例如，janedoe1。	关键字
ocsf.file_result.owner.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.file_result.owner.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.file_result.owner.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.file_result.owner.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.file_result.owner.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.file_result.owner.type_id	帐户类型标识符。	关键字
ocsf.file_result.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.file_result.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.file_result.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.file_result.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.file_result.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.file_result.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.file_result.product.name	产品的名称。	关键字
ocsf.file_result.product.path	产品的安装路径。	关键字
ocsf.file_result.product.uid	产品的唯一标识符。	关键字
ocsf.file_result.product.vendor_name	产品供应商的名称。	关键字
ocsf.file_result.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.file_result.security_descriptor	对象安全描述符。	关键字
ocsf.file_result.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.file_result.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.file_result.signature.certificate.created_time	证书创建的时间。	日期
ocsf.file_result.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.file_result.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.file_result.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.file_result.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file_result.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.file_result.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.file_result.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.file_result.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.file_result.signature.certificate.version	证书版本。	关键字
ocsf.file_result.signature.created_time	数字签名创建的时间。	日期
ocsf.file_result.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.file_result.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.file_result.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.file_result.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.file_result.signature.digest.value	数字指纹值。	关键字
ocsf.file_result.size	数据的大小，以字节为单位。	长整型
ocsf.file_result.type	文件类型。	关键字
ocsf.file_result.type_id	文件类型 ID。	关键字
ocsf.file_result.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.file_result.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.file_result.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.finding.created_time	创建发现的时间。	日期
ocsf.finding.created_time_dt	创建发现的时间。	日期
ocsf.finding.desc	报告的发现的描述。	关键字
ocsf.finding.first_seen_time	首次观察到发现的时间。	日期
ocsf.finding.first_seen_time_dt	首次观察到发现的时间。	日期
ocsf.finding.last_seen_time	最近一次观察到发现的时间。	日期
ocsf.finding.last_seen_time_dt	最近一次观察到发现的时间。	日期
ocsf.finding.modified_time	上次修改发现的时间。	日期
ocsf.finding.modified_time_dt	上次修改发现的时间。	日期
ocsf.finding.product_uid	报告发现的产品的唯一标识符。	关键字
ocsf.finding.related_events.product_uid	报告相关事件的产品的唯一标识符。	关键字
ocsf.finding.related_events.type	相关事件的类型。例如：进程活动：启动。	关键字
ocsf.finding.related_events.type_uid	相关事件类型的唯一标识符。例如：100701。	关键字
ocsf.finding.related_events.uid	相关事件的唯一标识符。	关键字
ocsf.finding.remediation.desc	补救策略的描述。	关键字
ocsf.finding.remediation.kb_article_list	与端点相关的知识库文章或补丁列表。	已扁平化
ocsf.finding.remediation.kb_articles	与实体相关的知识库文章。	关键字
ocsf.finding.remediation.references	支持补救策略描述的 URL/参考列表。	关键字
ocsf.finding.src_url	指向发现来源的 URL。	关键字
ocsf.finding.supporting_data	安全工具提供的支持发现的附加数据。	已扁平化
ocsf.finding.title	报告的发现的标题。	关键字
ocsf.finding.types	报告的发现的一个或多个类型。	关键字
ocsf.finding.uid	报告的发现的唯一标识符。	关键字
ocsf.finding_info	描述关于生成的发现的支持信息。	已扁平化
ocsf.firewall_rule	触发事件的防火墙规则。	已扁平化
ocsf.group.desc	组描述。	关键字
ocsf.group.name	组名称。	关键字
ocsf.group.privileges	组权限。	关键字
ocsf.group.type	组或帐户的类型。	关键字
ocsf.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.http_request.args	与 HTTP 请求一起发送的参数。	关键字
ocsf.http_request.http_headers.name	标头的名称。	关键字
ocsf.http_request.http_headers.value	标头的值。	关键字
ocsf.http_request.http_method	HTTP 请求方法指示要对给定资源执行的所需操作。	关键字
ocsf.http_request.referrer	请求标头，用于标识前一个网页的地址，该网页链接到当前正在请求的网页或资源。	关键字
ocsf.http_request.uid	http 请求的唯一标识符。	关键字
ocsf.http_request.url.categories	网站分类名称，由 category_ids 枚举值定义。	关键字
ocsf.http_request.url.category_ids	网站分类标识符。	关键字
ocsf.http_request.url.hostname	从 URL 中提取的 URL 主机名。例如，从 www.example.com/download/trouble 中提取的 www.example.com。	关键字
ocsf.http_request.url.path	从 URL 中提取的 URL 路径。例如，从 www.example.com/download/trouble 中提取的 /download/trouble。	关键字
ocsf.http_request.url.port	URL 端口。例如，80。	长整型
ocsf.http_request.url.query_string	URL 的查询部分。例如，URL http://www.example.com/search?q=bad&sort=date 的查询部分是 q=bad&sort=date。	关键字
ocsf.http_request.url.resource_type	在 Web 请求中检索资源的上下文。	关键字
ocsf.http_request.url.scheme	URL 的方案部分。例如，http、https、ftp 或 sftp。	关键字
ocsf.http_request.url.subdomain	URL 的子域部分。例如，https://sub.example.com 中的 sub 或 https://sub2.sub1.example.com 中的 sub2.sub1。	关键字
ocsf.http_request.url.url_string	URL 字符串。请参阅 RFC 1738。例如，http://www.example.com/download/trouble.exe。	关键字
ocsf.http_request.user_agent	请求标头，用于标识操作系统和 Web 浏览器。	关键字
ocsf.http_request.version	超文本传输协议 (HTTP) 版本。	关键字
ocsf.http_request.x_forwarded_for	X-Forwarded-For 标头，用于标识通过 HTTP 代理或负载均衡器连接到 Web 服务器的客户端的原始 IP 地址。	ip
ocsf.http_response.code	从 Web 服务器发送给请求者的数字代码。	长整型
ocsf.http_response.content_type	请求标头，用于标识资源的原始媒体类型（在应用于发送的任何内容编码之前）。	关键字
ocsf.http_response.latency	HTTP 响应延迟。以秒、毫秒等为单位。	长整型
ocsf.http_response.length	HTTP 响应长度，以字节为单位。	长整型
ocsf.http_response.message	事件的描述，由事件源定义。	关键字
ocsf.http_response.status	响应状态。	关键字
ocsf.http_status	返回给客户端的超文本传输协议 (HTTP) 状态代码。	长整型
ocsf.identifier_cookie	客户端/服务器交换期间的客户端标识符 Cookie。	关键字
ocsf.impact	影响，标准化为 impact_id 值的标题。对于其他，它由事件源定义。	关键字
ocsf.impact_id	发现的标准化影响。	关键字
ocsf.impact_score	发现的影响，有效范围为 0-100。	长整型
ocsf.injection_type	进程注入方法，标准化为 injection_type_id 值的标题。对于其他，它由事件源定义。	关键字
ocsf.injection_type_id	进程注入方法的标准化标识符。	关键字
ocsf.is_cleartext	指示凭据是否以明文形式传递。注意：如果凭据以明文协议（例如 FTP 或 TELNET）传递，或者如果 Windows 检测到用户的登录密码以明文形式传递给身份验证包，则为 True。	布尔值
ocsf.is_mfa	指示身份验证期间是否使用了多因素身份验证。	布尔值
ocsf.is_new_logon	指示登录来自以前未见过的设备或首次帐户登录。	布尔值
ocsf.is_remote	尝试的身份验证是通过远程连接进行的。	布尔值
ocsf.is_renewal	指示这是否是租约/会话续订事件。	布尔值
ocsf.kb_article_list.bulletin	kb 文章公告标识符。	关键字
ocsf.kb_article_list.classification	供应商对 kb 文章的分类。	关键字
ocsf.kb_article_list.created_time	供应商发布 kb 文章的日期。	长整型
ocsf.kb_article_list.created_time_dt	供应商发布 kb 文章的日期。	日期
ocsf.kb_article_list.is_superseded	补丁已被取代	布尔值
ocsf.kb_article_list.os	kb 文章适用的操作系统。	已扁平化
ocsf.kb_article_list.product	kb 文章适用的产品详细信息。	已扁平化
ocsf.kb_article_list.severity	kb 文章的严重性。	关键字
ocsf.kb_article_list.size	kb 文章的大小（以字节为单位）。	长整型
ocsf.kb_article_list.src_url	来自源供应商的 kb 文章链接。	关键字
ocsf.kb_article_list.title	kb 文章的标题。	关键字
ocsf.kb_article_list.uid	kb 文章的唯一标识符。	关键字
ocsf.kernel.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.kernel.name	内核资源的名称。	关键字
ocsf.kernel.path	内核资源的完整路径。	关键字
ocsf.kernel.system_call	调用的系统调用。	关键字
ocsf.kernel.type	内核资源的类型。	关键字
ocsf.kernel.type_id	内核资源的类型 ID。	关键字
ocsf.kill_chain.phase	网络攻击杀伤链阶段。	关键字
ocsf.kill_chain.phase_id	网络攻击杀伤链阶段标识符。	关键字
ocsf.lease_dur	这表示 DHCP 租约的长度（以秒为单位）。它存在于 DHCP Ack 事件中。(activity_id = 1)	长整型
ocsf.load_balancer	负载均衡器对象包含有关将传入流量分配到指定目标的设备的信息。	已扁平化
ocsf.logon_type	登录类型，标准化为 logon_type_id 值的标题。对于其他，它由事件源定义。	关键字
ocsf.logon_type_id	标准化的登录类型标识符	关键字
ocsf.malware.classification_ids	恶意软件分类的标准化标识符列表。	关键字
ocsf.malware.classifications	恶意软件分类列表，标准化为 classification_id 值的标题。对于其他，它们由事件源定义。	关键字
ocsf.malware.cves.created_time	记录创建日期标识何时向 CVE 编号机构 (CNA) 发布 CVE ID，或者何时在 CVE 列表中发布 CVE 记录。请注意，记录创建日期并不一定表示何时发现、与受影响的供应商共享、公开披露或在 CVE 中更新此漏洞。	日期
ocsf.malware.cves.created_time_dt	记录创建日期标识何时向 CVE 编号机构 (CNA) 发布 CVE ID，或者何时在 CVE 列表中发布 CVE 记录。请注意，记录创建日期并不一定表示何时发现、与受影响的供应商共享、公开披露或在 CVE 中更新此漏洞。	日期
ocsf.malware.cves.cvss.base_score	CVSS 基本分数。	double
ocsf.malware.cves.cvss.depth	CVSS 深度表示用于计算 CVSS 分数的方程的深度。	关键字
ocsf.malware.cves.cvss.metrics.name	度量的名称。	关键字
ocsf.malware.cves.cvss.metrics.value	度量的值。	关键字
ocsf.malware.cves.cvss.overall_score	CVSS 总体分数，受基本度量、临时度量和环境度量的影响。	double
ocsf.malware.cves.cvss.severity	通用漏洞评分系统 (CVSS) 定性严重性评级。数字分数的文本表示。	关键字
ocsf.malware.cves.cvss.vector_string	CVSS 向量字符串是一组 CVSS 度量的文本表示。它通常用于以简洁的形式记录或传输 CVSS 度量信息。例如：3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H。	关键字
ocsf.malware.cves.cvss.version	CVSS 版本。	关键字
ocsf.malware.cves.cwe_uid	通用弱点枚举 (CWE) 唯一标识符。例如：CWE-787。	关键字
ocsf.malware.cves.cwe_url	通用弱点枚举 (CWE) 定义 URL。	关键字
ocsf.malware.cves.modified_time	记录修改日期标识何时上次更新了 CVE 记录。	日期
ocsf.malware.cves.modified_time_dt	记录修改日期标识何时上次更新了 CVE 记录。	日期
ocsf.malware.cves.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.malware.cves.product.lang	由 ISO 639-1 定义的两位小写字母语言代码。	关键字
ocsf.malware.cves.product.name	产品的名称。	关键字
ocsf.malware.cves.product.path	产品的安装路径。	关键字
ocsf.malware.cves.product.uid	产品的唯一标识符。	关键字
ocsf.malware.cves.product.url_string	指向产品的 URL。	关键字
ocsf.malware.cves.product.vendor_name	产品供应商的名称。	关键字
ocsf.malware.cves.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.malware.cves.type	从 CVE 精炼期间的大型下拉菜单中选择的漏洞类型。	关键字
ocsf.malware.cves.uid	分配给特定计算机漏洞的通用漏洞和披露唯一编号。CVE 标识符以 4 位数字开头，表示年份，后跟一系列用作唯一标识符的数字。例如：CVE-2021-12345。	关键字
ocsf.malware.name	检测引擎报告的恶意软件名称。	关键字
ocsf.malware.path	观察到的恶意软件的文件系统路径。	关键字
ocsf.malware.provider	恶意软件信息的提供者。	关键字
ocsf.malware.uid	检测引擎报告的恶意软件唯一标识符。例如病毒 ID 或 IPS 签名 ID。	关键字
ocsf.message	事件的描述，由事件源定义。	关键字
ocsf.metadata.correlation_uid	用于关联事件的唯一标识符。	关键字
ocsf.metadata.event_code	产品用于描述事件的事件 ID 或代码。	关键字
ocsf.metadata.extension.name	模式扩展名称。例如：dev。	关键字
ocsf.metadata.extension.uid	模式扩展唯一标识符。例如：999。	关键字
ocsf.metadata.extension.version	模式扩展版本。例如：1.0.0-alpha.2。	关键字
ocsf.metadata.extensions.name	模式扩展名称。例如：dev。	关键字
ocsf.metadata.extensions.uid	模式扩展唯一标识符。例如：999。	关键字
ocsf.metadata.extensions.version	模式扩展版本。例如：1.0.0-alpha.2。	关键字
ocsf.metadata.labels	附加到事件或特定属性的类别标签列表。标签是在规范化时添加的用户定义标记或别名。	关键字
ocsf.metadata.log_level	事件的日志级别。	关键字
ocsf.metadata.log_name	事件日志名称。例如，syslog 文件名或 Windows 日志子系统：安全。	关键字
ocsf.metadata.log_provider	记录事件的日志提供程序或日志服务。例如，Microsoft-Windows-Security-Auditing。	关键字
ocsf.metadata.log_version	事件日志模式版本，用于指定原始事件的格式。例如，syslog 版本或 Cisco 日志模式版本。	关键字
ocsf.metadata.logged_time	日志系统收集和记录事件的时间。此属性与事件时间不同，因为事件时间通常包含从原始事件中提取的时间。大多数情况下，这两个时间将不同。	日期
ocsf.metadata.logged_time_dt	日志系统收集和记录事件的时间。此属性与事件时间不同，因为事件时间通常包含从原始事件中提取的时间。大多数情况下，这两个时间将不同。	日期
ocsf.metadata.loggers	一个 Logger 对象数组，用于描述事件源及其最终目标之间的设备和日志记录产品。	已扁平化
ocsf.metadata.modified_time	事件上次修改或丰富的时间。	日期
ocsf.metadata.modified_time_dt	事件上次修改或丰富的时间。	日期
ocsf.metadata.original_time	事件源报告的原始事件时间。例如，来自系统事件日志（如 Unix/Linux 上的 Syslog 和 Windows 上的系统事件文件）的原始格式的时间。如果事件是生成的而不是通过日志收集的，则省略。	关键字
ocsf.metadata.processed_time	事件处理时间，例如 ETL 操作。	日期
ocsf.metadata.processed_time_dt	事件处理时间，例如 ETL 操作。	日期
ocsf.metadata.product.cpe_name	通用平台枚举 (CPE) 名称，如 (NIST) 所述。例如：cpe:/a:apple:safari:16.2。	关键字
ocsf.metadata.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.metadata.product.lang	由 ISO 639-1 定义的两个字母的小写语言代码。例如：en (英语)、de (德语) 或 fr (法语)。	关键字
ocsf.metadata.product.name	产品的名称。	关键字
ocsf.metadata.product.path	产品的安装路径。	关键字
ocsf.metadata.product.uid	产品的唯一标识符。	关键字
ocsf.metadata.product.url_string	指向产品的 URL。	关键字
ocsf.metadata.product.vendor_name	产品供应商的名称。	关键字
ocsf.metadata.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.metadata.profiles	用于创建事件的配置文件列表。	关键字
ocsf.metadata.sequence	事件的序列号。序列号是某些事件中可用的值，用于明确事件的精确排序，而与事件时间精度无关。	长整型
ocsf.metadata.tenant_uid	生成事件的审计级别。	关键字
ocsf.metadata.uid	日志记录系统分配的事件实例的唯一标识符。	关键字
ocsf.metadata.version	OCSF 模式的版本，使用语义版本控制规范 (SemVer)。例如：1.0.0。事件使用者使用版本来确定可用的事件属性。	关键字
ocsf.module.base_address	模块加载到的内存地址。	关键字
ocsf.module.file.accessed_time	上次访问文件的时间。	日期
ocsf.module.file.accessed_time_dt	上次访问文件的时间。	日期
ocsf.module.file.accessor.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.module.file.accessor.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.accessor.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.module.file.accessor.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.module.file.accessor.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.module.file.accessor.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.module.file.accessor.email_addr	用户的电子邮件地址。	关键字
ocsf.module.file.accessor.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.module.file.accessor.groups.desc	组描述。	关键字
ocsf.module.file.accessor.groups.name	组名称。	关键字
ocsf.module.file.accessor.groups.privileges	组权限。	关键字
ocsf.module.file.accessor.groups.type	组或帐户的类型。	关键字
ocsf.module.file.accessor.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.module.file.accessor.name	用户名。例如，janedoe1。	关键字
ocsf.module.file.accessor.org.*		对象
ocsf.module.file.accessor.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.module.file.accessor.type_id	帐户类型标识符。	关键字
ocsf.module.file.accessor.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.module.file.accessor.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.module.file.attributes	表示文件属性的位掩码值。	长整型
ocsf.module.file.company_name	发布文件的公司名称。例如：Microsoft Corporation。	关键字
ocsf.module.file.confidentiality	文件内容机密性，已规范化为 confidentiality_id 值。对于其他，由事件源定义。	关键字
ocsf.module.file.confidentiality_id	文件内容机密性指示符的规范化标识符。	关键字
ocsf.module.file.created_time	文件创建的时间。	日期
ocsf.module.file.created_time_dt	文件创建的时间。	日期
ocsf.module.file.creator.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.module.file.creator.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.creator.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.module.file.creator.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.module.file.creator.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.module.file.creator.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.module.file.creator.email_addr	用户的电子邮件地址。	关键字
ocsf.module.file.creator.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.module.file.creator.groups.desc	组描述。	关键字
ocsf.module.file.creator.groups.name	组名称。	关键字
ocsf.module.file.creator.groups.privileges	组权限。	关键字
ocsf.module.file.creator.groups.type	组或帐户的类型。	关键字
ocsf.module.file.creator.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.module.file.creator.name	用户名。例如，janedoe1。	关键字
ocsf.module.file.creator.org.*		对象
ocsf.module.file.creator.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.module.file.creator.type_id	帐户类型标识符。	关键字
ocsf.module.file.creator.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.module.file.creator.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.module.file.desc	文件描述，由文件系统返回。例如：由 Unix file 命令或 Windows 文件类型返回的描述。	关键字
ocsf.module.file.hashes.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.hashes.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.module.file.hashes.value	数字指纹值。	关键字
ocsf.module.file.is_system	指示对象是否为操作系统的一部分。	布尔值
ocsf.module.file.mime_type	如果适用，文件的多用途 Internet 邮件扩展 (MIME) 类型。	关键字
ocsf.module.file.modified_time	上次修改文件的时间。	日期
ocsf.module.file.modified_time_dt	上次修改文件的时间。	日期
ocsf.module.file.modifier.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.module.file.modifier.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.modifier.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.module.file.modifier.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.module.file.modifier.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.module.file.modifier.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.module.file.modifier.email_addr	用户的电子邮件地址。	关键字
ocsf.module.file.modifier.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.module.file.modifier.groups.desc	组描述。	关键字
ocsf.module.file.modifier.groups.name	组名称。	关键字
ocsf.module.file.modifier.groups.privileges	组权限。	关键字
ocsf.module.file.modifier.groups.type	组或帐户的类型。	关键字
ocsf.module.file.modifier.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.module.file.modifier.name	用户名。例如，janedoe1。	关键字
ocsf.module.file.modifier.org.*		对象
ocsf.module.file.modifier.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.module.file.modifier.type_id	帐户类型标识符。	关键字
ocsf.module.file.modifier.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.module.file.modifier.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.module.file.name	文件名称。例如：svchost.exe。	关键字
ocsf.module.file.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.module.file.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.module.file.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.module.file.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.module.file.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.module.file.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.module.file.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.module.file.owner.groups.desc	组描述。	关键字
ocsf.module.file.owner.groups.name	组名称。	关键字
ocsf.module.file.owner.groups.privileges	组权限。	关键字
ocsf.module.file.owner.groups.type	组或帐户的类型。	关键字
ocsf.module.file.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.module.file.owner.name	用户名。例如，janedoe1。	关键字
ocsf.module.file.owner.org.*		对象
ocsf.module.file.owner.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.module.file.owner.type_id	帐户类型标识符。	关键字
ocsf.module.file.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.module.file.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.module.file.parent_folder	文件所在的父文件夹。例如：c:\windows\system32。	关键字
ocsf.module.file.path	文件的完整路径。例如：c:\windows\system32\svchost.exe。	关键字
ocsf.module.file.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.module.file.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.module.file.product.name	产品的名称。	关键字
ocsf.module.file.product.path	产品的安装路径。	关键字
ocsf.module.file.product.uid	产品的唯一标识符。	关键字
ocsf.module.file.product.vendor_name	产品供应商的名称。	关键字
ocsf.module.file.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.module.file.security_descriptor	对象安全描述符。	关键字
ocsf.module.file.signature.algorithm	用于创建签名的数字签名算法，已规范化为 algorithm_id 的标题。对于其他，由事件源定义。	关键字
ocsf.module.file.signature.algorithm_id	规范化数字签名算法的标识符。	关键字
ocsf.module.file.signature.certificate.created_time	证书创建的时间。	日期
ocsf.module.file.signature.certificate.created_time_dt	证书创建的时间。	日期
ocsf.module.file.signature.certificate.expiration_time	证书的到期时间。	日期
ocsf.module.file.signature.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.module.file.signature.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.signature.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.module.file.signature.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.module.file.signature.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.module.file.signature.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.module.file.signature.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.module.file.signature.certificate.version	证书版本。	关键字
ocsf.module.file.signature.created_time	数字签名创建的时间。	日期
ocsf.module.file.signature.created_time_dt	数字签名创建的时间。	日期
ocsf.module.file.signature.developer_uid	签名文件的证书上的开发人员 ID。	关键字
ocsf.module.file.signature.digest.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.module.file.signature.digest.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.module.file.signature.digest.value	数字指纹值。	关键字
ocsf.module.file.size	数据的大小，以字节为单位。	长整型
ocsf.module.file.type	文件类型。	关键字
ocsf.module.file.type_id	文件类型 ID。	关键字
ocsf.module.file.uid	存储系统定义的文件的唯一标识符，例如文件系统文件 ID。	关键字
ocsf.module.file.version	文件版本。例如：8.0.7601.17514。	关键字
ocsf.module.file.xattributes	零个或多个名称/值对的无序集合，其中每对表示文件或文件夹的扩展属性。	已扁平化
ocsf.module.function_name	模块的入口点函数。每当进程或线程加载或卸载模块时，系统都会调用入口点函数。	关键字
ocsf.module.load_type	加载类型，已标准化为 load_type_id 值的标题。对于“其他”，由事件源定义。它描述了模块在内存中的加载方式。	关键字
ocsf.module.load_type_id	加载类型的标准化标识符。它标识了模块在内存中的加载方式。	关键字
ocsf.module.start_address	执行的起始地址。	关键字
ocsf.module.type	模块类型。	关键字
ocsf.name	与命令关联的数据的名称。	关键字
ocsf.nist	NIST 网络安全框架关于管理网络安全风险的建议。	关键字
ocsf.num_*	用于计算各种项目扫描结果的数字字段。	整数
ocsf.observables.name	可观察属性的全名。该名称是指向事件数据中属性的指针/引用。例如：file.name。	关键字
ocsf.observables.reputation.base_score	事件源报告的信誉评分。	double
ocsf.observables.reputation.provider	信誉信息的提供者。	关键字
ocsf.observables.reputation.score	信誉评分，已标准化为 score_id 值的标题。对于“其他”，由事件源定义。	关键字
ocsf.observables.reputation.score_id	标准化信誉评分标识符。	关键字
ocsf.observables.type	可观察值类型名称。	关键字
ocsf.observables.type_id	可观察值类型标识符。	关键字
ocsf.observables.value	与可观察属性关联的值。	关键字
ocsf.open_type	指示文件是如何打开的（例如，正常，关闭时删除）。	关键字
ocsf.policy	用于扫描设备的策略。	已扁平化
ocsf.port	为即将到来的数据传输建立的动态端口。	长整型
ocsf.precision	NTP 精度以 log2 秒为单位量化时钟的准确性和稳定性，如 RFC-5905 中定义。	整数
ocsf.prev_security_states.state	安全状态，已标准化为 state_id 值的标题。	关键字
ocsf.prev_security_states.state_id	受管实体的安全状态。	关键字
ocsf.priority	优先级，已标准化为 priority_id 值的标题。	关键字
ocsf.priority_id	优先级，已标准化为 priority_id 值的 ID。	整数
ocsf.privileges	分配给新用户会话的敏感权限列表。	关键字
ocsf.protocol_ver	协议版本。	关键字
ocsf.proxy.domain	域的名称。	关键字
ocsf.proxy.hostname	端点的完全限定名称。	关键字
ocsf.proxy.instance_uid	VM 实例的唯一标识符。	关键字
ocsf.proxy.interface_name	网络接口的名称（例如，eth2）。	关键字
ocsf.proxy.interface_uid	网络接口的唯一标识符。	关键字
ocsf.proxy.intermediate_ips	中间 IP 地址。例如，HTTP X-Forwarded-For 标头中的 IP 地址。	ip
ocsf.proxy.ip	端点的 IP 地址，可以是 IPv4 或 IPv6 格式。	ip
ocsf.proxy.location.city	城市名称。	关键字
ocsf.proxy.location.continent	大洲的名称。	关键字
ocsf.proxy.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.proxy.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.proxy.location.desc	地理位置的描述。	关键字
ocsf.proxy.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.proxy.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.proxy.location.postal_code	位置的邮政编码。	关键字
ocsf.proxy.location.provider	地理位置数据的提供商。	关键字
ocsf.proxy.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.proxy.mac	端点的媒体访问控制 (MAC) 地址。	关键字
ocsf.proxy.name	端点的简称。	关键字
ocsf.proxy.port	网络连接中用于通信的端口。	长整型
ocsf.proxy.subnet_uid	虚拟子网的唯一标识符。	关键字
ocsf.proxy.svc_name	服务到服务连接中的服务名称。例如，AWS VPC 会记录 pkt-src-aws-service 和 pkt-dst-aws-service 字段，以识别连接来自或去往 AWS 服务。	关键字
ocsf.proxy.uid	端点的唯一标识符。	关键字
ocsf.proxy.vlan_uid	虚拟 LAN 标识符。	关键字
ocsf.proxy.vpc_uid	虚拟私有云 (VPC) 的唯一标识符。	关键字
ocsf.proxy_connection_info	从代理服务器到远程服务器的连接信息。	已扁平化
ocsf.proxy_endpoint.container	描述容器实例的信息。	已扁平化
ocsf.proxy_endpoint.domain	域的名称。	关键字
ocsf.proxy_endpoint.hostname	端点的完全限定名称。	关键字
ocsf.proxy_endpoint.hw_info	端点硬件信息。	已扁平化
ocsf.proxy_endpoint.instance_uid	VM 实例的唯一标识符。	关键字
ocsf.proxy_endpoint.interface_name	网络接口的名称（例如，eth2）。	关键字
ocsf.proxy_endpoint.interface_uid	网络接口的唯一标识符。	关键字
ocsf.proxy_endpoint.intermediate_ips	中间 IP 地址。例如，HTTP X-Forwarded-For 标头中的 IP 地址。	ip
ocsf.proxy_endpoint.ip	端点的 IP 地址，可以是 IPv4 或 IPv6 格式。	ip
ocsf.proxy_endpoint.location.city	城市名称。	关键字
ocsf.proxy_endpoint.location.continent	大洲的名称。	关键字
ocsf.proxy_endpoint.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.proxy_endpoint.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.proxy_endpoint.location.desc	地理位置的描述。	关键字
ocsf.proxy_endpoint.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.proxy_endpoint.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.proxy_endpoint.location.postal_code	位置的邮政编码。	关键字
ocsf.proxy_endpoint.location.provider	地理位置数据的提供商。	关键字
ocsf.proxy_endpoint.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.proxy_endpoint.mac	端点的媒体访问控制 (MAC) 地址。	关键字
ocsf.proxy_endpoint.name	端点的简称。	关键字
ocsf.proxy_endpoint.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	整数
ocsf.proxy_endpoint.os	端点操作系统。	已扁平化
ocsf.proxy_endpoint.port	网络连接中用于通信的端口。	长整型
ocsf.proxy_endpoint.proxy_endpoint	与特定端点相关的网络代理信息。这可用于描述与网络地址转换 (NAT) 相关的信息。	已扁平化
ocsf.proxy_endpoint.subnet_uid	虚拟子网的唯一标识符。	关键字
ocsf.proxy_endpoint.svc_name	服务到服务连接中的服务名称。例如，AWS VPC 会记录 pkt-src-aws-service 和 pkt-dst-aws-service 字段，以识别连接来自或去往 AWS 服务。	关键字
ocsf.proxy_endpoint.type	网络端点类型。例如，未知、服务器、台式机、笔记本电脑、平板电脑、移动设备、虚拟设备、浏览器或其他。	关键字
ocsf.proxy_endpoint.type_id	网络端点类型 ID。	关键字
ocsf.proxy_endpoint.uid	端点的唯一标识符。	关键字
ocsf.proxy_endpoint.vlan_uid	虚拟 LAN 标识符。	关键字
ocsf.proxy_endpoint.vpc_uid	虚拟私有云 (VPC) 的唯一标识符。	关键字
ocsf.proxy_endpoint.zone	网络区域或 LAN 网段。	关键字
ocsf.proxy_http_request	从代理服务器到远程服务器的 HTTP 请求。	已扁平化
ocsf.proxy_http_response	从远程服务器到代理服务器的 HTTP 响应。	已扁平化
ocsf.proxy_tls	代理服务器和远程服务器之间协商的 TLS 协议。	已扁平化
ocsf.proxy_traffic	网络流量是指在给定时间点，从代理到远程服务器在网络中传输的数据量。	已扁平化
ocsf.query.class	正在查询的资源记录的类。请参阅 RFC1035。例如：IN。	关键字
ocsf.query.hostname	正在查询的主机名或域名。例如：www.example.com	关键字
ocsf.query.opcode	DNS 操作码指定查询消息的类型。	关键字
ocsf.query.opcode_id	DNS 操作码 ID 指定标准化的查询消息类型。	关键字
ocsf.query.packet_uid	生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。	关键字
ocsf.query.type	正在查询的资源记录的类型。请参阅 RFC1035。例如：A、AAAA、CNAME、MX 和 NS。	关键字
ocsf.query_info	查询信息对象包含与数据存储中数据访问相关的信息。	已扁平化
ocsf.query_time	域名系统 (DNS) 查询时间。	日期
ocsf.query_time_dt	域名系统 (DNS) 查询时间。	日期
ocsf.raw_data	从事件源接收的事件数据。	已扁平化
ocsf.raw_data_keyword	从事件源接收的事件数据。	match_only_text
ocsf.rcode	DNS 服务器响应代码，已标准化为 rcode_id 值的标题。对于“其他”，由事件源定义。	关键字
ocsf.rcode_id	DNS 服务器响应代码的标准化标识符。	关键字
ocsf.relay.hostname	与网络接口关联的主机名。	关键字
ocsf.relay.ip	与网络接口关联的 IP 地址。	ip
ocsf.relay.mac	网络接口的 MAC 地址。	关键字
ocsf.relay.name	网络接口的名称。	关键字
ocsf.relay.namespace	命名空间在合并或收购情况下很有用。例如，当存在需要分开的类似实体时。	关键字
ocsf.relay.subnet_prefix	子网前缀长度确定用于表示 IP 地址网络部分的位数。剩余的位保留用于标识该子网内的各个主机。	长整型
ocsf.relay.type	网络接口的类型。	关键字
ocsf.relay.type_id	网络接口类型标识符。	关键字
ocsf.relay.uid	网络接口的唯一标识符。	关键字
ocsf.remediation.desc	补救策略的描述。	关键字
ocsf.remediation.kb_article_list	与端点相关的知识库文章或补丁列表。	已扁平化
ocsf.remediation.kb_articles	与实体相关的知识库文章。	关键字
ocsf.remediation.references	支持补救策略描述的 URL/参考列表。	关键字
ocsf.remote_display.color_depth	数字颜色深度。	长整型
ocsf.remote_display.physical_height	显示器的数字物理高度。	长整型
ocsf.remote_display.physical_orientation	显示器的数字物理方向。	长整型
ocsf.remote_display.physical_width	显示器的数字物理宽度。	长整型
ocsf.remote_display.scale_factor	显示器的数字比例因子。	长整型
ocsf.request.flags	通信标志列表，已标准化为 flag_ids 值的标题。对于其他情况，它们由事件源定义。	日期
ocsf.request.uid	唯一的请求标识符。	关键字
ocsf.requested_permissions	进程请求的权限掩码。	长整型
ocsf.resources.cloud_partition	区域分配到的规范云分区名称（例如 AWS 分区：aws、aws-cn、aws-us-gov）。	关键字
ocsf.resources.criticality	事件源定义的资源的严重程度。	关键字
ocsf.resources.data	描述资源的其他数据。	已扁平化
ocsf.resources.group.desc	组描述。	关键字
ocsf.resources.group.name	组名称。	关键字
ocsf.resources.group.privileges	组权限。	关键字
ocsf.resources.group.type	组或帐户的类型。	关键字
ocsf.resources.group.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.resources.labels	与资源关联的标签/标记列表。	关键字
ocsf.resources.name	资源的名称。	关键字
ocsf.resources.namespace	当存在需要分开保存的相似实体时，命名空间非常有用。	关键字
ocsf.resources.owner.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.resources.owner.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.resources.owner.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.resources.owner.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.resources.owner.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.resources.owner.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.resources.owner.email_addr	用户的电子邮件地址。	关键字
ocsf.resources.owner.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.resources.owner.groups.desc	组描述。	关键字
ocsf.resources.owner.groups.name	组名称。	关键字
ocsf.resources.owner.groups.privileges	组权限。	关键字
ocsf.resources.owner.groups.type	组或帐户的类型。	关键字
ocsf.resources.owner.groups.type_id	资源组类型标识符。	关键字
ocsf.resources.owner.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.resources.owner.ldap_person	LDAP 人员对象。	已扁平化
ocsf.resources.owner.name	用户名。例如，janedoe1。	关键字
ocsf.resources.owner.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.resources.owner.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.resources.owner.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.resources.owner.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.resources.owner.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.resources.owner.type_id	帐户类型标识符。	关键字
ocsf.resources.owner.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.resources.owner.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.resources.region	资源的云区域。	关键字
ocsf.resources.type	事件源定义的资源类型。	关键字
ocsf.resources.type_id	资源类型标识符。	关键字
ocsf.resources.uid	资源的唯一标识符。	关键字
ocsf.resources.version	资源的版本。例如 1.2.3。	关键字
ocsf.response.code	发送给请求的数字响应。	长整型
ocsf.response.error	错误代码。	关键字
ocsf.response.error_message	错误消息。	关键字
ocsf.response.flags	通信标志列表，已标准化为 flag_ids 值的标题。对于其他情况，它们由事件源定义。	关键字
ocsf.response.message	事件的描述，由事件源定义。	关键字
ocsf.response_time	域名系统 (DNS) 响应时间。	日期
ocsf.response_time_dt	域名系统 (DNS) 响应时间。	日期
ocsf.risk_level	风险级别，已规范化为 risk_level_id 值的标题。对于其他情况，由事件源定义。	关键字
ocsf.risk_level_id	规范化的风险级别 ID。	关键字
ocsf.risk_score	事件源报告的风险评分。	长整型
ocsf.scan.name	管理员提供或应用程序生成的扫描名称。	关键字
ocsf.scan.type	扫描的类型。	关键字
ocsf.scan.type_id	扫描的类型 ID。	关键字
ocsf.scan.uid	应用程序定义的分配给扫描实例的唯一标识符。	关键字
ocsf.schedule_uid	与扫描作业关联的计划的唯一标识符。	关键字
ocsf.security_level	实体的当前安全级别。	关键字
ocsf.security_level_id	实体的当前安全级别。	整数
ocsf.security_states.state	安全状态，已标准化为 state_id 值的标题。	关键字
ocsf.security_states.state_id	受管实体的安全状态。	关键字
ocsf.server_hassh.algorithm	密钥交换、加密、身份验证和压缩算法的串联（以 ; 分隔）。注意：这不是哈希实现的基础算法。	关键字
ocsf.server_hassh.fingerprint.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.server_hassh.fingerprint.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.server_hassh.fingerprint.value	数字指纹值。	关键字
ocsf.service.labels	与服务关联的标签列表。	关键字
ocsf.service.name	服务的名称。	关键字
ocsf.service.uid	服务的唯一标识符。	关键字
ocsf.service.version	服务的版本。	关键字
ocsf.session.created_time	会话创建的时间。	日期
ocsf.session.created_time_dt	会话创建的时间。	日期
ocsf.session.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.session.expiration_time	会话过期时间。	日期
ocsf.session.expiration_time_dt	会话过期时间。	日期
ocsf.session.is_remote	指示会话是否为远程会话。	布尔值
ocsf.session.issuer	会话颁发者的标识符。	关键字
ocsf.session.mfa		布尔值
ocsf.session.uid	会话的唯一标识符。	关键字
ocsf.session.uuid	会话的通用唯一标识符。	关键字
ocsf.severity	事件严重性，已标准化为 severity_id 值的标题。对于其他情况，它由事件源定义。	关键字
ocsf.severity_id	事件严重性的标准化标识符。标准化的严重程度是对管理和解决事件或事故所需的工作量和费用的衡量。较小的数值表示影响较小的事件，较大的数值表示影响较大的事件。	长整型
ocsf.share	SMB 共享名称。	关键字
ocsf.share_type	SMB 共享类型，已标准化为 share_type_id 值的标题。对于其他情况，它由事件源定义。	关键字
ocsf.share_type_id	SMB 共享类型的标准化标识符。	关键字
ocsf.size	已访问或请求的内存大小。	长整型
ocsf.smtp_hello	发起者（客户端）发送的 SMTP HELO 或 EHLO 命令的值。	关键字
ocsf.src_endpoint.container	描述容器实例的信息。	已扁平化
ocsf.src_endpoint.domain	域的名称。	关键字
ocsf.src_endpoint.hostname	端点的完全限定名称。	关键字
ocsf.src_endpoint.hw_info	端点硬件信息。	已扁平化
ocsf.src_endpoint.instance_uid	VM 实例的唯一标识符。	关键字
ocsf.src_endpoint.interface_name	网络接口的名称（例如，eth2）。	关键字
ocsf.src_endpoint.interface_uid	网络接口的唯一标识符。	关键字
ocsf.src_endpoint.intermediate_ips	中间 IP 地址。例如，HTTP X-Forwarded-For 标头中的 IP 地址。	ip
ocsf.src_endpoint.ip	端点的 IP 地址，可以是 IPv4 或 IPv6 格式。	ip
ocsf.src_endpoint.location.city	城市名称。	关键字
ocsf.src_endpoint.location.continent	大洲的名称。	关键字
ocsf.src_endpoint.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.src_endpoint.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.src_endpoint.location.desc	地理位置的描述。	关键字
ocsf.src_endpoint.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.src_endpoint.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.src_endpoint.location.postal_code	位置的邮政编码。	关键字
ocsf.src_endpoint.location.provider	地理位置数据的提供商。	关键字
ocsf.src_endpoint.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.src_endpoint.mac	端点的媒体访问控制 (MAC) 地址。	关键字
ocsf.src_endpoint.name	端点的简称。	关键字
ocsf.src_endpoint.namespace_pid	如果在进程命名空间（例如在容器中）下运行，则该进程命名空间内的进程标识符。	整数
ocsf.src_endpoint.os	端点操作系统。	已扁平化
ocsf.src_endpoint.port	网络连接中用于通信的端口。	长整型
ocsf.src_endpoint.proxy_endpoint	与特定端点相关的网络代理信息。这可用于描述与网络地址转换 (NAT) 相关的信息。	已扁平化
ocsf.src_endpoint.subnet_uid	虚拟子网的唯一标识符。	关键字
ocsf.src_endpoint.svc_name	服务到服务连接中的服务名称。例如，AWS VPC 会记录 pkt-src-aws-service 和 pkt-dst-aws-service 字段，以识别连接来自或去往 AWS 服务。	关键字
ocsf.src_endpoint.type	网络端点类型。例如，未知、服务器、台式机、笔记本电脑、平板电脑、移动设备、虚拟设备、浏览器或其他。	关键字
ocsf.src_endpoint.type_id	网络端点类型 ID。	关键字
ocsf.src_endpoint.uid	端点的唯一标识符。	关键字
ocsf.src_endpoint.vlan_uid	虚拟 LAN 标识符。	关键字
ocsf.src_endpoint.vpc_uid	虚拟私有云 (VPC) 的唯一标识符。	关键字
ocsf.src_endpoint.zone	网络区域或 LAN 网段。	关键字
ocsf.src_url	用于访问原始事件的 URL 链接。	关键字
ocsf.start_time	时间段的开始时间，或者聚合事件中包含的最近事件的时间。	日期
ocsf.start_time_dt	时间段的开始时间，或者聚合事件中包含的最近事件的时间。	日期
ocsf.state	安全发现的标准化状态。	关键字
ocsf.state_id	安全发现的标准化状态标识符。	关键字
ocsf.status	事件状态，已标准化为 status_id 值的标题。对于其他情况，它由事件源定义。	关键字
ocsf.status_code	事件源报告的事件状态代码。例如，在 Windows 身份验证失败事件中，这将是失败代码的值，例如 0x18。	关键字
ocsf.status_detail	状态详细信息包含有关事件结果的其他信息。	关键字
ocsf.status_id	事件状态的标准化标识符。	关键字
ocsf.stratum	NTP 服务器时间源的层级，已标准化为 stratum_id 值的标题。	关键字
ocsf.stratum_id	RFC-5905 中定义的层级的标准化标识符。	整数
ocsf.table	表对象表示结构化关系数据库或数据存储中的表，其中包含可以创建、更新、删除和查询的数据列和行。	已扁平化
ocsf.time	标准化的事件发生时间。	日期
ocsf.time_dt	标准化的事件发生时间。	日期
ocsf.timezone_offset	报告的事件时间提前或落后于 UTC 的分钟数，范围为 -1,080 到 +1,080。	长整型
ocsf.tls.alert	如果存在 TLS 警报，则为整数值。警报在 RFC-2246 的 TLS 规范中定义。	长整型
ocsf.tls.certificate.created_time	证书创建的时间。	日期
ocsf.tls.certificate.created_time_dt	证书创建的时间。	日期
ocsf.tls.certificate.expiration_time	证书的到期时间。	日期
ocsf.tls.certificate.expiration_time_dt	证书的到期时间。	日期
ocsf.tls.certificate.fingerprints.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.tls.certificate.fingerprints.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.tls.certificate.fingerprints.value	数字指纹值。	关键字
ocsf.tls.certificate.issuer	证书颁发者可分辨名称。	关键字
ocsf.tls.certificate.serial_number	用于创建数字签名的证书的序列号。	关键字
ocsf.tls.certificate.subject	证书使用者可分辨名称。	关键字
ocsf.tls.certificate.version	证书版本。	关键字
ocsf.tls.certificate_chain	证书序列号链字段提供了通向根证书颁发者的证书颁发者序列号链。	关键字
ocsf.tls.cipher	协商的密码套件。	关键字
ocsf.tls.client_ciphers	在 TLS 握手协商期间交换的客户端密码套件。	关键字
ocsf.tls.extension_list.data	数据包含特定于特定扩展类型的信息。	已扁平化
ocsf.tls.extension_list.type	TLS 扩展类型。例如：服务器名称。	关键字
ocsf.tls.extension_list.type_id	TLS 扩展类型标识符。请参阅传输层安全性 (TLS) 扩展页面。	关键字
ocsf.tls.handshake_dur	TCP 连接建立后 TLS 握手完成的总时间，包括客户端延迟，以毫秒为单位。	长整型
ocsf.tls.ja3_hash.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.tls.ja3_hash.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.tls.ja3_hash.value	数字指纹值。	关键字
ocsf.tls.ja3s_hash.algorithm	用于创建数字指纹的哈希算法，已标准化为 algorithm_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.tls.ja3s_hash.algorithm_id	用于创建数字指纹的标准化哈希算法的标识符。	关键字
ocsf.tls.ja3s_hash.value	数字指纹值。	关键字
ocsf.tls.key_length	加密密钥的长度。	长整型
ocsf.tls.sans.name	SAN 的名称（例如，实际的 IP 地址或域名）。	关键字
ocsf.tls.sans.type	SAN 的类型描述符（例如，IP 地址/域名/等）。	关键字
ocsf.tls.server_ciphers	在 TLS 握手协商期间交换的服务器密码套件。	关键字
ocsf.tls.sni	客户端发送的服务器名称指示 (SNI) 扩展。	关键字
ocsf.tls.version	TLS 协议版本。	关键字
ocsf.total	扫描的项目总数；如果没有扫描任何项目，则为零。	整数
ocsf.traffic.bytes	总字节数（输入和输出）。	长整型
ocsf.traffic.bytes_in	从目标发送到源的字节数。	长整型
ocsf.traffic.bytes_out	从源发送到目标的字节数。	长整型
ocsf.traffic.packets	数据包总数（输入和输出）。	长整型
ocsf.traffic.packets_in	从目标发送到源的数据包数。	长整型
ocsf.traffic.packets_out	从源发送到目标的数据包数。	长整型
ocsf.transaction_uid	事务的唯一标识符。这通常是从客户端生成的随机数，用于关联 dhcp 请求/响应对。	关键字
ocsf.tree_uid	树 ID 是一个唯一的 SMB 标识符，表示与共享的开放连接。	关键字
ocsf.type	事件的类型。	关键字
ocsf.type_id	标准化的事件类型标识符。	关键字
ocsf.type_name	事件类型名称，由 type_uid 定义。	关键字
ocsf.type_uid	事件类型 ID。它标识事件语义和结构。该值由日志记录系统计算为：class_uid * 100 + activity_id。	关键字
ocsf.unmapped	未映射到事件架构的属性。这些属性的名称和值特定于事件源。	已扁平化
ocsf.url.categories	网站分类名称，由 category_ids 枚举值定义。	关键字
ocsf.url.category_ids	网站分类标识符。	关键字
ocsf.url.hostname	从 URL 中提取的 URL 主机。	关键字
ocsf.url.path	从 URL 中提取的 URL 路径。	关键字
ocsf.url.port	URL 端口。	长整型
ocsf.url.query_string	URL 的查询部分。	关键字
ocsf.url.resource_type	在 Web 请求中检索资源的上下文。	关键字
ocsf.url.scheme	URL 的方案部分。	关键字
ocsf.url.subdomain	URL 的子域部分。	关键字
ocsf.url.url_string	URL 字符串。请参阅 RFC 1738。	关键字
ocsf.user.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.user.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.user.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.user.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.user.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.user.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.user.email_addr	用户的电子邮件地址。	关键字
ocsf.user.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.user.groups.desc	组描述。	关键字
ocsf.user.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.user.groups.name	组名称。	关键字
ocsf.user.groups.privileges	组权限。	关键字
ocsf.user.groups.type	组或帐户的类型。	关键字
ocsf.user.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.user.ldap_person.cost_center	与用户关联的成本中心。	关键字
ocsf.user.ldap_person.created_time	用户创建时的时间戳。	日期
ocsf.user.ldap_person.created_time_dt	用户创建的日期。	日期
ocsf.user.ldap_person.deleted_time	用户被删除时的时间戳。	日期
ocsf.user.ldap_person.deleted_time_dt	用户被删除的日期。	日期
ocsf.user.ldap_person.email_addrs	用户的其他电子邮件地址列表。	关键字
ocsf.user.ldap_person.employee_uid	组织分配给用户的员工标识符。	关键字
ocsf.user.ldap_person.given_name	用户的名字或 first name。	关键字
ocsf.user.ldap_person.hire_time	用户被组织雇用或将要被雇用时的时间戳。	日期
ocsf.user.ldap_person.hire_time_dt	用户被组织雇用或将要被雇用的日期。	日期
ocsf.user.ldap_person.job_title	用户的职位。	关键字
ocsf.user.ldap_person.labels	与用户关联的标签。例如，在 AD 中，这可能是 userType、employeeType。	关键字
ocsf.user.ldap_person.last_login_time	用户上次登录的时间。	日期
ocsf.user.ldap_person.last_login_time_dt	用户上次登录的日期。	日期
ocsf.user.ldap_person.ldap_cn	LDAP 和 X.500 commonName 属性，通常是人员的全名。例如，John Doe。	关键字
ocsf.user.ldap_person.ldap_dn	X.500 可分辨名称 (DN) 是一个结构化的字符串，用于唯一标识 X.500 目录服务中的条目，例如用户。例如，cn=John Doe,ou=People,dc=example,dc=com。	关键字
ocsf.user.ldap_person.leave_time	用户离开或将要离开组织的时间戳。	日期
ocsf.user.ldap_person.leave_time_dt	用户离开或将要离开组织的日期。	日期
ocsf.user.ldap_person.location.city	城市名称。	关键字
ocsf.user.ldap_person.location.continent	大洲的名称。	关键字
ocsf.user.ldap_person.location.coordinates	一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。	geo_point
ocsf.user.ldap_person.location.country	ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表，请参阅 ISO 3166-1 alpha-2 代码。两个字母的国家/地区代码应大写。	关键字
ocsf.user.ldap_person.location.desc	地理位置的描述。	关键字
ocsf.user.ldap_person.location.is_on_premises	指示位置是否在本地。	布尔值
ocsf.user.ldap_person.location.isp	互联网服务提供商 (ISP) 的名称。	关键字
ocsf.user.ldap_person.location.postal_code	位置的邮政编码。	关键字
ocsf.user.ldap_person.location.provider	地理位置数据的提供商。	关键字
ocsf.user.ldap_person.location.region	用于标识国家/地区主要分部（例如，省或州）的字母数字代码。区域代码在 ISO 3166-2 中定义，并且限制为三个字符。例如，请参阅美国的区域代码。	关键字
ocsf.user.ldap_person.manager.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.user.ldap_person.manager.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.user.ldap_person.manager.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.user.ldap_person.manager.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.user.ldap_person.manager.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.user.ldap_person.manager.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.user.ldap_person.manager.email_addr	用户的电子邮件地址。	关键字
ocsf.user.ldap_person.manager.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.user.ldap_person.manager.groups.desc	组描述。	关键字
ocsf.user.ldap_person.manager.groups.domain	定义组的域。例如，LDAP 或 Active Directory 域。	关键字
ocsf.user.ldap_person.manager.groups.name	组名称。	关键字
ocsf.user.ldap_person.manager.groups.privileges	组权限。	关键字
ocsf.user.ldap_person.manager.groups.type	组或帐户的类型。	关键字
ocsf.user.ldap_person.manager.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.user.ldap_person.manager.name	用户名。例如，janedoe1。	关键字
ocsf.user.ldap_person.manager.org.*	与用户相关的组织和组织单元。	对象
ocsf.user.ldap_person.manager.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.user.ldap_person.manager.type_id	帐户类型标识符。	关键字
ocsf.user.ldap_person.manager.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.user.ldap_person.manager.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.user.ldap_person.modified_time	用户条目上次修改时的时间戳。	日期
ocsf.user.ldap_person.modified_time_dt	用户条目上次修改时的日期。	日期
ocsf.user.ldap_person.office_location	与用户关联的主要办公地点。这可以是任何字符串，而不是特定的地址。	关键字
ocsf.user.ldap_person.surname	用户的姓氏或 family name。	关键字
ocsf.user.name	用户名。例如，janedoe1。	关键字
ocsf.user.org.*	与用户相关的组织和组织单元。	对象
ocsf.user.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.user.type_id	帐户类型标识符。	关键字
ocsf.user.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.user.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.user_result.account.name	帐户的名称（例如，GCP 帐户名称）。	关键字
ocsf.user_result.account.type	帐户类型，已标准化为 account_type_id 的标题。如果是其他，则由事件源定义。	关键字
ocsf.user_result.account.type_id	标准化的帐户类型标识符。	关键字
ocsf.user_result.account.uid	帐户的唯一标识符（例如，AWS 帐户 ID）。	关键字
ocsf.user_result.credential_uid	用户凭据的唯一标识符。例如，AWS 访问密钥 ID。	关键字
ocsf.user_result.domain	定义用户的域。例如：LDAP 或 Active Directory 域。	关键字
ocsf.user_result.email_addr	用户的电子邮件地址。	关键字
ocsf.user_result.full_name	根据 LDAP 通用名称属性 (cn) 显示的个人全名。	关键字
ocsf.user_result.groups.desc	组描述。	关键字
ocsf.user_result.groups.name	组名称。	关键字
ocsf.user_result.groups.privileges	组权限。	关键字
ocsf.user_result.groups.type	组或帐户的类型。	关键字
ocsf.user_result.groups.uid	组的唯一标识符。例如，对于 Windows 事件，这是组的安全标识符 (SID)。	关键字
ocsf.user_result.name	用户名。例如，janedoe1。	关键字
ocsf.user_result.org.name	组织的名称。例如，Widget, Inc.	关键字
ocsf.user_result.org.ou_name	组织内组织单元的名称。例如，财务部、IT 部、研发部。	关键字
ocsf.user_result.org.ou_uid	实体唯一标识符的替代标识符。例如，其 Active Directory OU DN 或 AWS OU ID。	关键字
ocsf.user_result.org.uid	组织的唯一标识符。例如，其 Active Directory 或 AWS 组织 ID。	关键字
ocsf.user_result.type	用户的类型。例如，系统、AWS IAM 用户等。	关键字
ocsf.user_result.type_id	帐户类型标识符。	关键字
ocsf.user_result.uid	唯一用户标识符。例如，Windows 用户 SID、ActiveDirectory DN 或 AWS 用户 ARN。	关键字
ocsf.user_result.uid_alt	备用用户标识符。例如，Active Directory 用户 GUID 或 AWS 用户主体 ID。	关键字
ocsf.verdict	分配给事件发现的裁决。	关键字
ocsf.verdict_id	事件的标准化裁决。	整数
ocsf.version	NTP 协议的版本号。	关键字
ocsf.vulnerabilities.cve.created_time	记录创建日期标识何时向 CVE 编号机构 (CNA) 发布 CVE ID，或者何时在 CVE 列表中发布 CVE 记录。请注意，记录创建日期并不一定表示何时发现、与受影响的供应商共享、公开披露或在 CVE 中更新此漏洞。	日期
ocsf.vulnerabilities.cve.created_time_dt	记录创建日期标识何时向 CVE 编号机构 (CNA) 发布 CVE ID，或者何时在 CVE 列表中发布 CVE 记录。请注意，记录创建日期并不一定表示何时发现、与受影响的供应商共享、公开披露或在 CVE 中更新此漏洞。	日期
ocsf.vulnerabilities.cve.cvss.base_score	CVSS 基本分数。例如：9.1。	double
ocsf.vulnerabilities.cve.cvss.depth	CVSS 深度表示用于计算 CVSS 分数的方程的深度。	关键字
ocsf.vulnerabilities.cve.cvss.metrics.name	度量的名称。	关键字
ocsf.vulnerabilities.cve.cvss.metrics.value	度量的值。	关键字
ocsf.vulnerabilities.cve.cvss.overall_score	受基本、临时和环境指标影响的 CVSS 总体分数。例如：9.1。	double
ocsf.vulnerabilities.cve.cvss.severity	通用漏洞评分系统 (CVSS) 定性严重性评级。数字分数的文本表示。	关键字
ocsf.vulnerabilities.cve.cvss.vector_string	CVSS 向量字符串是一组 CVSS 度量的文本表示。它通常用于以简洁的形式记录或传输 CVSS 度量信息。例如：3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H。	关键字
ocsf.vulnerabilities.cve.cvss.version	CVSS 版本。例如：3.1。	关键字
ocsf.vulnerabilities.cve.cwe	通用缺陷枚举 (CWE) 对象描述了漏洞中识别出的缺陷类型。	已扁平化
ocsf.vulnerabilities.cve.cwe_uid	通用弱点枚举 (CWE) 唯一标识符。例如：CWE-787。	关键字
ocsf.vulnerabilities.cve.cwe_url	通用缺陷枚举 (CWE) 定义 URL。例如：https://cwe.mitre.org/data/definitions/787.html。	关键字
ocsf.vulnerabilities.cve.desc	漏洞的描述。	关键字
ocsf.vulnerabilities.cve.epss	漏洞利用预测评分系统 (EPSS) 对象描述了漏洞被利用的估计概率。	已扁平化
ocsf.vulnerabilities.cve.fix_available	指示是否针对报告的漏洞提供了修复程序。	布尔值
ocsf.vulnerabilities.cve.modified_time	记录修改日期标识何时上次更新了 CVE 记录。	日期
ocsf.vulnerabilities.cve.modified_time_dt	记录修改日期标识何时上次更新了 CVE 记录。	日期
ocsf.vulnerabilities.cve.product.feature.*	Feature 对象提供有关生成特定事件的软件产品功能的信息。	对象
ocsf.vulnerabilities.cve.product.lang	双字母小写语言代码，如 ISO 639-1 所定义。例如：en（英语）、de（德语）或 fr（法语）。	关键字
ocsf.vulnerabilities.cve.product.name	产品的名称。	关键字
ocsf.vulnerabilities.cve.product.path	产品的安装路径。	关键字
ocsf.vulnerabilities.cve.product.uid	产品的唯一标识符。	关键字
ocsf.vulnerabilities.cve.product.url_string	指向产品的 URL。	关键字
ocsf.vulnerabilities.cve.product.vendor_name	产品供应商的名称。	关键字
ocsf.vulnerabilities.cve.product.version	产品版本，如事件源定义。例如：2013.1.3-beta。	关键字
ocsf.vulnerabilities.cve.references	支持性参考 URL。	关键字
ocsf.vulnerabilities.cve.title	cve 的标题。	关键字
ocsf.vulnerabilities.cve.type	从 CVE 精炼期间的大型下拉菜单中选择的漏洞类型。	关键字
ocsf.vulnerabilities.cve.uid	分配给特定计算机漏洞的通用漏洞和披露唯一编号。CVE 标识符以 4 位数字开头，表示年份，后跟一系列用作唯一标识符的数字。例如：CVE-2021-12345。	关键字
ocsf.vulnerabilities.cwe.caption	分配给通用缺陷枚举唯一标识符的标题。	关键字
ocsf.vulnerabilities.cwe.src_url	指向 CWE 规范的 URL。	关键字
ocsf.vulnerabilities.cwe.uid	分配给特定缺陷的通用缺陷枚举唯一编号。	关键字
ocsf.vulnerabilities.kb_articles	与实体相关的知识库文章。	关键字
ocsf.vulnerabilities.packages.architecture	体系结构是描述打包软件旨在运行的计算机硬件类型的速记名称。	关键字
ocsf.vulnerabilities.packages.epoch	软件包 epoch。Epoch 是一种基于版本号定义加权依赖关系的方式。	长整型
ocsf.vulnerabilities.packages.license	应用于此软件包的软件许可证。	关键字
ocsf.vulnerabilities.packages.name	软件包名称。	关键字
ocsf.vulnerabilities.packages.release	Release 是软件版本被打包的次数。	关键字
ocsf.vulnerabilities.packages.version	软件包版本。	关键字
ocsf.vulnerabilities.references	支持性参考 URL。	关键字
ocsf.vulnerabilities.related_vulnerabilities	与此漏洞相关的漏洞列表。	关键字
ocsf.vulnerabilities.severity	事件严重性，已标准化为 severity_id 值的标题。对于其他情况，它由事件源定义。	关键字
ocsf.vulnerabilities.title	漏洞的标题。	关键字
ocsf.vulnerabilities.vendor_name	识别出漏洞的供应商。	关键字
ocsf.web_resources.data	Web 资源的详细信息，例如，文件详细信息、搜索结果或应用程序定义的资源。	已扁平化
ocsf.web_resources.desc	Web 资源的描述。	关键字
ocsf.web_resources.labels	与资源关联的标签/标记列表。	关键字
ocsf.web_resources.name	Web 资源的名称。	关键字
ocsf.web_resources.type	事件源定义的 Web 资源类型。	关键字
ocsf.web_resources.uid	Web 资源的唯一标识符。	关键字
ocsf.web_resources.url_string	指向 Web 资源源的 URL。	关键字
ocsf.web_resources_result.data	Web 资源的详细信息，例如，文件详细信息、搜索结果或应用程序定义的资源。	已扁平化
ocsf.web_resources_result.desc	Web 资源的描述。	关键字
ocsf.web_resources_result.labels	与资源关联的标签/标记列表。	关键字
ocsf.web_resources_result.name	Web 资源的名称。	关键字
ocsf.web_resources_result.type	事件源定义的 Web 资源类型。	关键字
ocsf.web_resources_result.uid	Web 资源的唯一标识符。	关键字
ocsf.web_resources_result.url_string	指向 Web 资源源的 URL。	关键字
process.group.id		关键字
process.group.name		关键字
process.parent.user.domain		关键字
process.parent.user.email		关键字
process.parent.user.full_name		关键字
process.parent.user.group.id		关键字
process.parent.user.group.name		关键字
process.user.domain		关键字
process.user.email		关键字
process.user.full_name		关键字
process.user.group.id		关键字
process.user.group.name		关键字

更新日志

编辑

更新日志

版本	详情	Kibana 版本
2.1.0	增强功能 (查看拉取请求) 将 "preserve_original_event" 标签添加到 `event.kind` 设置为 "pipeline_error" 的文档中。	8.13.0 或更高版本
2.0.0	增强功能 (查看拉取请求) 已更新以支持 OCSF v1.1.0，其中包含主要的管道重构和动态映射支持。	8.13.0 或更高版本
1.5.0	Bug 修复 (查看拉取请求) 重新添加了由于先前的更新错误而删除的 SQS 通知设置。	8.13.0 或更高版本
1.4.1	Bug 修复 (查看拉取请求) 删除先前更改中剩余的令人困惑的文档。	8.13.0 或更高版本
1.4.0	增强功能 (查看拉取请求) 允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。	8.13.0 或更高版本
1.3.0	增强功能 (查看拉取请求) 已删除 import_mappings。将 kibana 约束更新为 ^8.13.0。修改了字段定义，以删除 ecs@mappings 组件模板中冗余的 ECS 字段。	8.13.0 或更高版本
1.2.1	Bug 修复 (查看拉取请求) 已移除 SQS 支持，因为我们不支持在输入级别进行基于 SQS 的 Parquet 解码。	8.12.0 或更高版本
1.2.0	增强 (查看拉取请求) 将清单格式版本更新至 v3.0.3。	8.12.0 或更高版本
1.1.0	增强 (查看拉取请求) 将敏感值设置为 secret。	8.12.0 或更高版本
1.0.1	增强 (查看拉取请求) 已更改所有者	8.11.0 或更高版本
1.0.0	增强 (查看拉取请求) 将软件包作为 GA 版本发布。	8.11.0 或更高版本
0.9.0	增强 (查看拉取请求) 添加对所有 OCSF 类的支持。	—
0.8.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	—
0.7.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时发生错误。	—
0.6.0	增强 (查看拉取请求) 添加数据订阅者步骤。	—
0.5.0	增强 (查看拉取请求) 删除角色创建步骤，并添加通知解析脚本参数。	—
0.4.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点状 YAML 键。在软件包清单中添加了 owner.type: elastic。	—
0.3.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便使用“安全解决方案”标记集成的仪表板和保存的搜索，并在安全解决方案 UI 中显示。	—
0.2.1	错误修复 (查看拉取请求) 修复自述文件缩进。	—
0.2.0	增强 (查看拉取请求) 添加外部 ID 参数并更新用户指南。	—
0.1.0	增强 (查看拉取请求) 初始版本。	—

« Amazon S3 Storage Lens AWS SNS »