VMware Carbon Black Cloud
编辑VMware Carbon Black Cloud
编辑VMware Carbon Black Cloud 集成从 Carbon Black Cloud REST API 和 AWS S3 存储桶收集并解析数据。
2.0.0+ 版本更新声明
编辑Carbon Black Cloud Alerts API (v6) 将于 2024 年 7 月 31 日停用。之后,当前的警报数据流将无法使用。为了实现平稳过渡,我们引入了一个名为 alert_v7 的新数据流,该数据流基于主要的 Alerts API (v7) 架构更改和 Data Forwarder 2.0 架构更改。与原始数据流相比,此数据流具有重大更改,并且仅适用于我们新的 CEL 输入,该输入目前标记为 [Beta]。请查阅官方文档 Alerts v7 和 Data Forwarder 2.0 以获取更多信息。2024 年 7 月 31 日之后,旧的警报 v6 数据流将被弃用,并从 HTTPJSON 输入中删除,只有新的 alert_v7 数据流将存在于 CEL 输入下。
1.21+ 版本更新声明
编辑从 1.21 版本开始,如果同时使用配置为使用 AWS SQS 的多个 AWS 数据流,则应为每个数据流配置单独的 SQS 队列。因此,文件选择器正则表达式的默认值已被注释掉。现在存在全局队列的唯一原因是避免在升级到 1.21 及更高版本时发生重大更改。每个数据流的单独 SQS 队列应有助于修复在旧版本中发生的数据丢失问题。
HTTPJSON vs CEL
编辑2.0.0 版本引入了 CEL 输入的使用。此输入方法目前标记为 [Beta],而较旧的 HTTPJSON 输入方法已标记为 [Legacy]。HTTPJSON 输入方法将不会收到增强更改,并且不支持新的 alert_v7 数据流。
注意(重要)
编辑- 不要在单个数据流中同时启用 HTTPJSON 和 CEL 输入方法;同时启用两者可能会导致意外/重复的结果,因为它们在相同的数据流上运行。
- 当使用 AWS-S3 输入时,请使用旧的警报数据流或支持 Data Forwarder 2.0 架构的新的 [Beta] alert_v7 数据流。
alert_v7数据流受我们新的Alert V7仪表板支持。旧的Alert仪表板将不反映新的更改。
兼容性
编辑此模块已针对 Alerts API (v7) [Beta]、Alerts API (v6)、Audit Log Events (v3) 和 Vulnerability Assessment (v1) 进行了测试。
要求
编辑为了从 AWS S3 存储桶中摄取数据,您必须
编辑- 配置 Data Forwarder 以将数据摄取到 AWS S3 存储桶中。
- 创建 AWS 访问密钥和秘密访问密钥。
- 下面列出了“存储桶列表前缀”的默认值。但是,用户可以根据他们的要求设置参数“存储桶列表前缀”。
| 数据流名称 | 存储桶列表前缀 |
|---|---|
Alert_v7 |
alert_logs_v7 |
警报 |
alert_logs |
端点事件 |
endpoint_event_logs |
监视列表命中 |
watchlist_hit_logs |
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑- 如果尚未配置将数据转发到 AWS S3 存储桶,请首先按照上述文档中所述设置 AWS S3 存储桶。
-
对于已启用的每个数据流,请按照以下步骤操作
注意
- 每个启用的数据流都需要单独的 SQS 队列和 S3 存储桶通知。
- 应根据 Filebeat S3 输入文档配置上述 AWS S3 存储桶和 SQS 队列的权限
- 在这种情况下,通过 AWS S3 存储桶和 AWS SQS 进行数据收集是互斥的。
为了从 API 摄取数据,您必须生成 API 密钥和 API 秘密密钥
编辑- 在 Carbon Black Cloud 中,在左侧导航窗格中,单击 设置 > API 访问。
- 单击添加 API 密钥。
-
为 API 密钥指定唯一的名称和描述。
- 选择适当的访问级别类型。请查看下表中集成所需的访问级别和权限。
注意:要使用自定义访问级别,请从访问级别类型下拉菜单中选择“自定义”,并指定自定义访问级别。 - 可选:添加授权的 IP 地址。
- 出于安全原因,您可以将 API 密钥的使用限制为一组特定的 IP 地址。
注意:授权的 IP 地址不适用于自定义密钥。
- 选择适当的访问级别类型。请查看下表中集成所需的访问级别和权限。
- 要应用更改,请单击“保存”。
访问级别和权限
编辑- 下表指示所需的 API 密钥访问级别类型。如果类型是“自定义”,则还将包括所需的权限。
| 数据流 | 访问级别和权限 |
|---|---|
审计 |
API |
警报 |
自定义 orgs.alerts(读取) |
资产漏洞摘要 |
自定义 vulnerabilityAssessment.data(读取) |
日志
编辑审计
编辑这是 audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2022-02-10T16:04:30.263Z",
"agent": {
"ephemeral_id": "a820562f-e713-4f48-81bc-7f329f192335",
"id": "45e49275-eb7d-4b20-a8af-d084fb2551c7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"carbon_black_cloud": {
"audit": {
"flagged": false,
"verbose": false
}
},
"client": {
"ip": "10.10.10.10",
"user": {
"id": "[email protected]"
}
},
"data_stream": {
"dataset": "carbon_black_cloud.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "45e49275-eb7d-4b20-a8af-d084fb2551c7",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-04-19T16:30:46.573Z",
"dataset": "carbon_black_cloud.audit",
"id": "2122f8ce8xxxxxxxxxxxxx",
"ingested": "2023-04-19T16:30:50Z",
"kind": "event",
"original": "{\"clientIp\":\"10.10.10.10\",\"description\":\"Logged in successfully\",\"eventId\":\"2122f8ce8xxxxxxxxxxxxx\",\"eventTime\":1644509070263,\"flagged\":false,\"loginName\":\"[email protected]\",\"orgName\":\"cb-xxxx-xxxx.com\",\"requestUrl\":null,\"verbose\":false}",
"outcome": "success",
"reason": "Logged in successfully"
},
"input": {
"type": "httpjson"
},
"organization": {
"name": "cb-xxxx-xxxx.com"
},
"related": {
"ip": [
"10.10.10.10"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-audit"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.audit.flagged |
如果操作失败,则为 true,否则为 false。 |
布尔值 |
carbon_black_cloud.audit.verbose |
如果为详细审计日志,则为 true,否则为 false。 |
布尔值 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
警报
编辑这是 alert 数据集。
示例
alert 的示例事件如下所示
{
"@timestamp": "2020-11-17T22:05:13.000Z",
"agent": {
"ephemeral_id": "0c34bcbb-0fe1-4219-a711-8a44cb9e8b75",
"id": "c073dde3-4d37-4b40-8161-a008a04d551f",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"carbon_black_cloud": {
"alert": {
"category": "warning",
"device": {
"location": "UNKNOWN",
"os": "WINDOWS"
},
"last_update_time": "2020-11-17T22:05:13.000Z",
"legacy_alert_id": "C8EB7306-AF26-4A9A-B677-814B3AF69720",
"organization_key": "ABCD6X3T",
"policy": {
"applied": "APPLIED",
"id": 6997287,
"name": "Standard"
},
"product_id": "0x5406",
"product_name": "U3 Cruzer Micro",
"reason_code": "6D578342-9DE5-4353-9C25-1D3D857BFC5B:DCAEB1FA-513C-4026-9AB6-37A935873FBC",
"run_state": "DID_NOT_RUN",
"sensor_action": "DENY",
"serial_number": "0875920EF7C2A304",
"target_value": "MEDIUM",
"threat_cause": {
"cause_event_id": "FCEE2AF0-D832-4C9F-B988-F11B46028C9E",
"threat_category": "NON_MALWARE",
"vector": "REMOVABLE_MEDIA"
},
"threat_id": "t5678",
"type": "DEVICE_CONTROL",
"vendor_id": "0x0781",
"vendor_name": "SanDisk",
"workflow": {
"changed_by": "Carbon Black",
"last_update_time": "2020-11-17T22:02:16.000Z",
"state": "OPEN"
}
}
},
"data_stream": {
"dataset": "carbon_black_cloud.alert",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c073dde3-4d37-4b40-8161-a008a04d551f",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-04-19T16:35:34.619Z",
"dataset": "carbon_black_cloud.alert",
"end": "2020-11-17T22:02:16.000Z",
"id": "test1",
"ingested": "2023-04-19T16:35:38Z",
"kind": "alert",
"original": "{\"category\":\"WARNING\",\"create_time\":\"2020-11-17T22:05:13Z\",\"device_id\":2,\"device_location\":\"UNKNOWN\",\"device_name\":\"DESKTOP-002\",\"device_os\":\"WINDOWS\",\"device_os_version\":\"Windows 10 x64\",\"device_username\":\"[email protected]\",\"first_event_time\":\"2020-11-17T22:02:16Z\",\"id\":\"test1\",\"last_event_time\":\"2020-11-17T22:02:16Z\",\"last_update_time\":\"2020-11-17T22:05:13Z\",\"legacy_alert_id\":\"C8EB7306-AF26-4A9A-B677-814B3AF69720\",\"org_key\":\"ABCD6X3T\",\"policy_applied\":\"APPLIED\",\"policy_id\":6997287,\"policy_name\":\"Standard\",\"product_id\":\"0x5406\",\"product_name\":\"U3 Cruzer Micro\",\"reason\":\"Access attempted on unapproved USB device SanDisk U3 Cruzer Micro (SN: 0875920EF7C2A304). A Deny Policy Action was applied.\",\"reason_code\":\"6D578342-9DE5-4353-9C25-1D3D857BFC5B:DCAEB1FA-513C-4026-9AB6-37A935873FBC\",\"run_state\":\"DID_NOT_RUN\",\"sensor_action\":\"DENY\",\"serial_number\":\"0875920EF7C2A304\",\"severity\":3,\"target_value\":\"MEDIUM\",\"threat_cause_cause_event_id\":\"FCEE2AF0-D832-4C9F-B988-F11B46028C9E\",\"threat_cause_threat_category\":\"NON_MALWARE\",\"threat_cause_vector\":\"REMOVABLE_MEDIA\",\"threat_id\":\"t5678\",\"type\":\"DEVICE_CONTROL\",\"vendor_id\":\"0x0781\",\"vendor_name\":\"SanDisk\",\"workflow\":{\"changed_by\":\"Carbon Black\",\"comment\":\"\",\"last_update_time\":\"2020-11-17T22:02:16Z\",\"remediation\":\"\",\"state\":\"OPEN\"}}",
"reason": "Access attempted on unapproved USB device SanDisk U3 Cruzer Micro (SN: 0875920EF7C2A304). A Deny Policy Action was applied.",
"severity": 3,
"start": "2020-11-17T22:02:16.000Z"
},
"host": {
"hostname": "DESKTOP-002",
"id": "2",
"name": "DESKTOP-002",
"os": {
"type": "windows",
"version": "Windows 10 x64"
}
},
"input": {
"type": "httpjson"
},
"related": {
"hosts": [
"DESKTOP-002"
],
"user": [
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-alert"
],
"user": {
"name": "[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.alert.blocked_threat_category |
我们能够采取措施的威胁类别。 |
关键字 |
carbon_black_cloud.alert.category |
警报的类别。 |
关键字 |
carbon_black_cloud.alert.count |
长整型 |
|
carbon_black_cloud.alert.created_by_event_id |
启动警报的事件标识符。 |
关键字 |
carbon_black_cloud.alert.device.location |
设备的位置。 |
关键字 |
carbon_black_cloud.alert.device.os |
设备的操作系统。 |
关键字 |
carbon_black_cloud.alert.document_guid |
文档的唯一 ID。 |
关键字 |
carbon_black_cloud.alert.ioc.field |
危害指标 (IOC) 命中所包含的字段。 |
关键字 |
carbon_black_cloud.alert.ioc.hit |
匹配的 IOC 字段值或 IOC 查询。 |
关键字 |
carbon_black_cloud.alert.ioc.id |
导致命中的 IOC 的标识符。 |
关键字 |
carbon_black_cloud.alert.kill_chain_status |
与警报属性最密切相关的网络杀伤链序列中的阶段。 |
关键字 |
carbon_black_cloud.alert.last_update_time |
警报上次更新的时间(采用 ISO 8601 UTC 时间戳格式)。 |
日期 |
carbon_black_cloud.alert.legacy_alert_id |
警报的旧标识符。 |
关键字 |
carbon_black_cloud.alert.not_blocked_threat_category |
我们无法采取措施的其他可能与威胁相关的恶意活动(由于策略配置或没有相关规则)。 |
关键字 |
carbon_black_cloud.alert.notes_present |
指示是否与 threat_id 关联了注释。 |
布尔值 |
carbon_black_cloud.alert.organization_key |
与警报关联的组织的唯一标识符。 |
关键字 |
carbon_black_cloud.alert.policy.applied |
是否应用了策略。 |
关键字 |
carbon_black_cloud.alert.policy.id |
警报发生时与设备关联的策略的标识符。 |
长整型 |
carbon_black_cloud.alert.policy.name |
警报发生时与设备关联的策略的名称。 |
关键字 |
carbon_black_cloud.alert.product_id |
USB 设备产品的十六进制 ID。 |
关键字 |
carbon_black_cloud.alert.product_name |
USB 设备供应商的名称。 |
关键字 |
carbon_black_cloud.alert.reason_code |
完整文本原因的简短枚举。 |
关键字 |
carbon_black_cloud.alert.report.id |
包含 IOC 的报告的标识符。 |
关键字 |
carbon_black_cloud.alert.report.name |
包含 IOC 的报告的名称。 |
关键字 |
carbon_black_cloud.alert.run_state |
警报中的威胁是否已运行。 |
关键字 |
carbon_black_cloud.alert.sensor_action |
传感器根据策略规则采取的措施。 |
关键字 |
carbon_black_cloud.alert.serial_number |
USB 设备的序列号。 |
关键字 |
carbon_black_cloud.alert.status |
警报的状态。 |
关键字 |
carbon_black_cloud.alert.tags |
与警报关联的标签。 |
关键字 |
carbon_black_cloud.alert.target_value |
策略分配的设备优先级。 |
关键字 |
carbon_black_cloud.alert.threat_activity.c2 |
警报是否涉及命令和控制 (c2) 服务器。 |
关键字 |
carbon_black_cloud.alert.threat_activity.dlp |
警报是否涉及数据丢失防护 (DLP)。 |
关键字 |
carbon_black_cloud.alert.threat_activity.phish |
警报是否涉及网络钓鱼。 |
关键字 |
carbon_black_cloud.alert.threat_cause.actor.md5 |
威胁原因参与者的 MD5 哈希值。 |
关键字 |
carbon_black_cloud.alert.threat_cause.actor.name |
名称可以是以下之一:进程命令行、进程名称或分析匹配的威胁。分析匹配的威胁是漏洞利用、恶意软件、PUP 或木马。 |
关键字 |
carbon_black_cloud.alert.threat_cause.actor.process_pid |
参与者进程的进程标识符 (PID)。 |
关键字 |
carbon_black_cloud.alert.threat_cause.actor.sha256 |
威胁原因参与者的 SHA256 哈希值。 |
关键字 |
carbon_black_cloud.alert.threat_cause.cause_event_id |
触发威胁的事件 ID。 |
关键字 |
carbon_black_cloud.alert.threat_cause.process.guid |
进程的全局唯一标识符。 |
关键字 |
carbon_black_cloud.alert.threat_cause.process.parent.guid |
进程的全局唯一标识符。 |
关键字 |
carbon_black_cloud.alert.threat_cause.reputation |
威胁原因的信誉。 |
关键字 |
carbon_black_cloud.alert.threat_cause.threat_category |
威胁原因的类别。 |
关键字 |
carbon_black_cloud.alert.threat_cause.vector |
威胁原因的来源。 |
关键字 |
carbon_black_cloud.alert.threat_id |
此警报所属的威胁的标识符。威胁由可以在设备之间重复出现的因素组合构成。 |
关键字 |
carbon_black_cloud.alert.threat_indicators.process_name |
与威胁关联的进程名称。 |
关键字 |
carbon_black_cloud.alert.threat_indicators.sha256 |
与威胁关联的 Sha256 哈希值。 |
关键字 |
carbon_black_cloud.alert.threat_indicators.ttps |
与威胁关联的战术、技术和程序。 |
关键字 |
carbon_black_cloud.alert.type |
警报的类型。 |
关键字 |
carbon_black_cloud.alert.vendor_id |
USB 设备供应商的十六进制 ID。 |
关键字 |
carbon_black_cloud.alert.vendor_name |
USB 设备供应商的名称。 |
关键字 |
carbon_black_cloud.alert.watchlists.id |
监视列表的标识符。 |
关键字 |
carbon_black_cloud.alert.watchlists.name |
监视列表的名称。 |
关键字 |
carbon_black_cloud.alert.workflow.changed_by |
更改工作流的用户的名称。 |
关键字 |
carbon_black_cloud.alert.workflow.comment |
与工作流关联的评论。 |
关键字 |
carbon_black_cloud.alert.workflow.last_update_time |
工作流的最后更新时间。 |
日期 |
carbon_black_cloud.alert.workflow.remediation |
不适用。 |
关键字 |
carbon_black_cloud.alert.workflow.state |
工作流的状态。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
警报
编辑这是 alert_v7 数据集。
示例
alert_v7 的示例事件如下所示
{
"@timestamp": "2024-03-13T08:02:36.578Z",
"agent": {
"ephemeral_id": "9c46ff77-c269-4593-a3d8-efd89fbdca66",
"id": "db2930ff-774e-4541-bcd4-1a6a1d656167",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.1"
},
"carbon_black_cloud": {
"alert": {
"alert_notes_present": false,
"backend_timestamp": "2024-03-13T08:03:29.540Z",
"backend_update_timestamp": "2024-03-13T08:03:29.540Z",
"category": "THREAT",
"determination": {
"change_timestamp": "2024-03-13T08:03:29.540Z",
"changed_by": "ALERT_CREATION",
"changed_by_type": "SYSTEM",
"value": "NONE"
},
"device": {
"external_ip": "75.98.230.194",
"internal_ip": "172.16.100.140",
"location": "UNKNOWN",
"os": "WINDOWS",
"policy": "default",
"policy_id": 6525,
"target_value": "MEDIUM"
},
"ioc": {
"hit": "(fileless_scriptload_cmdline:Register-ScheduledTask OR fileless_scriptload_cmdline:New-ScheduledTask OR scriptload_content:Register-ScheduledTask OR scriptload_content:New-ScheduledTask) AND NOT (process_cmdline:windows\\\\\ccm\\\\\systemtemp OR crossproc_name:windows\\\\\ccm\\\\\ccmexec.exe OR (process_publisher:\"VMware, Inc.\" AND process_publisher_state:FILE_SIGNATURE_STATE_TRUSTED))",
"id": "d1080521-e617-4e45-94e0-7a145c62c90a"
},
"is_updated": false,
"mdr": {
"alert": false,
"alert_notes_present": false,
"threat_notes_present": false
},
"ml_classification_final_verdict": "NOT_ANOMALOUS",
"ml_classification_global_prevalence": "LOW",
"ml_classification_org_prevalence": "LOW",
"organization_key": "7DESJ9GN",
"parent": {
"cmdline": "C:\\Windows\\system32\\svchost.exe -k netsvcs -p -s Schedule",
"effective_reputation": "TRUSTED_WHITE_LIST",
"guid": "7DESJ9GN-0064e5a7-0000077c-00000000-1da5ed7ec07b275",
"hash": {
"md5": "145dcf6706eeea5b066885ee17964c09",
"sha256": "f13de58416730d210dab465b242e9c949fb0a0245eef45b07c381f0c6c8a43c3"
},
"name": "c:\\windows\\system32\\svchost.exe",
"pid": 1916,
"reputation": "TRUSTED_WHITE_LIST",
"username": "NT AUTHORITY\\SYSTEM"
},
"policy_applied": "NOT_APPLIED",
"primary_event_id": "re9M9hp8TbGLqyk6QXqQqA-0",
"process": {
"cmdline": "\"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -EP Bypass \\\\\eip.demo\\sysvol\\EIP.DEMO\\scripts\\Luminol.ps1",
"effective_reputation": "TRUSTED_WHITE_LIST",
"guid": "7DESJ9GN-0064e5a7-00001434-00000000-1da751c7354ebfe",
"hash": {
"md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"sha256": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3"
},
"issuer": [
"Microsoft Windows Production PCA 2011"
],
"name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"pid": 5172,
"publisher": [
"Microsoft Windows"
],
"reputation": "TRUSTED_WHITE_LIST",
"username": "NT AUTHORITY\\SYSTEM"
},
"reason_code": "c21ca826-573a-3d97-8c1e-93c8471aab7f:8033b29d-81d2-3c47-82d2-f4a7f398b85d",
"report": {
"description": "Newer Powershell versions introduced built-in cmdlets to manage scheduled tasks natively without calling out to typical scheduled task processes like at.exe or schtasks.exe. This detection looks for behaviors related to the fileless execution of scheduled tasks. If you are responding to this alert, be sure to correlate the fileless scriptload events with events typically found in your environment Generally, attackers will create scheduled tasks with binaries that are located in user writable directories like AppData, Temp, or public folders.",
"id": "LrKOC7DtQbm4g8w0UFruQg-d1080521-e617-4e45-94e0-7a145c62c90a",
"link": "https://attack.mitre.org/techniques/T1053/",
"name": "Execution - AMSI - New Fileless Scheduled Task Behavior Detected",
"tags": [
"execution",
"privesc",
"persistence",
"t1053",
"windows",
"amsi",
"attack",
"attackframework"
]
},
"run_state": "RAN",
"sensor_action": "ALLOW",
"threat_id": "C21CA826573A8D974C1E93C8471AAB7F",
"threat_notes_present": false,
"type": "WATCHLIST",
"url": "defense.conferdeploy.net/alerts?s[c][query_string]=id:1c6aba68-24cc-41e3-ad8e-4b545a587b55&orgKey=7DESJ9GN",
"watchlists": [
{
"id": "Ci7w5B4URg6HN60hatQMQ",
"name": "AMSI Threat Intelligence"
}
],
"workflow": {
"change_timestamp": "2024-03-13T08:03:29.540Z",
"changed_by": "ALERT_CREATION",
"changed_by_type": "SYSTEM",
"closure_reason": "NO_REASON",
"status": "OPEN"
}
}
},
"data_stream": {
"dataset": "carbon_black_cloud.alert_v7",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "db2930ff-774e-4541-bcd4-1a6a1d656167",
"snapshot": false,
"version": "8.12.1"
},
"event": {
"agent_id_status": "verified",
"dataset": "carbon_black_cloud.alert_v7",
"end": "2024-03-13T08:00:09.894Z",
"id": "1c6aba68-24cc-41e3-ad8e-4b545a587b55",
"ingested": "2024-04-10T09:06:02Z",
"kind": "alert",
"original": "{\"alert_notes_present\":false,\"alert_url\":\"defense.conferdeploy.net/alerts?s[c][query_string]=id:1c6aba68-24cc-41e3-ad8e-4b545a587b55\\u0026orgKey=7DESJ9GN\",\"asset_group\":[],\"backend_timestamp\":\"2024-03-13T08:03:29.540Z\",\"backend_update_timestamp\":\"2024-03-13T08:03:29.540Z\",\"childproc_cmdline\":\"\",\"childproc_guid\":\"\",\"childproc_username\":\"\",\"detection_timestamp\":\"2024-03-13T08:02:36.578Z\",\"determination\":{\"change_timestamp\":\"2024-03-13T08:03:29.540Z\",\"changed_by\":\"ALERT_CREATION\",\"changed_by_type\":\"SYSTEM\",\"value\":\"NONE\"},\"device_external_ip\":\"75.98.230.194\",\"device_id\":6612391,\"device_internal_ip\":\"172.16.100.140\",\"device_location\":\"UNKNOWN\",\"device_name\":\"EIP\\\\\WW-20002\",\"device_os\":\"WINDOWS\",\"device_os_version\":\"Windows 10 x64\",\"device_policy\":\"default\",\"device_policy_id\":6525,\"device_target_value\":\"MEDIUM\",\"device_uem_id\":\"\",\"device_username\":\"EIP\\\\\Administrator\",\"first_event_timestamp\":\"2024-03-13T08:00:09.894Z\",\"id\":\"1c6aba68-24cc-41e3-ad8e-4b545a587b55\",\"ioc_hit\":\"(fileless_scriptload_cmdline:Register-ScheduledTask OR fileless_scriptload_cmdline:New-ScheduledTask OR scriptload_content:Register-ScheduledTask OR scriptload_content:New-ScheduledTask) AND NOT (process_cmdline:windows\\\\\\\\\\ccm\\\\\\\\\\systemtemp OR crossproc_name:windows\\\\\\\\\\ccm\\\\\\\\\\ccmexec.exe OR (process_publisher:\\\"VMware, Inc.\\\" AND process_publisher_state:FILE_SIGNATURE_STATE_TRUSTED))\",\"ioc_id\":\"d1080521-e617-4e45-94e0-7a145c62c90a\",\"is_updated\":false,\"last_event_timestamp\":\"2024-03-13T08:00:09.894Z\",\"mdr_alert\":false,\"mdr_alert_notes_present\":false,\"mdr_threat_notes_present\":false,\"ml_classification_anomalies\":[],\"ml_classification_final_verdict\":\"NOT_ANOMALOUS\",\"ml_classification_global_prevalence\":\"LOW\",\"ml_classification_org_prevalence\":\"LOW\",\"org_key\":\"7DESJ9GN\",\"parent_cmdline\":\"C:\\\\\Windows\\\\\system32\\\\\svchost.exe -k netsvcs -p -s Schedule\",\"parent_effective_reputation\":\"TRUSTED_WHITE_LIST\",\"parent_guid\":\"7DESJ9GN-0064e5a7-0000077c-00000000-1da5ed7ec07b275\",\"parent_md5\":\"145dcf6706eeea5b066885ee17964c09\",\"parent_name\":\"c:\\\\\windows\\\\\system32\\\\\svchost.exe\",\"parent_pid\":1916,\"parent_reputation\":\"TRUSTED_WHITE_LIST\",\"parent_sha256\":\"f13de58416730d210dab465b242e9c949fb0a0245eef45b07c381f0c6c8a43c3\",\"parent_username\":\"NT AUTHORITY\\\\\SYSTEM\",\"policy_applied\":\"NOT_APPLIED\",\"primary_event_id\":\"re9M9hp8TbGLqyk6QXqQqA-0\",\"process_cmdline\":\"\\\"C:\\\\\Windows\\\\\System32\\\\\WindowsPowerShell\\\\\v1.0\\\\\powershell.exe\\\" -EP Bypass \\\\\\\\\\eip.demo\\\\\sysvol\\\\\EIP.DEMO\\\\\scripts\\\\\Luminol.ps1\",\"process_effective_reputation\":\"TRUSTED_WHITE_LIST\",\"process_guid\":\"7DESJ9GN-0064e5a7-00001434-00000000-1da751c7354ebfe\",\"process_issuer\":[\"Microsoft Windows Production PCA 2011\"],\"process_md5\":\"2e5a8590cf6848968fc23de3fa1e25f1\",\"process_name\":\"c:\\\\\windows\\\\\system32\\\\\windowspowershell\\\\\v1.0\\\\\powershell.exe\",\"process_pid\":5172,\"process_publisher\":[\"Microsoft Windows\"],\"process_reputation\":\"TRUSTED_WHITE_LIST\",\"process_sha256\":\"9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3\",\"process_username\":\"NT AUTHORITY\\\\\SYSTEM\",\"reason\":\"Process powershell.exe was detected by the report \\\"Execution - AMSI - New Fileless Scheduled Task Behavior Detected\\\" in watchlist \\\"AMSI Threat Intelligence\\\"\",\"reason_code\":\"c21ca826-573a-3d97-8c1e-93c8471aab7f:8033b29d-81d2-3c47-82d2-f4a7f398b85d\",\"report_description\":\"Newer Powershell versions introduced built-in cmdlets to manage scheduled tasks natively without calling out to typical scheduled task processes like at.exe or schtasks.exe. This detection looks for behaviors related to the fileless execution of scheduled tasks. If you are responding to this alert, be sure to correlate the fileless scriptload events with events typically found in your environment Generally, attackers will create scheduled tasks with binaries that are located in user writable directories like AppData, Temp, or public folders.\",\"report_id\":\"LrKOC7DtQbm4g8w0UFruQg-d1080521-e617-4e45-94e0-7a145c62c90a\",\"report_link\":\"https://attack.mitre.org/techniques/T1053/\",\"report_name\":\"Execution - AMSI - New Fileless Scheduled Task Behavior Detected\",\"report_tags\":[\"execution\",\"privesc\",\"persistence\",\"t1053\",\"windows\",\"amsi\",\"attack\",\"attackframework\"],\"run_state\":\"RAN\",\"sensor_action\":\"ALLOW\",\"severity\":5,\"tags\":null,\"threat_id\":\"C21CA826573A8D974C1E93C8471AAB7F\",\"threat_notes_present\":false,\"type\":\"WATCHLIST\",\"user_update_timestamp\":null,\"watchlists\":[{\"id\":\"Ci7w5B4URg6HN60hatQMQ\",\"name\":\"AMSI Threat Intelligence\"}],\"workflow\":{\"change_timestamp\":\"2024-03-13T08:03:29.540Z\",\"changed_by\":\"ALERT_CREATION\",\"changed_by_type\":\"SYSTEM\",\"closure_reason\":\"NO_REASON\",\"status\":\"OPEN\"}}",
"reason": "Process powershell.exe was detected by the report \"Execution - AMSI - New Fileless Scheduled Task Behavior Detected\" in watchlist \"AMSI Threat Intelligence\"",
"severity": 5,
"start": "2024-03-13T08:00:09.894Z"
},
"host": {
"hostname": "WW-20002",
"id": "6612391",
"name": "WW-20002",
"os": {
"type": "windows",
"version": "Windows 10 x64"
}
},
"input": {
"type": "cel"
},
"process": {
"command_line": "\"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -EP Bypass \\\\\eip.demo\\sysvol\\EIP.DEMO\\scripts\\Luminol.ps1",
"entity_id": "7DESJ9GN-0064e5a7-00001434-00000000-1da751c7354ebfe",
"executable": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"hash": {
"md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"sha256": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3"
},
"name": "powershell.exe",
"parent": {
"command_line": "C:\\Windows\\system32\\svchost.exe -k netsvcs -p -s Schedule",
"entity_id": "7DESJ9GN-0064e5a7-0000077c-00000000-1da5ed7ec07b275",
"executable": "c:\\windows\\system32\\svchost.exe",
"hash": {
"md5": "145dcf6706eeea5b066885ee17964c09",
"sha256": "f13de58416730d210dab465b242e9c949fb0a0245eef45b07c381f0c6c8a43c3"
},
"name": "svchost.exe",
"pid": 1916
},
"pid": 5172
},
"related": {
"hash": [
"f13de58416730d210dab465b242e9c949fb0a0245eef45b07c381f0c6c8a43c3",
"145dcf6706eeea5b066885ee17964c09",
"9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"2e5a8590cf6848968fc23de3fa1e25f1"
],
"hosts": [
"WW-20002",
"EIP"
],
"user": [
"Administrator"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-alert"
],
"user": {
"domain": "EIP",
"name": "Administrator"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.alert.additional_events_present |
指示 API 和转发器用户应该查找与此警报相关的其他关联事件。 |
布尔值 |
carbon_black_cloud.alert.alert_notes_present |
指示是否存在与警报关联的注释。 |
布尔值 |
carbon_black_cloud.alert.attack_tactic |
MITRE ATT&CK 框架中的 S 策略。 |
关键字 |
carbon_black_cloud.alert.attack_technique |
MITRE ATT&CK 框架中的技术。 |
关键字 |
carbon_black_cloud.alert.backend_timestamp |
Carbon Black Cloud 后端首次检测到警报时的时间戳,采用 ISO 8601 UTC 时间戳格式。 |
日期 |
carbon_black_cloud.alert.backend_update_timestamp |
在 Carbon Black Cloud 中最后一次更新警报的时间,采用 ISO 8601 UTC 时间戳格式。 |
日期 |
carbon_black_cloud.alert.blocked_process.effective_reputation |
被阻止文件或进程的有效信誉;在阻止发生时由传感器应用。 |
关键字 |
carbon_black_cloud.alert.blocked_process.hash.md5 |
子进程二进制文件的 MD5 哈希值;适用于被传感器终止的任何进程。 |
关键字 |
carbon_black_cloud.alert.blocked_process.hash.sha256 |
子进程二进制文件的 SHA-256 哈希值;适用于被传感器终止的任何进程。 |
关键字 |
carbon_black_cloud.alert.blocked_process.name |
传感器操作阻止的文件标记化文件路径。 |
关键字 |
carbon_black_cloud.alert.category |
警报的类别。 |
关键字 |
carbon_black_cloud.alert.childproc.cmdline |
子进程执行的命令行。 |
关键字 |
carbon_black_cloud.alert.childproc.effective_reputation |
子进程哈希的有效信誉。 |
关键字 |
carbon_black_cloud.alert.childproc.guid |
触发警报的子进程的 Guid。 |
关键字 |
carbon_black_cloud.alert.childproc.hash.md5 |
子进程的 MD5 哈希值。 |
关键字 |
carbon_black_cloud.alert.childproc.hash.sha256 |
子进程的 SHA-256 哈希值。 |
关键字 |
carbon_black_cloud.alert.childproc.name |
子进程二进制文件的文件系统路径。 |
关键字 |
carbon_black_cloud.alert.childproc.username |
执行子进程的用户上下文。 |
关键字 |
carbon_black_cloud.alert.connection_type |
网络连接的类型(例如,出口、入口)。 |
关键字 |
carbon_black_cloud.alert.determination.change_timestamp |
判定更改的时间戳 |
日期 |
carbon_black_cloud.alert.determination.changed_by |
更改判定的实体 |
关键字 |
carbon_black_cloud.alert.determination.changed_by_type |
更改判定的实体的类型 |
关键字 |
carbon_black_cloud.alert.determination.value |
判定的值 |
关键字 |
carbon_black_cloud.alert.device.external_ip |
根据 Carbon Black Cloud,端点的 IP 地址;由于网络代理或 NAT,可能与 device_internal_ip 不同。 |
关键字 |
carbon_black_cloud.alert.device.internal_ip |
传感器报告的端点的 IP 地址。 |
关键字 |
carbon_black_cloud.alert.device.location |
根据当前 IP 地址和设备注册的 DNS 域后缀,警报开始时设备是在本地还是异地。 |
关键字 |
carbon_black_cloud.alert.device.os |
设备的操作系统。 |
关键字 |
carbon_black_cloud.alert.device.policy |
在警报发生时与设备关联的设备策略的名称。 |
关键字 |
carbon_black_cloud.alert.device.policy_id |
在警报发生时与设备关联的设备策略的标识符。 |
整数 |
carbon_black_cloud.alert.device.target_value |
从策略设置分配给设备的目标值。 |
关键字 |
carbon_black_cloud.alert.device.uem_id |
设备与 WS1/EUC 的关联,这是我们的 Workspace ONE Intelligence 集成正常运行所必需的。 |
关键字 |
carbon_black_cloud.alert.egress_group_id |
与事件关联的出口组的唯一标识符。 |
关键字 |
carbon_black_cloud.alert.egress_group_name |
与事件关联的出口组的名称。 |
关键字 |
carbon_black_cloud.alert.ioc.field |
危害指标 (IOC) 命中所包含的字段。 |
关键字 |
carbon_black_cloud.alert.ioc.hit |
匹配的 IOC 字段值或 IOC 查询。 |
关键字 |
carbon_black_cloud.alert.ioc.id |
导致命中的 IOC 的标识符。 |
关键字 |
carbon_black_cloud.alert.ip_reputation |
与事件关联的 IP 地址的信誉分数。 |
整数 |
carbon_black_cloud.alert.is_updated |
如果这是由 Carbon Black Cloud 后端发起的警报的更新副本,则设置为 true。 |
布尔值 |
carbon_black_cloud.alert.k8s_cluster |
与事件关联的 Kubernetes 集群。 |
关键字 |
carbon_black_cloud.alert.k8s_kind |
与事件关联的 Kubernetes 资源类型(例如,Pod、DaemonSet)。 |
关键字 |
carbon_black_cloud.alert.k8s_namespace |
与事件关联的 Kubernetes 命名空间。 |
关键字 |
carbon_black_cloud.alert.k8s_pod_name |
与事件关联的 Kubernetes pod 的名称。 |
关键字 |
carbon_black_cloud.alert.k8s_policy |
与事件关联的 Kubernetes 策略的名称。 |
关键字 |
carbon_black_cloud.alert.k8s_policy_id |
与事件关联的 Kubernetes 策略的唯一标识符。 |
关键字 |
carbon_black_cloud.alert.k8s_rule |
与事件关联的 Kubernetes 规则的名称。 |
关键字 |
carbon_black_cloud.alert.k8s_rule_id |
与事件关联的 Kubernetes 规则的唯一标识符。 |
关键字 |
carbon_black_cloud.alert.k8s_workload_name |
与事件关联的 Kubernetes 工作负载的名称。 |
关键字 |
carbon_black_cloud.alert.mdr.alert |
警报是否有资格由 Carbon Black MDR 分析师审查。 |
布尔值 |
carbon_black_cloud.alert.mdr.alert_notes_present |
MDR 分析师在警报级别添加的客户可见的注释。 |
布尔值 |
carbon_black_cloud.alert.mdr.classification.change_timestamp |
上次 MDR 分类更改发生的时间,采用 ISO 8601 UTC 时间戳格式。 |
日期 |
carbon_black_cloud.alert.mdr.determination.change_timestamp |
上次 MDR 分类更改发生的时间,采用 ISO 8601 UTC 时间戳格式。 |
日期 |
carbon_black_cloud.alert.mdr.determination.value |
一个记录,用于标识警报是否被确定为代表可能或不太可能的威胁。 |
关键字 |
carbon_black_cloud.alert.mdr.threat_notes_present |
MDR 分析师在威胁级别添加的客户可见的注释。 |
布尔值 |
carbon_black_cloud.alert.mdr.workflow.change_timestamp |
上次 MDR 状态更改发生的时间,采用 ISO 8601 UTC 时间戳格式。 |
日期 |
carbon_black_cloud.alert.mdr.workflow.is_assigned |
工作流是否已分配。 |
布尔值 |
carbon_black_cloud.alert.mdr.workflow.status |
在 MD 分析师的警报分类期间用于捕获状态更改的主要值。 |
布尔值 |
carbon_black_cloud.alert.ml_classification_anomalies |
机器学习分类检测到的异常列表。 |
关键字 |
carbon_black_cloud.alert.ml_classification_final_verdict |
警报的最终判决,基于用于进行预测的机器学习模型。 |
关键字 |
carbon_black_cloud.alert.ml_classification_global_prevalence |
用于描述所有区域组织中警报普遍性的类别(低/中/高)。 |
关键字 |
carbon_black_cloud.alert.ml_classification_org_prevalence |
用于描述组织内警报普遍性的类别(低/中/高)。 |
关键字 |
carbon_black_cloud.alert.netconn.local_ip |
网络连接本地端的 IP 地址。 |
ip |
carbon_black_cloud.alert.netconn.local_ipv4 |
网络连接本地端的 IPv4 地址。 |
ip |
carbon_black_cloud.alert.netconn.local_ipv6 |
网络连接本地端的 IPv6 地址。 |
ip |
carbon_black_cloud.alert.netconn.local_port |
网络连接本地端使用的 TCP 或 UDP 端口。 |
整数 |
carbon_black_cloud.alert.netconn.protocol |
网络连接的网络协议。 |
关键字 |
carbon_black_cloud.alert.netconn.remote_domain |
与网络连接远程端关联的域名 (FQDN)。 |
关键字 |
carbon_black_cloud.alert.netconn.remote_ip |
网络连接远程端的 IP 地址。 |
ip |
carbon_black_cloud.alert.netconn.remote_ipv4 |
网络连接远程端的 IPv4 地址。 |
ip |
carbon_black_cloud.alert.netconn.remote_ipv6 |
网络连接远程端的 IPv6 地址。 |
ip |
carbon_black_cloud.alert.netconn.remote_port |
网络连接远程端使用的 TCP 或 UDP 端口;与 netconn_port 和 event_network_remote_port 相同。 |
整数 |
carbon_black_cloud.alert.org_feature_entitlement |
组织的特性权限。 |
关键字 |
carbon_black_cloud.alert.organization_key |
与警报关联的组织的唯一标识符。 |
关键字 |
carbon_black_cloud.alert.parent.cmdline |
父进程执行的命令行。 |
关键字 |
carbon_black_cloud.alert.parent.effective_reputation |
父进程哈希的有效信誉。 |
关键字 |
carbon_black_cloud.alert.parent.guid |
触发警报的父进程的 Guid。 |
关键字 |
carbon_black_cloud.alert.parent.hash.md5 |
父进程的 MD5 哈希值。 |
关键字 |
carbon_black_cloud.alert.parent.hash.sha256 |
父进程的 SHA-256 哈希值。 |
关键字 |
carbon_black_cloud.alert.parent.name |
父进程二进制文件的文件系统路径。 |
关键字 |
carbon_black_cloud.alert.parent.pid |
触发警报的父进程的 PID。 |
长整型 |
carbon_black_cloud.alert.parent.reputation |
父进程的信誉;当事件由 Carbon Black Cloud 处理时应用。 |
关键字 |
carbon_black_cloud.alert.parent.username |
执行父进程的用户上下文。 |
关键字 |
carbon_black_cloud.alert.policy_applied |
是否应用了策略。 |
关键字 |
carbon_black_cloud.alert.primary_event_id |
警报中主要事件的 ID。 |
关键字 |
carbon_black_cloud.alert.process.cmdline |
参与者进程执行的命令行。 |
关键字 |
carbon_black_cloud.alert.process.effective_reputation |
参与者哈希的有效信誉。 |
关键字 |
carbon_black_cloud.alert.process.guid |
触发警报的进程的 Guid。 |
关键字 |
carbon_black_cloud.alert.process.hash.md5 |
进程的 MD5 哈希值。 |
关键字 |
carbon_black_cloud.alert.process.hash.sha256 |
进程的 SHA-256 哈希值。 |
关键字 |
carbon_black_cloud.alert.process.issuer |
与进程证书关联的证书颁发机构。 |
关键字 |
carbon_black_cloud.alert.process.name |
参与者进程二进制文件的文件系统路径。 |
关键字 |
carbon_black_cloud.alert.process.pid |
触发警报的进程的 PID。 |
长整型 |
carbon_black_cloud.alert.process.publisher |
用于签署 Windows 或 macOS 进程二进制文件的证书上的发布者名称。 |
关键字 |
carbon_black_cloud.alert.process.reputation |
参与者进程的信誉;当事件由 Carbon Black Cloud 处理时应用。 |
关键字 |
carbon_black_cloud.alert.process.username |
执行参与者进程的用户上下文。 |
关键字 |
carbon_black_cloud.alert.product_id |
USB 设备产品的十六进制 ID。 |
关键字 |
carbon_black_cloud.alert.product_name |
USB 设备供应商的名称。 |
关键字 |
carbon_black_cloud.alert.reason |
关于警报发生的原因、内容以及采取的任何操作的口头语言书面解释。 |
关键字 |
carbon_black_cloud.alert.reason_code |
完整文本原因的简短枚举。 |
关键字 |
carbon_black_cloud.alert.remote_is_private |
指示远程 IP 地址是否为私有地址。 |
布尔值 |
carbon_black_cloud.alert.report.description |
与警报关联的 IOC 报告的描述。 |
关键字 |
carbon_black_cloud.alert.report.id |
包含 IOC 的报告的标识符。 |
关键字 |
carbon_black_cloud.alert.report.link |
包含导致命中的 IOC 的报告的链接。 |
关键字 |
carbon_black_cloud.alert.report.name |
包含 IOC 的报告的名称。 |
关键字 |
carbon_black_cloud.alert.report.tags |
与 IOC 报告关联的标签。 |
关键字 |
carbon_black_cloud.alert.rule_category_id |
表示某些警报类型的 rule_id 的类别的 ID。 |
关键字 |
carbon_black_cloud.alert.rule_config_id |
触发警报的规则配置的 ID。 |
关键字 |
carbon_black_cloud.alert.rule_config_name |
触发警报的规则配置的名称。 |
关键字 |
carbon_black_cloud.alert.rule_config_type |
触发警报的规则配置的类型。 |
关键字 |
carbon_black_cloud.alert.rule_id |
触发警报的规则的 ID。 |
关键字 |
carbon_black_cloud.alert.run_state |
警报中的威胁是否已运行。 |
关键字 |
carbon_black_cloud.alert.sensor_action |
传感器根据策略规则采取的措施。 |
关键字 |
carbon_black_cloud.alert.serial_number |
USB 设备的序列号。 |
关键字 |
carbon_black_cloud.alert.status |
警报的状态。 |
关键字 |
carbon_black_cloud.alert.tags |
与警报关联的标签。 |
关键字 |
carbon_black_cloud.alert.threat_category |
我们能够采取行动的威胁类别。 |
关键字 |
carbon_black_cloud.alert.threat_id |
此警报所属的威胁的标识符。威胁由可以在设备之间重复出现的因素组合构成。 |
关键字 |
carbon_black_cloud.alert.threat_name |
威胁的名称。 |
关键字 |
carbon_black_cloud.alert.threat_notes_present |
指示是否与 threat_id 关联了注释。 |
布尔值 |
carbon_black_cloud.alert.tms_rule_id |
威胁入侵检测 ID。 |
关键字 |
carbon_black_cloud.alert.ttps |
威胁中涉及的其他潜在恶意活动。 |
关键字 |
carbon_black_cloud.alert.type |
警报的类型。 |
关键字 |
carbon_black_cloud.alert.url |
此警报的警报页面链接。不因警报类型而异。 |
关键字 |
carbon_black_cloud.alert.user_update_timestamp |
用户更改的警报的最后一个属性的时间戳,例如警报工作流或判定,它是 ISO 8601 UTC 时间戳。 |
日期 |
carbon_black_cloud.alert.vendor_id |
USB 设备供应商的十六进制 ID。 |
关键字 |
carbon_black_cloud.alert.vendor_name |
USB 设备供应商的名称。 |
关键字 |
carbon_black_cloud.alert.version |
正在发出的架构的版本。 |
关键字 |
carbon_black_cloud.alert.watchlists.id |
监视列表的标识符。 |
关键字 |
carbon_black_cloud.alert.watchlists.name |
监视列表的名称。 |
关键字 |
carbon_black_cloud.alert.workflow.change_timestamp |
工作流的上次更改/更新时间。 |
日期 |
carbon_black_cloud.alert.workflow.changed_by |
更改工作流的进程的名称。 |
关键字 |
carbon_black_cloud.alert.workflow.changed_by_autoclose_rule_id |
自动关闭工作流的规则 ID。 |
关键字 |
carbon_black_cloud.alert.workflow.changed_by_type |
更改工作流的用户的类型。 |
关键字 |
carbon_black_cloud.alert.workflow.closure_reason |
工作流关闭的原因。 |
关键字 |
carbon_black_cloud.alert.workflow.status |
工作流的状态。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
端点事件
编辑这是 endpoint_event 数据集。
示例
endpoint_event 的示例事件如下所示
{
"carbon_black_cloud": {
"endpoint_event": {
"backend": {
"timestamp": "2022-02-10 11:52:50 +0000 UTC"
},
"device": {
"external_ip": "67.43.156.12",
"os": "WINDOWS",
"timestamp": "2022-02-10 11:51:35.0684097 +0000 UTC"
},
"event_origin": "EDR",
"organization_key": "XXXXXXXX",
"process": {
"duration": 2,
"parent": {
"reputation": "REP_RESOLVING"
},
"publisher": [
{
"name": "Microsoft Windows",
"state": [
"FILE_SIGNATURE_STATE_SIGNED",
"FILE_SIGNATURE_STATE_VERIFIED",
"FILE_SIGNATURE_STATE_TRUSTED",
"FILE_SIGNATURE_STATE_OS",
"FILE_SIGNATURE_STATE_CATALOG_SIGNED"
]
}
],
"reputation": "REP_RESOLVING",
"terminated": true,
"username": "NT AUTHORITY\\SYSTEM"
},
"schema": 1,
"sensor_action": "ACTION_ALLOW",
"target_cmdline": "\"route.exe\" print",
"type": "endpoint.event.procend"
}
},
"data_stream": {
"dataset": "carbon_black_cloud.endpoint_event",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "3b20ea47-9610-412d-97e3-47cd19b7e4d5",
"snapshot": true,
"version": "8.0.0"
},
"event": {
"action": "ACTION_PROCESS_TERMINATE",
"orignal": "{\"type\":\"endpoint.event.procend\",\"process_guid\":\"XXXXXXXX-003d902d-00001310-00000000-1d81e748c4adb37\",\"parent_guid\":\"XXXXXXXX-003d902d-00000694-00000000-1d7540221dedd62\",\"backend_timestamp\":\"2022-02-10 11:52:50 +0000 UTC\",\"org_key\":\"XXXXXXXX\",\"device_id\":\"4034605\",\"device_name\":\"client-cb2\",\"device_external_ip\":\"67.43.156.13\",\"device_os\":\"WINDOWS\",\"device_group\":\"\",\"action\":\"ACTION_PROCESS_TERMINATE\",\"schema\":1,\"device_timestamp\":\"2022-02-10 11:51:35.0684097 +0000 UTC\",\"process_terminated\":true,\"process_duration\":2,\"process_reputation\":\"REP_RESOLVING\",\"parent_reputation\":\"REP_RESOLVING\",\"process_pid\":4880,\"parent_pid\":1684,\"process_publisher\":[{\"name\":\"Microsoft Windows\",\"state\":\"FILE_SIGNATURE_STATE_SIGNED | FILE_SIGNATURE_STATE_VERIFIED | FILE_SIGNATURE_STATE_TRUSTED | FILE_SIGNATURE_STATE_OS | FILE_SIGNATURE_STATE_CATALOG_SIGNED\"}],\"process_path\":\"c:\\\\\windows\\\\\system32\\\\\route.exe\",\"parent_path\":\"c:\\\\\windowsazure\\\\\guestagent_2.7.41491.1010_2021-05-11_233023\\\\\guestagent\\\\\windowsazureguestagent.exe\",\"process_hash\":[\"2498272dc48446891182747428d02a30\",\"9e9c7696859b94b1c33a532fa4d5c648226cf3361121dd899e502b8949fb11a6\"],\"parent_hash\":[\"03dd698da2671383c9b4f868c9931879\",\"44a1975b2197484bb22a0eb673e67e7ee9ec20265e9f6347f5e06b6447ac82c5\"],\"process_cmdline\":\"\\\"route.exe\\\" print\",\"parent_cmdline\":\"C:\\\\\WindowsAzure\\\\\GuestAgent_2.7.41491.1010_2021-05-11_233023\\\\\GuestAgent\\\\\WindowsAzureGuestAgent.exe\",\"process_username\":\"NT AUTHORITY\\\\\SYSTEM\",\"sensor_action\":\"ACTION_ALLOW\",\"event_origin\":\"EDR\",\"target_cmdline\":\"\\\"route.exe\\\" print\"}"
},
"host": {
"hostname": "client-cb2",
"id": "4034605",
"ip": [
"67.43.156.13"
],
"os": {
"type": "windows"
}
},
"input": {
"type": "aws-s3"
},
"process": {
"command_line": "\"route.exe\" print",
"entity_id": "XXXXXXXX-003d902d-00001310-00000000-1d81e748c4adb37",
"executable": "c:\\windows\\system32\\route.exe",
"hash": {
"md5": "2498272dc48446891182747428d02a30",
"sha256": "9e9c7696859b94b1c33a532fa4d5c648226cf3361121dd899e502b8949fb11a6"
},
"parent": {
"command_line": "C:\\WindowsAzure\\GuestAgent_2.7.41491.1010_2021-05-11_233023\\GuestAgent\\WindowsAzureGuestAgent.exe",
"entity_id": "XXXXXXXX-003d902d-00000694-00000000-1d7540221dedd62",
"executable": "c:\\windowsazure\\guestagent_2.7.41491.1010_2021-05-11_233023\\guestagent\\windowsazureguestagent.exe",
"hash": {
"md5": "03dd698da2671383c9b4f868c9931879",
"sha256": "44a1975b2197484bb22a0eb673e67e7ee9ec20265e9f6347f5e06b6447ac82c5"
},
"pid": 1684
},
"pid": 4880
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-endpoint-event"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.endpoint_event.alert_id |
与此事件关联的警报的 ID。 |
关键字 |
carbon_black_cloud.endpoint_event.backend.timestamp |
后端接收到批量事件的时间。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.guid |
子进程的唯一 ID。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.hash.md5 |
支持子进程的可执行文件的加密 MD5 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.hash.sha256 |
支持子进程的可执行文件的加密 SHA256 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.name |
设备本地文件系统上 crossproc 事件目标的完整路径。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.pid |
操作系统报告的子进程的进程 ID。 |
长整型 |
carbon_black_cloud.endpoint_event.childproc.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.reputation |
子进程的 Carbon Black Cloud 信誉字符串。 |
关键字 |
carbon_black_cloud.endpoint_event.childproc.username |
与启动子进程的用户上下文关联的用户名。 |
关键字 |
carbon_black_cloud.endpoint_event.create_time |
事件在 Carbon Black Cloud 中被摄取的时间。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.action |
对跨进程采取的操作。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.api |
参与者进程调用的操作系统 API 的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.guid |
跨进程的唯一 ID。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.hash.md5 |
crossproc 事件目标的加密 MD5 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.hash.sha256 |
crossproc 事件目标的加密 SHA256 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.name |
设备本地文件系统上 crossproc 事件目标的完整路径。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.reputation |
crossproc 的 Carbon Black Cloud 信誉字符串。 |
关键字 |
carbon_black_cloud.endpoint_event.crossproc.target |
如果进程是跨进程事件的目标,则为 True;如果进程是参与者,则为 false。 |
布尔值 |
carbon_black_cloud.endpoint_event.device.external_ip |
设备的外部 IP。 |
ip |
carbon_black_cloud.endpoint_event.device.internal_ip |
设备的内部 IP。 |
ip |
carbon_black_cloud.endpoint_event.device.os |
操作系统名称。 |
关键字 |
carbon_black_cloud.endpoint_event.device.timestamp |
传感器上看到的时间。 |
关键字 |
carbon_black_cloud.endpoint_event.event_origin |
指示事件来自哪个产品。“EDR”表示该事件源自企业 EDR。“NGAV”表示该事件源自端点标准。 |
关键字 |
carbon_black_cloud.endpoint_event.fileless_scriptload.cmdline |
进程在无文件上下文中运行的去混淆脚本内容。 |
关键字 |
carbon_black_cloud.endpoint_event.fileless_scriptload.cmdline_length |
在无文件上下文中运行的去混淆脚本内容的字符计数。 |
关键字 |
carbon_black_cloud.endpoint_event.fileless_scriptload.hash.md5 |
进程在无文件上下文中运行的去混淆脚本内容的 MD5 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.fileless_scriptload.hash.sha256 |
进程在无文件上下文中运行的去混淆脚本内容的 SHA-256 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.modload.count |
自上次初始化以来,传感器报告的 modload 事件计数。 |
长整型 |
carbon_black_cloud.endpoint_event.modload.effective_reputation |
已加载模块的有效信誉;当事件发生时由传感器应用。 |
关键字 |
carbon_black_cloud.endpoint_event.modload.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.modload.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.endpoint_event.netconn.proxy.domain |
与此网络连接的“代理”端关联的 DNS 名称;如果无法推断名称或连接是直接与代理 IP 地址建立的,则可能为空。 |
关键字 |
carbon_black_cloud.endpoint_event.netconn.proxy.ip |
与此网络连接的“代理”端关联的字符串格式的 IPv4 或 IPv6 地址。 |
ip |
carbon_black_cloud.endpoint_event.netconn.proxy.port |
与此网络连接的“代理”端关联的 UDP/TCP 端口号。 |
关键字 |
carbon_black_cloud.endpoint_event.organization_key |
与控制台实例关联的组织密钥。 |
关键字 |
carbon_black_cloud.endpoint_event.process.duration |
进程启动和进程终止事件之间的时间差(以秒为单位)。 |
长整型 |
carbon_black_cloud.endpoint_event.process.parent.reputation |
父进程的信誉;当事件由 Carbon Black Cloud 处理时应用,即传感器将事件传递到云端之后。 |
关键字 |
carbon_black_cloud.endpoint_event.process.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.process.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.endpoint_event.process.reputation |
参与者进程的信誉;当事件由 Carbon Black Cloud 处理时应用,即传感器将事件传递到云端之后。 |
关键字 |
carbon_black_cloud.endpoint_event.process.terminated |
如果进程已终止,则为 True,否则为 false。 |
布尔值 |
carbon_black_cloud.endpoint_event.process.username |
与此进程启动的用户上下文关联的用户名。 |
关键字 |
carbon_black_cloud.endpoint_event.schema |
架构版本。当前的架构版本为“1”。只有当字段定义以不向后兼容的方式更改时,此架构版本才会递增。 |
长整型 |
carbon_black_cloud.endpoint_event.scriptload.count |
自上次初始化以来,传感器报告的所有进程的 scriptload 事件计数。 |
长整型 |
carbon_black_cloud.endpoint_event.scriptload.effective_reputation |
在进程启动时加载的脚本文件的有效信誉;当事件发生时由传感器应用。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.hash.md5 |
scriptload 事件目标的加密 MD5 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.hash.sha256 |
scriptload 事件目标的加密 SHA256 哈希值。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.name |
设备本地文件系统上 crossproc 事件目标的完整路径。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.endpoint_event.scriptload.reputation |
scriptload 的 Carbon Black Cloud 信誉字符串。 |
关键字 |
carbon_black_cloud.endpoint_event.sensor_action |
在事件中采取的传感器操作。 |
关键字 |
carbon_black_cloud.endpoint_event.target_cmdline |
与目标进程关联的进程命令行。 |
关键字 |
carbon_black_cloud.endpoint_event.type |
事件类型。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
监视列表命中
编辑这是 watchlist_hit 数据集。
示例
watchlist_hit 的示例事件如下所示
{
"agent": {
"id": "e0d5f508-9616-400f-b26b-bb1aa6638b80",
"type": "filebeat",
"version": "8.0.0"
},
"carbon_black_cloud": {
"watchlist_hit": {
"device": {
"external_ip": "67.43.156.12",
"internal_ip": "10.10.156.12",
"os": "WINDOWS"
},
"ioc": {
"hit": "((process_name:sc.exe -parent_name:svchost.exe) AND process_cmdline:query) -enriched:true",
"id": "565571-0"
},
"organization_key": "xxxxxxxx",
"process": {
"parent": {
"publisher": [
{
"name": "Microsoft Windows",
"state": [
"FILE_SIGNATURE_STATE_SIGNED",
"FILE_SIGNATURE_STATE_VERIFIED",
"FILE_SIGNATURE_STATE_TRUSTED",
"FILE_SIGNATURE_STATE_OS",
"FILE_SIGNATURE_STATE_CATALOG_SIGNED"
]
}
],
"reputation": "REP_WHITE",
"username": "NT AUTHORITY\\SYSTEM"
},
"publisher": [
{
"name": "Microsoft Windows",
"state": [
"FILE_SIGNATURE_STATE_SIGNED",
"FILE_SIGNATURE_STATE_VERIFIED",
"FILE_SIGNATURE_STATE_TRUSTED",
"FILE_SIGNATURE_STATE_OS",
"FILE_SIGNATURE_STATE_CATALOG_SIGNED"
]
}
],
"reputation": "REP_WHITE",
"username": "NT AUTHORITY\\SYSTEM"
},
"report": {
"id": "CFnKBKLTv6hUkBGFobRdg-565571",
"name": "Discovery - System Service Discovery Detected",
"tags": [
"attack",
"attackframework",
"threathunting",
"hunting",
"t1007",
"recon",
"discovery",
"windows"
]
},
"schema": 1,
"type": "watchlist.hit",
"watchlists": [
{
"id": "P5f9AW29TGmTOvBW156Cig",
"name": "ATT&CK Framework"
}
]
}
},
"data_stream": {
"dataset": "carbon_black_cloud.watchlist_hit",
"namespace": "default",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "carbon_black_cloud.watchlist_hit",
"ingested": "2022-02-17T07:23:31Z",
"kind": "event",
"original": "{\"schema\":1,\"create_time\":\"2022-02-10T23:54:32.449Z\",\"device_external_ip\":\"205.234.30.196\",\"device_id\":4467271,\"device_internal_ip\":\"10.33.4.214\",\"device_name\":\"Carbonblack-win1\",\"device_os\":\"WINDOWS\",\"ioc_hit\":\"((process_name:sc.exe -parent_name:svchost.exe) AND process_cmdline:query) -enriched:true\",\"ioc_id\":\"565571-0\",\"org_key\":\"7DESJ9GN\",\"parent_cmdline\":\"C:\\\\\WINDOWS\\\\\system32\\\\\cmd.exe /c \\\"sc query aella_conf | findstr RUNNING \\u003e null\\\"\",\"parent_guid\":\"7DESJ9GN-00442a47-00000fec-00000000-1d81ed87d4655d1\",\"parent_hash\":[\"d0fce3afa6aa1d58ce9fa336cc2b675b\",\"4d89fc34d5f0f9babd022271c585a9477bf41e834e46b991deaa0530fdb25e22\"],\"parent_path\":\"c:\\\\\windows\\\\\syswow64\\\\\cmd.exe\",\"parent_pid\":4076,\"parent_publisher\":[{\"name\":\"Microsoft Windows\",\"state\":\"FILE_SIGNATURE_STATE_SIGNED | FILE_SIGNATURE_STATE_VERIFIED | FILE_SIGNATURE_STATE_TRUSTED | FILE_SIGNATURE_STATE_OS | FILE_SIGNATURE_STATE_CATALOG_SIGNED\"}],\"parent_reputation\":\"REP_WHITE\",\"parent_username\":\"NT AUTHORITY\\\\\SYSTEM\",\"process_cmdline\":\"sc query aella_conf \",\"process_guid\":\"7DESJ9GN-00442a47-00001d5c-00000000-1d81ed87d63d2c6\",\"process_hash\":[\"d9d7684b8431a0d10d0e76fe9f5ffec8\",\"4fe6d9eb8109fb79ff645138de7cff37906867aade589bd68afa503a9ab3cfb2\"],\"process_path\":\"c:\\\\\windows\\\\\syswow64\\\\\sc.exe\",\"process_pid\":7516,\"process_publisher\":[{\"name\":\"Microsoft Windows\",\"state\":\"FILE_SIGNATURE_STATE_SIGNED | FILE_SIGNATURE_STATE_VERIFIED | FILE_SIGNATURE_STATE_TRUSTED | FILE_SIGNATURE_STATE_OS | FILE_SIGNATURE_STATE_CATALOG_SIGNED\"}],\"process_reputation\":\"REP_WHITE\",\"process_username\":\"NT AUTHORITY\\\\\SYSTEM\",\"report_id\":\"CFnKBKLTv6hUkBGFobRdg-565571\",\"report_name\":\"Discovery - System Service Discovery Detected\",\"report_tags\":[\"attack\",\"attackframework\",\"threathunting\",\"hunting\",\"t1007\",\"recon\",\"discovery\",\"windows\"],\"severity\":3,\"type\":\"watchlist.hit\",\"watchlists\":[{\"id\":\"P5f9AW29TGmTOvBW156Cig\",\"name\":\"ATT\\u0026CK Framework\"}]}",
"severity": 3
},
"host": {
"hostname": "Carbonblack-win1",
"id": "4467271",
"ip": [
"10.10.156.12",
"67.43.156.12"
],
"os": {
"type": "windows"
}
},
"input": {
"type": "aws-s3"
},
"process": {
"command_line": "sc query aella_conf ",
"entity_id": "7DESJ9GN-00442a47-00001d5c-00000000-1d81ed87d63d2c6",
"executable": "c:\\windows\\syswow64\\sc.exe",
"hash": {
"md5": "d9d7684b8431a0d10d0e76fe9f5ffec8",
"sha256": "4fe6d9eb8109fb79ff645138de7cff37906867aade589bd68afa503a9ab3cfb2"
},
"parent": {
"command_line": "C:\\WINDOWS\\system32\\cmd.exe /c \"sc query aella_conf | findstr RUNNING > null\"",
"entity_id": "7DESJ9GN-00442a47-00000fec-00000000-1d81ed87d4655d1",
"executable": "c:\\windows\\syswow64\\cmd.exe",
"hash": {
"md5": "d0fce3afa6aa1d58ce9fa336cc2b675b",
"sha256": "4d89fc34d5f0f9babd022271c585a9477bf41e834e46b991deaa0530fdb25e22"
},
"pid": 4076
},
"pid": 7516
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-watchlist-hit"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.watchlist_hit.device.external_ip |
设备的外部 IP。 |
ip |
carbon_black_cloud.watchlist_hit.device.internal_ip |
设备的内部 IP。 |
ip |
carbon_black_cloud.watchlist_hit.device.os |
设备的操作系统类型(Windows/OSX/Linux)。 |
关键字 |
carbon_black_cloud.watchlist_hit.ioc.field |
IOC 命中包含的字段。 |
关键字 |
carbon_black_cloud.watchlist_hit.ioc.hit |
匹配的 IOC 字段值或 IOC 查询。 |
关键字 |
carbon_black_cloud.watchlist_hit.ioc.id |
导致命中的 IOC 的 ID。 |
关键字 |
carbon_black_cloud.watchlist_hit.organization_key |
与控制台实例关联的组织密钥。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.parent.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.parent.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.parent.reputation |
参与者进程的信誉;当事件由 Carbon Black Cloud 处理时应用,即传感器将事件传递到云端之后。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.parent.username |
与此进程启动的用户上下文关联的用户名。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.publisher.name |
发布者的名称。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.publisher.state |
发布者的状态。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.reputation |
参与者进程的信誉;当事件由 Carbon Black Cloud 处理时应用,即传感器将事件传递到云端之后。 |
关键字 |
carbon_black_cloud.watchlist_hit.process.username |
与此进程启动的用户上下文关联的用户名。 |
关键字 |
carbon_black_cloud.watchlist_hit.report.id |
检测到进程命中的监视列表报告的 ID。 |
关键字 |
carbon_black_cloud.watchlist_hit.report.name |
检测到进程命中的监视列表报告的名称。 |
关键字 |
carbon_black_cloud.watchlist_hit.report.tags |
与检测到进程命中的报告关联的标签列表。 |
关键字 |
carbon_black_cloud.watchlist_hit.schema |
架构版本。 |
长整型 |
carbon_black_cloud.watchlist_hit.type |
监视列表命中类型。 |
关键字 |
carbon_black_cloud.watchlist_hit.watchlists.id |
监视列表的 ID。 |
关键字 |
carbon_black_cloud.watchlist_hit.watchlists.name |
监视列表的名称。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
资产漏洞摘要
编辑这是 asset_vulnerability_summary 数据集。
示例
asset_vulnerability_summary 的示例事件如下所示
{
"@timestamp": "2023-04-19T16:29:52.808Z",
"agent": {
"ephemeral_id": "7a1f920f-4945-405b-9e1f-67f8a3601fdb",
"id": "45e49275-eb7d-4b20-a8af-d084fb2551c7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"carbon_black_cloud": {
"asset_vulnerability_summary": {
"last_sync": {
"timestamp": "2022-01-17T08:33:37.384Z"
},
"os_info": {
"os_arch": "64-bit"
},
"sync": {
"status": "COMPLETED",
"type": "SCHEDULED"
},
"type": "ENDPOINT",
"vuln_count": 1770
}
},
"data_stream": {
"dataset": "carbon_black_cloud.asset_vulnerability_summary",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "45e49275-eb7d-4b20-a8af-d084fb2551c7",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-04-19T16:29:52.808Z",
"dataset": "carbon_black_cloud.asset_vulnerability_summary",
"ingested": "2023-04-19T16:29:56Z",
"kind": "state",
"original": "{\"cve_ids\":null,\"device_id\":8,\"highest_risk_score\":10,\"host_name\":\"DESKTOP-008\",\"last_sync_ts\":\"2022-01-17T08:33:37.384932Z\",\"name\":\"DESKTOP-008KK\",\"os_info\":{\"os_arch\":\"64-bit\",\"os_name\":\"Microsoft Windows 10 Education\",\"os_type\":\"WINDOWS\",\"os_version\":\"10.0.17763\"},\"severity\":\"CRITICAL\",\"sync_status\":\"COMPLETED\",\"sync_type\":\"SCHEDULED\",\"type\":\"ENDPOINT\",\"vm_id\":\"\",\"vm_name\":\"\",\"vuln_count\":1770}"
},
"host": {
"hostname": "DESKTOP-008",
"id": "8",
"name": "DESKTOP-008KK",
"os": {
"name": "Microsoft Windows 10 Education",
"type": "windows",
"version": "10.0.17763"
}
},
"input": {
"type": "httpjson"
},
"related": {
"hosts": [
"DESKTOP-008"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"carbon_black_cloud-asset_vulnerability_summary"
],
"vulnerability": {
"score": {
"base": 10
},
"severity": "CRITICAL"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
carbon_black_cloud.asset_vulnerability_summary.last_sync.timestamp |
此标识符表示上次同步时间。 |
日期 |
carbon_black_cloud.asset_vulnerability_summary.os_info.os_arch |
此标识符表示操作系统架构。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.sync.status |
此标识符表示设备同步状态。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.sync.type |
此标识符表示是否为设备触发了手动同步,或者是否为计划同步。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.type |
此标识符表示设备类型。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.vm.id |
此标识符表示虚拟机 ID。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.vm.name |
此标识符表示虚拟机名称。 |
关键字 |
carbon_black_cloud.asset_vulnerability_summary.vuln_count |
此标识符表示此级别的漏洞数量。 |
整数 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统的代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.7.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.4.0 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.3 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.2 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.19.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.7.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.2.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.3 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.2 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
— |
0.1.2 |
增强 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |