« Ceph 集成 Check Point Harmony Email & Collaboration »
Elastic 文档 Elastic 集成

Check Point 集成

编辑

Check Point 集成

编辑

版本

1.34.4 (查看全部)

兼容的 Kibana 版本

8.11.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Check Point 集成允许您监控运行 Check Point 管理的设备上的 Check Point 防火墙日志。

使用 Check Point 集成来收集和解析防火墙事件日志。然后在 Kibana 中可视化数据,创建警报以在出现问题时通知您,并在排除问题时参考防火墙数据流。

例如,您可以使用此集成中的数据来发现网络上不寻常的网络活动和恶意流量。您还可以使用该数据来审查或排除已设置的用于阻止这些活动的规则。您可以通过查看日志中的其他上下文(例如请求的来源等)来实现此目的。

数据流

编辑

Check Point 集成收集一种类型的数据:日志。

日志 帮助您记录防火墙设备记录的事件。Check Point 集成收集的日志包括防火墙规则指定的所有已记录的网络事件。请参阅日志参考以了解更多详细信息。

要求

编辑

您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或在您自己的硬件上自行管理 Elastic Stack。

您将需要一个或多个 Check Point 防火墙设备进行监控。

兼容性

编辑

此集成已针对 R81.X 上的 Check Point Log Exporter 进行了测试。

设置

编辑

有关如何设置集成的分步说明,请参阅入门指南。

在某些情况下,防火墙事件可能具有相同的 Checkpoint loguid 并在同一时间戳到达,从而导致指纹冲突。为了避免这种情况,请在 Checkpoint 仪表板中https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_LoggingAndMonitoring_AdminGuide/Topics-LMG/Log-Exporter-Appendix.htm?TocPath=Log%20Exporter%7C_9[启用半统一日志记录]。

TCP 或 UDP

编辑

Elastic Agent 可以通过 TCP 或 UDP syslog 消息直接接收日志消息。Elastic Agent 将用于接收来自您的 Check Point 防火墙的 syslog 数据,并将事件发送到 Elasticsearch。

  1. 对于您希望监控的每个防火墙设备,请在 Check Point _SmartConsole_ 中创建一个新的https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_LoggingAndMonitoring_AdminGuide/Topics-LMG/Log-Exporter-Configuration-in-SmartConsole.htm?tocpath=Log%20Exporter%7C2[日志导出器/SIEM 对象]。将目标服务器和目标端口设置为 Elastic Agent IP 地址和端口号。将协议设置为 UDP 或 TCP,Check Point 集成同时支持这两种协议。将格式设置为 syslog。
  2. SmartConsole 中配置管理服务器或专用日志服务器对象。
  3. SmartConsole 中安装数据库(步骤包含在上面链接的 Checkpoint 文档中)。
  4. 在 Kibana 中,浏览到“集成”并找到 Check Point 集成,然后单击“添加 Check Point”。
  5. 将 Elastic Agent 添加到具有 Fleet 的主机,或者在配置集成后手动安装 Elastic Agent。
  6. 根据您配置 Check Point 使用的协议配置 TCP 或 UDP 输入。
  7. 如果使用通过 TLS 的安全 Syslog over TCP,则添加证书(可选)。
  8. 将集成添加到新策略/现有策略。
  9. 浏览到仪表板/发现以验证数据是否从 Check Point 流入。

日志文件

编辑

Elastic Agent 可以通过监控接收 syslog 消息的主机上的日志文件来处理日志消息。syslog 服务器将接收来自 Check Point 的消息,写入日志文件,而 Elastic Agent 将监视日志文件以发送到 Elastic 集群。

  1. 在您的 Check Point Log Exporter 实例和 Elastic 集群之间的主机上安装 syslog 服务器。
  2. 配置 syslog 服务器以将日志写入日志文件。
  3. 对于您希望监控的每个防火墙设备,请在 Check Point _SmartConsole_ 中创建一个新的https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_LoggingAndMonitoring_AdminGuide/Topics-LMG/Log-Exporter-Configuration-in-SmartConsole.htm?tocpath=Log%20Exporter%7C2[日志导出器/SIEM 对象]。将目标服务器和目标端口设置为 syslog 服务器。将协议设置为 UDP 或 TCP,Check Point 集成同时支持这两种协议。将格式设置为 syslog。
  4. SmartConsole 中配置管理服务器或专用日志服务器对象。
  5. SmartConsole 中安装数据库(步骤包含在上面链接的 Checkpoint 文档中)。
  6. 在 Kibana 中,导航到“集成”部分,然后找到 Check Point 集成。单击“添加 Check Point”按钮以启动集成过程。
  7. 将 Elastic Agent 添加到具有 Fleet 的主机,或者在配置集成后手动安装 Elastic Agent。
  8. 配置日志文件输入,以监控 syslog 服务器将写入的日志文件模式。
  9. 将集成添加到新策略/现有策略。
  10. 浏览到仪表板/发现以验证数据是否从 Check Point 流入。

日志参考

编辑

防火墙

编辑

Check Point 集成在单个数据流中收集数据,即 防火墙 数据集。它包含来自 Syslog 格式的日志导出器的日志条目。

示例

防火墙的示例事件如下所示

{
    "@timestamp": "2020-03-29T13:19:20.000Z",
    "agent": {
        "ephemeral_id": "81d2d360-6c18-4a7e-8eef-cb77b6566cec",
        "id": "ecc82406-78ce-41c1-b1e2-7c12ce01f525",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.5.1"
    },
    "checkpoint": {
        "sys_message": "The eth0 interface is not protected by the anti-spoofing feature. Your network may be at risk"
    },
    "data_stream": {
        "dataset": "checkpoint.firewall",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "ecc82406-78ce-41c1-b1e2-7c12ce01f525",
        "snapshot": false,
        "version": "8.5.1"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "created": "2023-02-09T03:09:35.057Z",
        "dataset": "checkpoint.firewall",
        "id": "{0x5e80a059,0x0,0x6401a8c0,0x3c7878a}",
        "ingested": "2023-02-09T03:09:36Z",
        "kind": "event",
        "sequence": 1,
        "timezone": "UTC"
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "192.168.32.6:58272"
        }
    },
    "network": {
        "direction": "inbound"
    },
    "observer": {
        "ingress": {
            "interface": {
                "name": "daemon"
            }
        },
        "name": "192.168.1.100",
        "product": "System Monitor",
        "type": "firewall",
        "vendor": "Checkpoint"
    },
    "tags": [
        "forwarded"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

checkpoint.action_reason

连接断开原因。

整数

checkpoint.action_reason_msg

连接断开原因消息。

关键字

checkpoint.additional_info

管理员发送的原始文件/邮件的 ID。

关键字

checkpoint.additional_ip

DNS 主机名。

关键字

checkpoint.additional_rdata

其他资源记录列表。

关键字

checkpoint.administrator

源管理员名称。

关键字

checkpoint.advanced_changes

关键字

checkpoint.alert

匹配规则的警报级别(用于连接日志)。

关键字

checkpoint.allocated_ports

已分配的端口数。

整数

checkpoint.analyzed_on

Check Point ThreatCloud / 模拟器名称。

关键字

checkpoint.answer_rdata

对已查询域名的应答资源记录列表。

关键字

checkpoint.anti_virus_type

反病毒类型。

关键字

checkpoint.app_desc

应用程序描述。

关键字

checkpoint.app_id

应用程序 ID。

整数

checkpoint.app_package

受保护的移动设备上应用程序的唯一标识符。

关键字

checkpoint.app_properties

所有已找到类别的列表。

关键字

checkpoint.app_repackaged

指示原始应用程序是否并非由官方开发人员重新打包。

关键字

checkpoint.app_sid_id

移动应用的唯一 SHA 标识符。

关键字

checkpoint.app_sig_id

IOC 指示器描述。

关键字

checkpoint.app_version

下载到受保护的移动设备上的应用程序的版本。

关键字

checkpoint.appi_name

下载到受保护的移动设备上的应用程序的名称。

关键字

checkpoint.arrival_time

电子邮件到达时间戳。

关键字

checkpoint.attachments_num

邮件中的附件数量。

整数

checkpoint.attack_status

如果端点计算机上发生恶意事件,则显示攻击的状态。

关键字

checkpoint.audit_status

审核状态。可以是“成功”或“失败”。

关键字

checkpoint.auth_method

使用的密码身份验证协议(PAP 或 EAP)。

关键字

checkpoint.auth_status

事件的身份验证状态。

关键字

checkpoint.authority_rdata

权威服务器列表。

关键字

checkpoint.authorization

授权 HTTP 标头值。

关键字

checkpoint.bcc

密件抄送地址列表。

关键字

checkpoint.blade_name

刀片名称。

关键字

checkpoint.broker_publisher

共享会话信息的代理发布者的 IP 地址。

ip

checkpoint.browse_time

应用程序会话浏览时间。

关键字

checkpoint.c_bytes

布尔值,指示是否使用了客户端发送的字节。

整数

checkpoint.calc_desc

日志描述。

关键字

checkpoint.capacity

端口的容量。

整数

checkpoint.capture_uuid

为捕获生成的 UUID。在记录时启用捕获时使用。

关键字

checkpoint.cc

电子邮件的抄送地址。

关键字

checkpoint.certificate_resource

HTTPS 资源。可能的值:SNI 或域名 (DN)。

关键字

checkpoint.certificate_validation

精确的错误,描述了在“HTTPS 分类网站”功能下的 HTTPS 证书失败。

关键字

checkpoint.cgnet

描述特定订阅者的 NAT 分配。

关键字

checkpoint.chunk_type

sctp 流的块。

关键字

checkpoint.client_ipe

关键字

checkpoint.client_name

检测到事件的客户端应用程序或软件刀片。

关键字

checkpoint.client_type

Endpoint Connect。

关键字

checkpoint.client_type_os

在 HTTP 请求中检测到的客户端操作系统。

关键字

checkpoint.client_version

计算机上安装的 SandBlast Agent 客户端的内部版本号。

关键字

checkpoint.cluster_info

群集信息。可能的选项:故障转移原因/群集状态更改/CP 群集或第三方。

关键字

checkpoint.comment

关键字

checkpoint.community

IPSec 密钥的社区名称和 IKEv 的使用。

关键字

checkpoint.confidence_level

由 ThreatCloud 确定的置信度。

整数

checkpoint.conn_direction

连接方向

关键字

checkpoint.connection_uid

作为 UID 的 IP 和用户名的 md5 计算。

关键字

checkpoint.connectivity_level

以有线模式进行新连接的日志。

关键字

checkpoint.conns_amount

聚合日志信息的连接数量。

整数

checkpoint.content_disposition

指示内容应如何以内联方式显示在浏览器中。

关键字

checkpoint.content_length

指示 HTTP 标头的实体主体的大小。

关键字

checkpoint.content_risk

文件风险。

整数

checkpoint.content_type

邮件内容类型。可能的值:application/msword、text/html、image/gif 等。

关键字

checkpoint.context_num

特定连接的日志序列号。

整数

checkpoint.contract_name

关键字

checkpoint.control_log_type

关键字

checkpoint.cookieI

发起者 cookie。

关键字

checkpoint.cookieR

响应者 cookie。

关键字

checkpoint.cp_component_name

关键字

checkpoint.cp_component_version

关键字

checkpoint.cp_message

用于记录常规消息。

整数

checkpoint.cvpn_category

移动访问应用程序类型。

关键字

checkpoint.cvpn_resource

移动访问应用程序。

关键字

checkpoint.data_type_name

匹配的规则库中的数据类型。

关键字

checkpoint.db_ver

数据库版本

关键字

checkpoint.dce-rpc_interface_uuid

新 RPC 状态的日志 - UUID 值

关键字

checkpoint.default_device_message

封装的日志消息。

关键字

checkpoint.delivery_time

电子邮件送达的时间戳(MTA 完成处理电子邮件)。

关键字

checkpoint.desc

覆盖应用程序描述。

关键字

checkpoint.description

有关安全网关如何强制执行连接的更多说明。

关键字

checkpoint.destination_object

目标列上匹配的对象名称。

关键字

checkpoint.detected_on

模拟该文件的系统和应用程序版本。

关键字

checkpoint.developer_certificate_name

用于签署移动应用程序的开发人员证书的名称。

关键字

checkpoint.device_name

设备名称。

关键字

checkpoint.device_type

设备类型。

关键字

checkpoint.diameter_app_ID

直径应用程序的 ID。

整数

checkpoint.diameter_cmd_code

Diameter 不允许的应用命令 ID。

整数

checkpoint.diameter_msg_type

Diameter 消息类型。

关键字

checkpoint.dlp_action_reason

选择操作的原因。

关键字

checkpoint.dlp_additional_action

水印/无。

关键字

checkpoint.dlp_categories

数据类型类别。

关键字

checkpoint.dlp_data_type_name

匹配的数据类型。

关键字

checkpoint.dlp_data_type_uid

匹配的数据类型的唯一 ID。

关键字

checkpoint.dlp_fingerprint_files_number

存储库中成功扫描的文件数量。

整数

checkpoint.dlp_fingerprint_long_status

扫描状态 - 长格式。

关键字

checkpoint.dlp_fingerprint_short_status

扫描状态 - 短格式。

关键字

checkpoint.dlp_incident_uid

匹配规则的唯一 ID。

关键字

checkpoint.dlp_recipients

邮件收件人。

关键字

checkpoint.dlp_related_incident_uid

与此 ID 相关的其他 ID。

关键字

checkpoint.dlp_relevant_data_types

如果是复合/组:匹配的内部数据类型。

关键字

checkpoint.dlp_repository_directories_number

存储库中的目录数量。

整数

checkpoint.dlp_repository_files_number

存储库中的文件数量。

整数

checkpoint.dlp_repository_id

已扫描存储库的 ID。

关键字

checkpoint.dlp_repository_not_scanned_directories_percentage

安全网关无法读取的目录百分比。

整数

checkpoint.dlp_repository_reached_directories_number

存储库中扫描的目录数量。

整数

checkpoint.dlp_repository_root_path

存储库路径。

关键字

checkpoint.dlp_repository_scan_progress

扫描百分比。

整数

checkpoint.dlp_repository_scanned_directories_number

已扫描的目录数量。

整数

checkpoint.dlp_repository_scanned_files_number

存储库中已扫描的文件数量。

整数

checkpoint.dlp_repository_scanned_total_size

已扫描的大小。

整数

checkpoint.dlp_repository_skipped_files_number

由于配置而跳过的文件数量。

整数

checkpoint.dlp_repository_total_size

存储库大小。

整数

checkpoint.dlp_repository_unreachable_directories_number

安全网关无法读取的目录数量。

整数

checkpoint.dlp_rule_name

匹配的规则名称。

关键字

checkpoint.dlp_subject

邮件主题。

关键字

checkpoint.dlp_template_score

模板数据类型匹配得分。

关键字

checkpoint.dlp_transint

HTTP/SMTP/FTP。

关键字

checkpoint.dlp_violation_description

在规则库中描述的违规描述。

关键字

checkpoint.dlp_watermark_profile

应用的水印。

关键字

checkpoint.dlp_word_list

数据类型匹配的短语。

关键字

checkpoint.dns_query

DNS 查询。

关键字

checkpoint.dport_svc

连接的目标端口。

整数

checkpoint.drop_reason

丢弃原因描述。

关键字

checkpoint.dropped_file_hash

从原始文件中丢弃的文件哈希列表。

关键字

checkpoint.dropped_file_name

从原始文件中丢弃的名称列表。

关键字

checkpoint.dropped_file_type

从原始文件中丢弃的文件类型列表。

关键字

checkpoint.dropped_file_verdict

从原始文件中丢弃的文件判决列表。

关键字

checkpoint.dropped_incoming

使用 UP 限制功能时丢弃的传入字节数。

整数

checkpoint.dropped_outgoing

使用 UP 限制功能时丢弃的传出字节数。

整数

checkpoint.dropped_total

丢弃的数据包数量(包括传入和传出)。

整数

checkpoint.drops_amount

丢弃的组播数据包数量。

整数

checkpoint.dst_country

目标国家/地区。

关键字

checkpoint.dst_phone_number

目标 IP 电话。

关键字

checkpoint.dst_user_dn

连接到目标 IP 地址的用户专有名称。

关键字

checkpoint.dst_user_name

目标 IP 上连接的用户名。

关键字

checkpoint.dstkeyid

响应者 Spi ID。

关键字

checkpoint.duplicate

当邮件被拆分并且安全网关看到两次时,日志标记为重复。

关键字

checkpoint.duration

扫描持续时间。

关键字

checkpoint.elapsed

自开始时间以来经过的时间。

关键字

checkpoint.email_content

邮件内容。可能的选项:附件/链接和附件/链接/仅文本。

关键字

checkpoint.email_control

引擎名称。

关键字

checkpoint.email_control_analysis

从垃圾邮件供应商引擎收到的消息分类。

关键字

checkpoint.email_headers

包含所有电子邮件标题的字符串。

关键字

checkpoint.email_id

smtp 连接中的电子邮件编号。

关键字

checkpoint.email_message_id

电子邮件会话 ID(邮件的唯一 ID)。

关键字

checkpoint.email_queue_id

Postfix 电子邮件队列 ID。

关键字

checkpoint.email_queue_name

Postfix 电子邮件队列名称。

关键字

checkpoint.email_recipients_num

邮件发送到的收件人数量。

checkpoint.email_session_id

连接 uuid。

关键字

checkpoint.email_spam_category

电子邮件类别。可能的值:垃圾邮件/非垃圾邮件/网络钓鱼。

关键字

checkpoint.email_status

描述电子邮件的状态。可能的选项:已传递、已延迟、已跳过、已退回、已保留、新建、scan_started、scan_ended

关键字

checkpoint.email_subject

原始电子邮件主题。

关键字

checkpoint.emulated_on

文件模拟运行的映像。

关键字

checkpoint.encryption_failure

指示加密失败原因的消息。

关键字

checkpoint.end_time

TCP 连接结束时间。

关键字

checkpoint.end_user_firewall_type

最终用户防火墙类型。

关键字

checkpoint.esod_access_status

访问被拒绝。

关键字

checkpoint.esod_associated_policies

关联的策略。

关键字

checkpoint.esod_noncompliance_reason

不合规原因。

关键字

checkpoint.esod_rule_action

未知规则操作。

关键字

checkpoint.esod_rule_name

未知规则名称。

关键字

checkpoint.esod_rule_type

未知规则类型。

关键字

checkpoint.esod_scan_status

扫描失败。

关键字

checkpoint.event_count

与日志关联的事件数量。

checkpoint.expire_time

连接关闭时间。

关键字

checkpoint.extension_version

SandBlast Agent 浏览器扩展的内部版本。

关键字

checkpoint.extracted_file_hash

提取文件时的存档哈希。

关键字

checkpoint.extracted_file_names

存档中的提取文件名称。

关键字

checkpoint.extracted_file_type

存档中的提取文件类型。

关键字

checkpoint.extracted_file_uid

存档中的提取文件的 UID。

关键字

checkpoint.extracted_file_verdict

存档中的提取文件的判决。

关键字

checkpoint.facility

关键字

checkpoint.failure_impact

更新服务失败的影响。

关键字

checkpoint.failure_reason

MTA 失败描述。

关键字

checkpoint.fields

关键字

checkpoint.fieldschanges

关键字

checkpoint.file_direction

文件方向。可能的选项:上传/下载。

关键字

checkpoint.file_name

恶意文件名。

关键字

checkpoint.files_names

FTP 请求的文件列表。

关键字

checkpoint.first_hit_time

当前间隔中的第一次命中时间。

整数

checkpoint.frequency

关键字

checkpoint.fs-proto

在移动访问文件共享应用程序中使用的文件共享协议。

关键字

checkpoint.ftp_user

FTP 用户名。

关键字

checkpoint.fw_message

用于各种防火墙错误。

关键字

checkpoint.fw_subproduct

可以是 vpn/non vpn。

关键字

checkpoint.hide_ip

CGNAT 后将使用的源 IP。

ip

checkpoint.hit

规则的命中次数。

整数

checkpoint.host_time

端点计算机上的本地时间。

关键字

checkpoint.http_host

HTTP 请求发送到的服务器的域名。

关键字

checkpoint.http_location

响应标头,指示将页面重定向到的 URL。

关键字

checkpoint.http_server

服务器 HTTP 标头值,包含有关处理请求的原始服务器所用软件的信息。

关键字

checkpoint.https_inspection_action

HTTPS 检查操作(检查/绕过/错误)。

关键字

checkpoint.https_inspection_rule_id

匹配规则的 ID。

关键字

checkpoint.https_inspection_rule_name

匹配规则的名称。

关键字

checkpoint.https_validation

描述 HTTPS 检查失败的精确错误。

关键字

checkpoint.icap_more_info

判决的自由文本。

整数

checkpoint.icap_server_name

服务器名称。

关键字

checkpoint.icap_server_service

ICAP URI 中给出的服务名称

关键字

checkpoint.icap_service_id

服务 ID,可以与多个服务器一起使用,视为服务。

整数

checkpoint.icmp

客户端接收的数据包数量。

关键字

checkpoint.icmp_code

如果连接是 ICMP,则代码信息将添加到日志中。

checkpoint.icmp_type

如果连接是 ICMP,则类型信息将添加到日志中。

checkpoint.id

覆盖应用程序 ID。

整数

checkpoint.identity_src

身份验证身份信息的来源。

关键字

checkpoint.identity_type

用于身份验证的身份类型。

关键字

checkpoint.ike

IKEMode (PHASE1, PHASE2, 等)。

关键字

checkpoint.ike_ids

所有 QM ID。

关键字

checkpoint.impacted_files

如果端点计算机感染,则恶意软件影响的文件列表。

关键字

checkpoint.incident_extension

匹配的数据类型。

关键字

checkpoint.indicator_description

IOC 指示器描述。

关键字

checkpoint.indicator_name

IOC 指示器名称。

关键字

checkpoint.indicator_reference

IOC 指示器参考。

关键字

checkpoint.indicator_uuid

IOC 指示器 uuid。

关键字

checkpoint.info

特殊日志消息。

关键字

checkpoint.information

特定刀片的策略安装状态。

关键字

checkpoint.inspection_category

检查类别:协议异常、签名等。

关键字

checkpoint.inspection_item

执行检查的刀片元素。

关键字

checkpoint.inspection_profile

激活的保护所属的配置文件。

关键字

checkpoint.inspection_settings_log

指示日志由检查设置发布。

关键字

checkpoint.install_policy_acceleration

是否加速了策略安装。请参阅CheckPoint R81 安全管理管理员指南 (PDF)。

关键字

checkpoint.installed_products

已安装的端点软件刀片列表。

关键字

checkpoint.int_end

将用于 NAT 的订阅者结束 int。

整数

checkpoint.int_start

将用于 NAT 的订阅者开始 int。

整数

checkpoint.interface_name

用于镜像和解密的指定接口。

关键字

checkpoint.internal_ca

关键字

checkpoint.internal_error

内部错误,用于故障排除

关键字

checkpoint.invalid_file_size

仅当此字段设置为 0 时,File_size 字段才有效。

整数

checkpoint.ip_address

ip

checkpoint.ip_option

丢弃的 IP 选项。

整数

checkpoint.isp_link

ISP 链接的名称。

关键字

checkpoint.last_hit_time

当前间隔中的最后一次命中时间。

整数

checkpoint.last_rematch_time

连接重新匹配时间。

关键字

checkpoint.layer_name

层名称。

关键字

checkpoint.layer_uuid

层 UUID。

关键字

checkpoint.limit_applied

指示会话是否实际受日期限制。

整数

checkpoint.limit_requested

指示是否为会话请求了数据限制。

整数

checkpoint.link_probing_status_update

IP 地址响应状态。

关键字

checkpoint.links_num

邮件中的链接数。

整数

checkpoint.log_delay

删除模板前剩余的时间。

整数

checkpoint.log_id

日志的唯一标识。

整数

checkpoint.log_sys_message

系统日志消息。

关键字

checkpoint.logic_changes

关键字

checkpoint.logid

系统消息

关键字

checkpoint.long_desc

有关该过程的更多信息(通常在失败时描述错误原因)。

关键字

checkpoint.machine

触发日志的 L2TP 计算机以及日志引用该计算机。

关键字

checkpoint.malware_family

有关保护的附加信息。

关键字

checkpoint.match_fk

规则编号。

整数

checkpoint.match_id

规则的私钥

整数

checkpoint.matched_file

匹配的数据类型的唯一 ID。

关键字

checkpoint.matched_file_percentage

指纹:流量的匹配百分比。

整数

checkpoint.matched_file_text_segments

指纹:此流量匹配的文本段数。

整数

checkpoint.media_type

使用的介质(音频、视频等)。

关键字

checkpoint.message

ISP 链接失败。

关键字

checkpoint.message_info

用于信息消息,例如:NAT 连接已结束。

关键字

checkpoint.message_size

邮件/帖子大小。

整数

checkpoint.method

HTTP 方法。

关键字

checkpoint.methods

IPSEc 方法。

关键字

checkpoint.mime_from

发件人的地址。

关键字

checkpoint.mime_to

收件人地址列表。

关键字

checkpoint.mirror_and_decrypt_type

有关解密和转发的信息。可能的值:仅镜像、解密和镜像、部分镜像(HTTPS 检查绕过)。

关键字

checkpoint.mitre_collection

对手正试图收集感兴趣的数据以实现其目标。

关键字

checkpoint.mitre_command_and_control

对手正试图与受损系统通信以控制它们。

关键字

checkpoint.mitre_credential_access

对手正试图窃取帐户名和密码。

关键字

checkpoint.mitre_defense_evasion

攻击者试图避免被检测到。

关键字

checkpoint.mitre_discovery

攻击者试图暴露有关您的环境的信息。

关键字

checkpoint.mitre_execution

攻击者试图运行恶意代码。

关键字

checkpoint.mitre_exfiltration

攻击者试图窃取数据。

关键字

checkpoint.mitre_impact

攻击者试图操纵、中断或破坏您的系统和数据。

关键字

checkpoint.mitre_initial_access

攻击者试图闯入您的网络。

关键字

checkpoint.mitre_lateral_movement

攻击者试图探索您的环境。

关键字

checkpoint.mitre_persistence

攻击者试图保持其立足点。

关键字

checkpoint.mitre_privilege_escalation

攻击者试图获取更高级别的权限。

关键字

checkpoint.monitor_reason

受监控数据包的聚合日志。

关键字

checkpoint.msgid

消息 ID。

关键字

checkpoint.name

应用程序名称。

关键字

checkpoint.nat46

NAT 46 状态,在大多数情况下为“已启用”。

关键字

checkpoint.nat_addtnl_rulenum

当匹配 2 个自动规则时,将显示第二个规则匹配,否则该字段将为 0。

整数

checkpoint.nat_exhausted_pool

耗尽池的 4 元组。

关键字

checkpoint.nat_rule_uid

关键字

checkpoint.nat_rulenum

NAT 规则库中第一个匹配的规则。

整数

checkpoint.needs_browse_time

连接所需的浏览时间。

整数

checkpoint.next_hop_ip

下一跳 IP 地址。

关键字

checkpoint.next_scheduled_scan_date

根据时间对象安排的下一次扫描时间。

关键字

checkpoint.next_update_desc

关键字

checkpoint.number_of_errors

由于错误而未扫描的文件数。

整数

checkpoint.objecttable

受影响的对象表。

关键字

checkpoint.objecttype

受影响对象的类型。

关键字

checkpoint.observable_comment

IOC 可观察的签名描述。

关键字

checkpoint.observable_id

IOC 可观察的签名 ID。

关键字

checkpoint.observable_name

IOC 可观察的签名名称。

关键字

checkpoint.operation

威胁提取执行的操作。

关键字

checkpoint.operation_number

操作编号。

关键字

checkpoint.operation_result_description

关键字

checkpoint.operation_results

关键字

checkpoint.origin_sic_name

生成该事件的安全网关的 SIC 名称。

关键字

checkpoint.original_queue_id

原始的 postfix 电子邮件队列 ID。

关键字

checkpoint.outgoing_url

与此日志相关的 URL(对于 HTTP)。

关键字

checkpoint.outzonlags

关键字

checkpoint.package_action

关键字

checkpoint.packet_amount

丢弃的数据包数量。

整数

checkpoint.packet_capture_name

关键字

checkpoint.packet_capture_time

关键字

checkpoint.packet_capture_unique_id

数据包捕获文件的标识符。

关键字

checkpoint.parent_file_hash

提取文件时,存档的哈希值。

关键字

checkpoint.parent_file_name

提取文件时,存档的名称。

关键字

checkpoint.parent_file_uid

提取文件时,存档的 UID。

关键字

checkpoint.parent_process_username

触发攻击的进程的父进程的所有者用户名。

关键字

checkpoint.parent_rule

在内联层的情况下,父规则编号。

整数

checkpoint.peer_gateway

对等安全网关的主 IP。

ip

checkpoint.peer_ip

客户端连接到的 IP 地址。

关键字

checkpoint.peer_ip_probing_status_update

IP 地址响应状态。

关键字

checkpoint.performance_impact

防护性能影响。

整数

checkpoint.policy_mgmt

管理此安全网关的管理服务器的名称。

关键字

checkpoint.policy_name

此安全网关提取的最后策略的名称。

关键字

checkpoint.policy_time

关键字

checkpoint.portal_message

关键字

checkpoint.ports_usage

已分配端口的百分比。

整数

checkpoint.ppp

身份验证状态。

关键字

checkpoint.precise_error

HTTP 解析器错误。

关键字

checkpoint.process_username

触发攻击的进程的所有者用户名。

关键字

checkpoint.properties

应用程序类别。

关键字

checkpoint.protection_id

防护恶意软件 ID。

关键字

checkpoint.protection_name

攻击的特定签名名称。

关键字

checkpoint.protection_type

用于检测攻击的防护类型。

关键字

checkpoint.protocol

在连接上检测到的协议。

关键字

checkpoint.proxy_machine_name

连接到代理 IP 的机器名称。

整数

checkpoint.proxy_src_ip

发送者源 IP(即使在使用代理时)。

ip

checkpoint.proxy_user_dn

连接到代理 IP 的用户的可分辨名称。

关键字

checkpoint.proxy_user_name

连接到代理 IP 的用户名。

关键字

checkpoint.query

DNS 查询。

关键字

checkpoint.question_rdata

问题记录域的列表。

关键字

checkpoint.referrer

引用 HTTP 请求标头,上一个网页地址。

关键字

checkpoint.referrer_parent_uid

引用应用程序的日志 UUID。

关键字

checkpoint.referrer_self_uid

当前日志的 UUID。

关键字

checkpoint.registered_ip-phones

已注册的 IP 电话。

关键字

checkpoint.reject_category

身份验证失败原因。

关键字

checkpoint.reject_id

与移动接入错误页面中显示的 ID 相对应的拒绝 ID。

关键字

checkpoint.rematch_info

在策略安装期间无法匹配旧连接时发送的信息。

关键字

checkpoint.remediated_files

如果发生感染并且成功清理了该感染,则这是计算机上已修复文件的列表。

关键字

checkpoint.reply_status

ICAP 回复状态代码,例如 200 或 204。

整数

checkpoint.risk

我们从引擎获得的风险级别。

关键字

checkpoint.roles

身份的角色。

关键字

checkpoint.row_start

关键字

checkpoint.rpc_prog

新 RPC 状态的日志 - prog 值。

整数

checkpoint.rule

匹配的规则编号。

整数

checkpoint.rule_action

访问策略中匹配规则的操作。

关键字

checkpoint.rulebase_id

图层编号。

整数

checkpoint.scan_direction

扫描方向。

关键字

checkpoint.scan_hosts_day

过去一天内的唯一主机数。

整数

checkpoint.scan_hosts_hour

过去一小时内的唯一主机数。

整数

checkpoint.scan_hosts_week

过去一周内的唯一主机数。

整数

checkpoint.scan_id

扫描的序列号。

关键字

checkpoint.scan_mail

“AB 恶意活动”引擎扫描的电子邮件数。

整数

checkpoint.scan_results

“已感染”/失败的描述。

关键字

checkpoint.scheme

描述用于日志的方案。

关键字

checkpoint.scope

与攻击相关的 IP。

关键字

checkpoint.script_value_for_one_time_scripts

关键字

checkpoint.scrub_activity

提取结果

关键字

checkpoint.scrub_download_time

从资源下载文件的时间。

关键字

checkpoint.scrub_time

提取过程的持续时间。

关键字

checkpoint.scrub_total_time

威胁提取的总文件处理时间。

关键字

checkpoint.scrubbed_content

发现的活动内容。

关键字

checkpoint.sctp_association_state

您尝试更新到的错误状态。

关键字

checkpoint.sctp_error

错误信息,是什么导致 sctp 在 out_of_state 上失败。

关键字

checkpoint.scv_message_info

丢弃原因。

关键字

checkpoint.scv_user

其数据包在 SCV 上被丢弃的用户名。

关键字

checkpoint.securexl_message

SecureXL 消息的两个选项:1. 日志系统负载过重后,丢失的记帐记录。2. 关于数据包丢弃的 FW 日志消息。

关键字

checkpoint.security_inzone

观察者报告的传入流量网络区域,用于对入口流量的源区域进行分类。例如,内部、外部、DMZ、HR、法律等。

关键字

checkpoint.security_outzone

观察者报告的出站流量网络区域,用于对出口流量的目标区域进行分类,例如内部、外部、DMZ、HR、法律等。

关键字

checkpoint.sendtotrackerasadvancedauditlog

关键字

checkpoint.sent_bytes

关键字

checkpoint.server_inbound_interface

系统报告的入站接口名称。

关键字

checkpoint.server_outbound_interface

系统报告的出站接口名称。

关键字

checkpoint.session_description

关键字

checkpoint.session_id

日志 uuid。

关键字

checkpoint.session_name

关键字

checkpoint.session_uid

HTTP 会话 ID。

关键字

checkpoint.short_desc

已执行进程的简短描述。

关键字

checkpoint.sig_id

应用程序的签名 ID,它如何被检测到。

关键字

checkpoint.similar_communication

发现与恶意文件相似的网络操作。

关键字

checkpoint.similar_hashes

发现与恶意文件相似的哈希值。

关键字

checkpoint.similar_strings

发现与恶意文件相似的字符串。

关键字

checkpoint.similiar_iocs

与找到的恶意文件相关的其他相似的 IoC。

关键字

checkpoint.sip_reason

解释为什么不允许 source_ip 重定向(切换)。

关键字

checkpoint.site_name

站点名称。

关键字

checkpoint.smartdefense_profile

关键字

checkpoint.snid

Check Point 会话 ID。

关键字

checkpoint.source_interface

源接口的外部接口名称,如果未找到,则为 Null。

关键字

checkpoint.source_object

源列上匹配的对象名称。

关键字

checkpoint.source_os

生成攻击的操作系统。

关键字

checkpoint.special_properties

如果此字段设置为 1,则不会显示日志(用于监控扫描进度)。

整数

checkpoint.specific_data_type_name

复合/组方案,匹配的数据类型。

关键字

checkpoint.speed

当前扫描速度。

整数

checkpoint.sport_svc

连接的源端口。

整数

checkpoint.spyware_name

间谍软件名称。

关键字

checkpoint.spyware_type

间谍软件类型。

关键字

checkpoint.src_country

国家名称,从连接源 IP 地址派生而来。

关键字

checkpoint.src_phone_number

源 IP 电话。

关键字

checkpoint.src_user_dn

连接到源 IP 的用户的可分辨名称。

关键字

checkpoint.src_user_name

连接到源 IP 的用户名。

关键字

checkpoint.srckeyid

发起者 Spi ID。

关键字

checkpoint.status

确定/警告/错误。

关键字

checkpoint.status_update

上次更新日志的时间。

关键字

checkpoint.stormagentaction

关键字

checkpoint.stormagentname

关键字

checkpoint.sub_policy_name

层名称。

关键字

checkpoint.sub_policy_uid

图层 uid。

关键字

checkpoint.subs_exp

日期

checkpoint.subscriber

CGNAT 之前的源 IP。

ip

checkpoint.subscription_stat

关键字

checkpoint.subscription_stat_desc

关键字

checkpoint.summary

不合规 DNS 流量丢弃或检测的摘要消息。

关键字

checkpoint.suppressed_logs

在相同的源、目标和端口上,每五分钟聚合的连接。

整数

checkpoint.svc

服务的名称。

关键字

checkpoint.sync

同步状态和原因(稳定、有风险)。

关键字

checkpoint.sys_message

系统消息

关键字

checkpoint.syslog_severity

Syslog 严重级别。

关键字

checkpoint.system_application

关键字

checkpoint.task

关键字

checkpoint.task_percent

关键字

checkpoint.task_progress

关键字

checkpoint.taskid

关键字

checkpoint.tasktargetid

关键字

checkpoint.tcp_end_reason

TCP 连接关闭的原因。

关键字

checkpoint.tcp_flags

TCP 数据包标志(SYN、ACK 等)。

关键字

checkpoint.tcp_packet_out_of_state

状态违规。

关键字

checkpoint.tcp_state

记录 TCP 状态更改。

关键字

checkpoint.te_verdict_determined_by

模拟器确定的文件判决。

关键字

checkpoint.ticket_id

每个文件的唯一 ID。

关键字

checkpoint.time

如果一个事件中提到多个时间,此字段将包含所有时间。

日期

checkpoint.tls_server_host_name

URLF 用于分类的加密 TLS 连接中的 SNI/CN。

关键字

checkpoint.top_archive_file_name

对于存档文件:已发送/接收的文件。

关键字

checkpoint.total_attachments

电子邮件中附件的数量。

整数

checkpoint.triggered_by

触发软件刀片实施保护的机制名称。

关键字

checkpoint.trusted_domain

对于网络钓鱼事件,攻击者冒充的域名。

关键字

checkpoint.unique_detected_day

在过去一天内,为特定主机检测到的病毒。

整数

checkpoint.unique_detected_hour

在过去一小时内,为特定主机检测到的病毒。

整数

checkpoint.unique_detected_week

在过去一周内,为特定主机检测到的病毒。

整数

checkpoint.update_status

数据库更新的状态

关键字

checkpoint.url

已转换的 URL。

关键字

checkpoint.user

源用户名。

关键字

checkpoint.user_agent

标识请求软件用户代理的字符串。

关键字

checkpoint.usercheck

关键字

checkpoint.usercheck_confirmation_level

关键字

checkpoint.usercheck_interaction_name

关键字

checkpoint.vendor_list

为恶意 URL 提供判决的供应商名称。

关键字

checkpoint.verdict

TE 引擎判决。可能的值:恶意/良性/错误。

关键字

checkpoint.via

Via 标头由代理添加,用于跟踪目的,以避免在循环中发送请求。

关键字

checkpoint.voip_attach_action_info

附件操作信息。

关键字

checkpoint.voip_attach_sz

附件大小。

整数

checkpoint.voip_call_dir

呼叫方向:入/出。

关键字

checkpoint.voip_call_id

呼叫 ID。

关键字

checkpoint.voip_call_state

呼叫状态。可能的值:入/出。

关键字

checkpoint.voip_call_term_time

呼叫终止时间戳。

关键字

checkpoint.voip_config

配置。

关键字

checkpoint.voip_duration

呼叫时长(秒)。

关键字

checkpoint.voip_est_codec

估计的编解码器。

关键字

checkpoint.voip_exp

过期。

整数

checkpoint.voip_from_user_type

源 IP 电话类型。

关键字

checkpoint.voip_log_type

VoIP 日志类型。可能的值:拒绝、呼叫、注册。

关键字

checkpoint.voip_media_codec

估计的编解码器。

关键字

checkpoint.voip_media_ipp

媒体 IP 协议。

关键字

checkpoint.voip_media_port

媒体接口。

关键字

checkpoint.voip_method

注册请求。

关键字

checkpoint.voip_reason_info

信息。

关键字

checkpoint.voip_reg_int

注册端口。

整数

checkpoint.voip_reg_ipp

注册 IP 协议。

整数

checkpoint.voip_reg_period

注册周期。

整数

checkpoint.voip_reg_server

注册服务器 IP 地址。

ip

checkpoint.voip_reg_user_type

注册的 IP 电话类型。

关键字

checkpoint.voip_reject_reason

拒绝原因。

关键字

checkpoint.voip_to_user_type

目标 IP 电话类型。

关键字

checkpoint.vpn_feature_name

L2TP /IKE / 链接选择。

关键字

checkpoint.watermark

报告是否向清理的文件添加了水印。

关键字

checkpoint.web_server_type

HTTP 响应中检测到的 Web 服务器。

关键字

checkpoint.word_list

数据类型匹配的单词。

关键字

checkpoint.xlatedport_svc

服务的目的地转换端口。

关键字

checkpoint.xlatesport_svc

服务的源转换端口。

关键字

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机运行所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机运行所在的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所基于的镜像的名称。

关键字

container.labels

镜像标签。

object

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

destination.as.organization.name

组织名称。

关键字

destination.as.organization.name.text

destination.as.organization.name 的多字段。

match_only_text

destination.bytes

从目标发送到源的字节数。

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以从富化中添加。

关键字

destination.geo.city_name

城市名称。

关键字

destination.geo.continent_name

大洲名称。

关键字

destination.geo.country_iso_code

国家/地区 ISO 代码。

关键字

destination.geo.country_name

国家/地区名称。

关键字

destination.geo.location

经度和纬度。

geo_point

destination.geo.name

用户定义的某个位置的描述,粒度级别由他们决定。可以是他们的数据中心的名称、楼层号(如果这描述的是一个本地物理实体)、城市名称。通常不用于自动化地理位置。

关键字

destination.geo.region_iso_code

区域 ISO 代码。

关键字

destination.geo.region_name

区域名称。

关键字

destination.ip

目标 IP 地址(IPv4 或 IPv6)。

ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即,8 位字节)都由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

destination.nat.ip

基于 NAT 会话的目标的转换 IP(例如,从 Internet 到专用 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。

ip

destination.nat.port

源会话通过 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

destination.packets

从目标发送到源的数据包。

destination.port

目标的端口。

destination.service.name

从中收集数据的服务的名称。

关键字

destination.user.domain

用户所属的目录名称。例如,LDAP 或 Active Directory 域名。

关键字

destination.user.email

用户电子邮件地址。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的短名称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

match_only_text

dns.id

生成查询的程序分配的 DNS 数据包标识符。该标识符会复制到响应中。

关键字

dns.question.name

正在查询的名称。如果名称字段包含不可打印的字符(低于 32 或高于 126),则应将这些字符表示为转义的十进制整数 (\DDD)。应转义反斜杠和引号。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

关键字

dns.question.type

正在查询的记录类型。

关键字

dns.type

捕获的 DNS 事件类型,查询或应答。如果您的 DNS 事件源仅提供 DNS 查询,则应仅创建类型为 dns.type:query 的 DNS 事件。如果您的 DNS 事件源也提供应答,则应为每个查询创建一个事件(可以选择在看到查询时立即创建)。以及包含所有查询详细信息以及应答数组的第二个事件。

关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段,必须存在于所有事件中。当跨多个索引(可能符合略有不同的 ECS 版本)进行查询时,此字段允许集成调整到事件的架构版本。

关键字

email.bcc.address

密件抄送收件人的电子邮件地址

关键字

email.cc.address

抄送收件人的电子邮件地址

关键字

email.delivery_timestamp

服务或客户端接收电子邮件消息的日期和时间。

日期

email.from.address

发件人的电子邮件地址,通常来自 RFC 5322 From: 标头字段。

关键字

email.local_id

创建事件的源分配给电子邮件的唯一标识符。标识符在不同跃点之间不持久。

关键字

email.message_id

来自 RFC 5322 Message-ID: 电子邮件标头的标识符,指的是特定的电子邮件消息。

wildcard

email.subject

消息主题的简短摘要。

关键字

email.subject.text

email.subject 的多字段。

match_only_text

email.to.address

收件人的电子邮件地址

关键字

error.message

错误消息。

match_only_text

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二个级别。event.category 表示 ECS 类别的“大桶”。例如,筛选 event.category:process 会产生与进程活动相关的所有事件。此字段与作为子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。该差异可用于计算源生成事件与代理首次处理事件之间的时间延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同,则应使用 @timestamp

日期

event.dataset

事件数据集

constant_keyword

event.end

event.end 包含事件结束或最后一次观察到活动时的日期。

日期

event.id

用于描述事件的唯一 ID。

关键字

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息,而不会具体到事件的内容。例如,此字段的值将警报事件与指标事件区分开来。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制,它还有助于了解数据是否以固定的时间间隔传入。

关键字

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性,或者在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下使用,例如用于重新索引。此字段未编制索引,并且 doc_values 已禁用。它无法搜索,但可以从 _source 中检索。如果用户希望覆盖此设置并为该字段编制索引,请参阅Elasticsearch 参考中的字段数据类型

关键字

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体的角度来看,该事件是成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能从事件生成者的角度捕获总体成功或失败的值。进一步注意,并非所有事件都有关联的结果。例如,对于指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件,通常不会填充此字段。

关键字

event.risk_score

事件的风险评分或优先级(例如,安全解决方案)。在此处使用您系统的原始值。

float

event.sequence

事件的序列号。序列号是一些事件源发布的值,用于使事件的精确排序明确,而与时间戳精度无关。

event.severity

根据您的事件源,事件的数字严重性。不同的严重性值所代表的含义在不同的源和用例之间可能会有所不同。实现者有责任确保来自同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.codeevent.severity 旨在表示根据事件源(例如,防火墙、IDS)的严重性。如果事件源未发布其自身的严重性,您可以选择将 log.syslog.severity.code 复制到 event.severity

event.start

event.start 包含事件开始或首次观察到活动时的日期。

日期

event.timezone

当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

关键字

event.type

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”,当与 event.category 字段值一起使用时,可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。

关键字

event.url

链接到外部系统的 URL,以继续调查此事件。此 URL 链接到另一个系统,可以在该系统中对该特定事件的发生进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

关键字

file.hash.md5

MD5 哈希。

关键字

file.hash.sha1

SHA1 哈希。

关键字

file.hash.sha256

SHA256 哈希。

关键字

file.inode

表示文件系统中文件的 Inode。

关键字

file.name

文件的名称,包括扩展名,但不包括目录。

关键字

file.size

文件大小(以字节为单位)。仅当 file.type 为“file”时才相关。

file.type

文件类型(文件、目录或符号链接)。

关键字

group.name

组的名称。

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

boolean

host.domain

主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含 hostname 命令在主机上返回的内容。

关键字

host.id

唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:beat.name 的当前用法。

关键字

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上主机名返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

host.os.build

操作系统版本信息。

关键字

host.os.codename

操作系统代码名(如果有)。

关键字

host.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

关键字

host.os.kernel

操作系统内核版本,作为原始字符串。

关键字

host.os.name

操作系统名称,不包含版本。

关键字

host.os.name.text

host.os.name 的多字段。

match_only_text

host.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

关键字

host.os.version

操作系统版本,作为原始字符串。

关键字

host.type

主机类型。对于云提供商,这可以是计算机类型,例如 t2.medium。如果虚拟机,这可以是容器,例如,或其他在您的环境中具有意义的信息。

关键字

http.request.method

HTTP 请求方法。该值应保留其原始事件中的大小写。例如,GETgetGeT 均被视为此字段的有效值。

关键字

http.request.referrer

此 HTTP 请求的引用者。

关键字

input.type

Filebeat 输入的类型。

关键字

log.file.path

此事件来自的日志文件的完整路径,包括文件名。它应包含盘符(如果适用)。如果事件不是从日志文件中读取的,请勿填充此字段。

关键字

log.flags

日志文件的标志。

关键字

log.offset

日志文件中条目的偏移量。

log.source.address

通过网络接收的日志的源地址。

关键字

message

对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多个消息,则可以将它们组合成一个消息。

match_only_text

network.application

当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)识别出特定的应用程序或服务时,此字段将捕获应用程序或服务的名称。例如,原始事件标识来自 https 网络连接中特定 Web 服务的网络连接,例如 facebooktwitter。为了便于查询,字段值必须规范化为小写。

关键字

network.bytes

在两个方向上总共传输的字节数。如果知道 source.bytesdestination.bytes,则 network.bytes 是它们的总和。

network.direction

网络流量的方向。从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。从基于网络或外围的监视上下文中映射事件时,请从网络外围的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”未跨越外围边界,旨在描述外围内的两个主机之间的通信。另请注意,“external”旨在描述外围外部的两个主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。

关键字

network.iana_number

IANA 协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化的协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

关键字

network.name

操作员为其网络部分指定的名称。

关键字

network.packets

在两个方向上总共传输的数据包数。如果知道 source.packetsdestination.packets,则 network.packets 是它们的总和。

network.protocol

在 OSI 模型中,这将是应用层协议。例如,httpdnsssh。为了便于查询,字段值必须规范化为小写。

关键字

network.transport

与 network.iana_number 相同,但改为使用传输层(udp、tcp、ipv6-icmp 等)的关键字名称。为了便于查询,字段值必须规范化为小写。

关键字

observer.egress.interface.name

系统报告的接口名称。

关键字

observer.egress.zone

观察者报告的出站流量网络区域,用于对出口流量的目标区域进行分类,例如内部、外部、DMZ、HR、法律等。

关键字

observer.ingress.interface.name

系统报告的接口名称。

关键字

observer.ingress.zone

观察者报告的传入流量网络区域,用于对入口流量的源区域进行分类。例如,内部、外部、DMZ、HR、法律等。

关键字

observer.ip

观察者的 IP 地址。

ip

observer.mac

观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个[大写]十六进制数字表示,表示八位字节的值为无符号整数。连续的八位字节用连字符分隔。

关键字

observer.name

观察者的自定义名称。这是可以给观察者的名称。例如,如果组织中使用多个相同型号的防火墙,这会很有帮助。如果不需要自定义名称,则可以使该字段为空。

关键字

observer.product

观察者的产品名称。

关键字

observer.type

数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例是 forwarderfirewallidsipsproxypollersensorAPM server

关键字

observer.vendor

观察者的供应商名称。

关键字

observer.version

观察者版本。

关键字

process.hash.md5

MD5 哈希。

关键字

process.name

进程名称。有时也称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

match_only_text

process.parent.hash.md5

MD5 哈希。

关键字

process.parent.name

进程名称。有时也称为程序名称或类似名称。

关键字

process.parent.name.text

process.parent.name 的多字段。

match_only_text

related.hash

在您的事件中看到的所有哈希值。填充此字段,然后使用它搜索哈希值,可以在您不确定哈希算法是什么(因此不确定要搜索哪个键名称)的情况下提供帮助。

关键字

related.ip

在您的事件中看到的所有 IP 地址。

ip

related.user

在事件中看到的所有用户名或其他用户标识符。

关键字

rule.category

实体使用规则检测此事件时使用的分类值关键字。

关键字

rule.description

生成事件的规则的描述。

关键字

rule.id

在代理、观察者或其他实体使用规则检测此事件的范围内唯一的规则 ID。

关键字

rule.name

生成事件的规则或签名的名称。

关键字

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

关键字

rule.uuid

在代理、观察者或其他实体使用规则检测此事件的集合或组范围内唯一的规则 ID。

关键字

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

source.as.organization.name

组织名称。

关键字

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.bytes

从源发送到目标的字节数。

source.domain

源系统的域名。此值可以是主机名、完全限定域名或另一种主机命名格式。该值可以来自原始事件或从增强中添加。

关键字

source.geo.city_name

城市名称。

关键字

source.geo.continent_name

大洲名称。

关键字

source.geo.country_iso_code

国家/地区 ISO 代码。

关键字

source.geo.country_name

国家/地区名称。

关键字

source.geo.location

经度和纬度。

geo_point

source.geo.name

用户定义的某个位置的描述,粒度级别由他们决定。可以是他们的数据中心的名称、楼层号(如果这描述的是一个本地物理实体)、城市名称。通常不用于自动化地理位置。

关键字

source.geo.region_iso_code

区域 ISO 代码。

关键字

source.geo.region_name

区域名称。

关键字

source.ip

源的 IP 地址(IPv4 或 IPv6)。

ip

source.mac

源的 MAC 地址。建议采用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节的值为无符号整数。连续的八位字节用连字符分隔。

关键字

source.nat.ip

基于源 NAT 会话的转换后的源 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。

ip

source.nat.port

基于源 NAT 会话的转换后的源端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。

source.packets

从源发送到目标的数据包数。

source.port

源的端口。

source.user.domain

用户所属的目录名称。例如,LDAP 或 Active Directory 域名。

关键字

source.user.email

用户电子邮件地址。

关键字

source.user.group.name

组的名称。

关键字

source.user.id

用户的唯一标识符。

关键字

source.user.name

用户的短名称或登录名。

关键字

source.user.name.text

source.user.name 的多字段。

match_only_text

tags

用于标记每个事件的关键字列表。

关键字

url.domain

URL 的域名,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 domain 字段。如果 URL 包含由 [] (IETF RFC 2732) 括起来的文字 IPv6 地址,则 [] 字符也应捕获在 domain 字段中。

关键字

url.original

在事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。

wildcard

url.original.text

url.original 的多字段。

match_only_text

user.domain

用户所属的目录名称。例如,LDAP 或 Active Directory 域名。

关键字

user.email

用户电子邮件地址。

关键字

user.group.name

组的名称。

关键字

user.id

用户的唯一标识符。

关键字

user.name

用户的短名称或登录名。

关键字

user.name.text

user.name 的多字段。

match_only_text

user_agent.name

用户代理的名称。

关键字

user_agent.original

未解析的 user_agent 字符串。

关键字

user_agent.original.text

user_agent.original 的多字段。

match_only_text

vulnerability.id

标识(ID)是漏洞条目的数字部分。它包括漏洞的唯一标识号。例如(Common[https://cve.mitre.org/about/faqs.html#what_is_cve_id)[Common 漏洞和暴露 CVE ID]

关键字

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.34.4

错误修复 (查看拉取请求)
添加有关使用日志文件输入的说明

8.11.0 或更高版本

1.34.3

错误修复 (查看拉取请求)
使主机名 Grok 模式与 syslog RFC 对齐。

8.11.0 或更高版本

1.34.2

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三花括号 Mustache 模板。

8.11.0 或更高版本

1.34.1

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三花括号 Mustache 模板。

8.11.0 或更高版本

1.34.0

增强功能 (查看拉取请求)
删除对 EOL OS 版本 R80.X 的支持

8.11.0 或更高版本

1.33.1

增强功能 (查看拉取请求)
改进 user.name 字段的规范化

8.11.0 或更高版本

1.33.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original 而无需设置 preserve_original_event。

8.11.0 或更高版本

1.32.0

增强功能 (查看拉取请求)
将日志流可视化迁移到已保存的搜索。

8.10.1 或更高版本

1.31.1

错误修复 (查看拉取请求)
确保 event.original 始终设置为 message 的值。

8.6.0 或更高版本

1.31.0

增强功能 (查看拉取请求)
将 package-spec 更新到 3.0.3。

8.6.0 或更高版本

1.30.2

增强功能 (查看拉取请求)
更改了所有者

8.6.0 或更高版本

1.30.1

错误修复 (查看拉取请求)
为审计日志事件添加缺失的字段。

8.6.0 或更高版本

1.30.0

增强功能 (查看拉取请求)
改进身份验证日志规范化。

8.6.0 或更高版本

1.29.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.6.0 或更高版本

1.29.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.6.0 或更高版本

1.28.0

增强功能 (查看拉取请求)
改进 _event.original_ 检查,以避免在设置时出现错误。

8.6.0 或更高版本

1.27.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.10.0。

8.6.0 或更高版本

1.26.0

增强功能 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除点状 YAML 键。在软件包清单中添加了 _owner.type: elastic_。

8.6.0 或更高版本

1.25.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.6.0 或更高版本

1.24.0

增强功能 (查看拉取请求)
确保 checkpoint.subs_exp 是日期。

8.6.0 或更高版本

1.23.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.9.0。

8.6.0 或更高版本

1.22.0

增强功能 (查看拉取请求)
避免因 loguid 和时间戳冲突而导致更新时数据丢失。

8.6.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

8.6.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

8.6.0 或更高版本

1.19.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

8.6.0 或更高版本

1.18.0

增强功能 (查看拉取请求)
改进文档。

8.6.0 或更高版本

1.17.0

增强功能 (查看拉取请求)
添加仪表板。

8.6.0 或更高版本

1.16.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
添加对新 R81 字段的支持。

增强 (查看拉取请求)
增强错误处理。

增强 (查看拉取请求)
支持包含多个时间值的日志。

增强 (查看拉取请求)
为事件添加指纹,以防止重复摄取。

7.16.0 或更高版本
8.0.0 或更高版本

1.15.1

错误修复 (查看拉取请求)
修复 Check Point src_user_name 字段映射。

7.16.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
增强错误处理。

7.16.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
公开 origin_sic_name 字段。

增强 (查看拉取请求)
改进结构化数据处理。

7.16.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
改进对 Checkpoint 81 的支持。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
允许配置时区。

7.16.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
udp_options 添加到 UDP 输入。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.1

错误修复 (查看拉取请求)
支持 checkpoint.time 字段作为 UNIX 和 UNIX_MS。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.2

增强 (查看拉取请求)
删除重复字段。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.7.1

错误修复 (查看拉取请求)
修复 R81 字段的处理。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
添加身份验证事件的处理。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.1

增强 (查看拉取请求)
改进 TCP、SSL 配置描述和示例。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

增强 (查看拉取请求)
更新 Checkpoint 徽标。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
为 TCP 输入添加 TLS 和自定义选项支持。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
更新到 ECS 8.2 以使用新的电子邮件字段集。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.6

错误修复 (查看拉取请求)
修复日志有尾随空格时的解析错误

7.16.0 或更高版本
8.0.0 或更高版本

1.3.5

增强 (查看拉取请求)
添加了指向 Check Point 文档的链接。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.4

错误修复 (查看拉取请求)
将 checkpoint.source_object 的映射类型从 integer 更改为 keyword。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.3

增强 (查看拉取请求)
添加多字段的文档

1.3.2

错误修复 (查看拉取请求)
修复 checkpoint.icmp_typecheckpoint.icmp_code & checkpoint.email_recipients_num 的字段映射冲突

1.3.1

错误修复 (查看拉取请求)
添加 Ingest Pipeline 脚本以映射 IANA 协议号

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

1.2.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.1.2

增强 (查看拉取请求)
更新标题和描述。

7.16.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
修复检查forwarded标签的逻辑

1.1.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

1.0.0

增强 (查看拉取请求)
使其成为 GA

0.8.2

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.8.1

增强 (查看拉取请求)
更新到 ECS 1.11.0

0.8.0

增强 (查看拉取请求)
更新集成描述

0.7.0

增强 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

0.6.0

增强 (查看拉取请求)
更新到 ECS 1.10.0 并同步模块更改

0.5.2

增强 (查看拉取请求)
更新到 ECS 1.9.0

0.5.1

错误修复 (查看拉取请求)
更改 kibana.version 约束使其更加保守。

0.1.0

增强 (查看拉取请求)
初始版本

« Ceph 集成 Check Point Harmony Email & Collaboration »