Cisco Secure Endpoint 集成

版本	2.28.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此集成适用于 Cisco Secure Endpoint 日志。它包括以下数据集，用于通过 syslog 接收日志或从文件读取日志

event 数据集：支持 Cisco Secure Endpoint 事件日志。

日志

编辑

Secure Endpoint

编辑

event 数据集收集 Cisco Secure Endpoint 日志。

示例

event 的示例事件如下所示

{
    "@timestamp": "2021-01-13T10:13:08.000Z",
    "agent": {
        "ephemeral_id": "5402117c-8965-4c2d-9404-2a1fb6c47431",
        "id": "49007565-f0ac-4df0-9672-50a3e25920e8",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.0.0"
    },
    "cisco": {
        "secure_endpoint": {
            "cloud_ioc": {
                "description": "Microsoft Word launched PowerShell. This is indicative of multiple dropper variants that make use of Visual Basic Application macros to perform nefarious activities, such as downloading and executing malicious executables.",
                "short_description": "W32.WinWord.Powershell"
            },
            "computer": {
                "active": true,
                "connector_guid": "test_connector_guid",
                "external_ip": "8.8.8.8",
                "network_addresses": [
                    {
                        "ip": "10.10.10.10",
                        "mac": "38:1e:eb:ba:2c:15"
                    }
                ]
            },
            "connector_guid": "test_connector_guid",
            "event_type_id": 1107296274,
            "file": {
                "disposition": "Clean",
                "parent": {
                    "disposition": "Clean"
                }
            },
            "group_guids": [
                "test_group_guid"
            ],
            "related": {
                "mac": [
                    "38-1E-EB-BA-2C-15"
                ]
            }
        }
    },
    "data_stream": {
        "dataset": "cisco_secure_endpoint.event",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "49007565-f0ac-4df0-9672-50a3e25920e8",
        "snapshot": false,
        "version": "8.0.0"
    },
    "event": {
        "action": "Cloud IOC",
        "agent_id_status": "verified",
        "category": [
            "file"
        ],
        "code": "1107296274",
        "created": "2023-06-01T09:45:22.836Z",
        "dataset": "cisco_secure_endpoint.event",
        "id": "1515298355162029000",
        "ingested": "2023-06-01T09:45:23Z",
        "kind": "alert",
        "original": "{\"data\":{\"cloud_ioc\":{\"description\":\"Microsoft Word launched PowerShell. This is indicative of multiple dropper variants that make use of Visual Basic Application macros to perform nefarious activities, such as downloading and executing malicious executables.\",\"short_description\":\"W32.WinWord.Powershell\"},\"computer\":{\"active\":true,\"connector_guid\":\"test_connector_guid\",\"external_ip\":\"8.8.8.8\",\"hostname\":\"Demo_AMP\",\"links\":{\"computer\":\"https://api.eu.amp.cisco.com/v1/computers/test_computer\",\"group\":\"https://api.eu.amp.cisco.com/v1/groups/test_group\",\"trajectory\":\"https://api.eu.amp.cisco.com/v1/computers/test_computer/trajectory\"},\"network_addresses\":[{\"ip\":\"10.10.10.10\",\"mac\":\"38:1e:eb:ba:2c:15\"}]},\"connector_guid\":\"test_connector_guid\",\"date\":\"2021-01-13T10:13:08+00:00\",\"event_type\":\"Cloud IOC\",\"event_type_id\":1107296274,\"file\":{\"disposition\":\"Clean\",\"file_name\":\"PowerShell.exe\",\"file_path\":\"/C:/Windows/SysWOW64/WindowsPowerShell/v1.0/PowerShell.exe\",\"identity\":{\"sha256\":\"6c05e11399b7e3c8ed31bae72014cf249c144a8f4a2c54a758eb2e6fad47aec7\"},\"parent\":{\"disposition\":\"Clean\",\"identity\":{\"sha256\":\"3d46e95284f93bbb76b3b7e1bf0e1b2d51e8a9411c2b6e649112f22f92de63c2\"}}},\"group_guids\":[\"test_group_guid\"],\"id\":1515298355162029000,\"severity\":\"Medium\",\"start_date\":\"2021-01-13T10:13:08+00:00\",\"start_timestamp\":1610532788,\"timestamp\":1610532788,\"timestamp_nanoseconds\":162019000},\"metadata\":{\"links\":{\"next\":\"http://47c9519daa08:8080/v1/events?start_date=2023-05-31T09:45:22+00:00\\u0026limit=1\\u0026offset=1\",\"self\":\"http://47c9519daa08:8080/v1/events?start_date=2023-05-31T09:45:22+00:00\\u0026limit=1\"},\"results\":{\"current_item_count\":1,\"index\":0,\"items_per_page\":1,\"total\":2}},\"version\":\"v1.2.0\"}",
        "severity": 2,
        "start": "2021-01-13T10:13:08.000Z"
    },
    "file": {
        "hash": {
            "sha256": "6c05e11399b7e3c8ed31bae72014cf249c144a8f4a2c54a758eb2e6fad47aec7"
        },
        "name": "PowerShell.exe",
        "path": "/C:/Windows/SysWOW64/WindowsPowerShell/v1.0/PowerShell.exe"
    },
    "host": {
        "hostname": "Demo_AMP",
        "name": "demo_amp"
    },
    "input": {
        "type": "httpjson"
    },
    "process": {
        "hash": {
            "sha256": "3d46e95284f93bbb76b3b7e1bf0e1b2d51e8a9411c2b6e649112f22f92de63c2"
        }
    },
    "related": {
        "hash": [
            "6c05e11399b7e3c8ed31bae72014cf249c144a8f4a2c54a758eb2e6fad47aec7"
        ],
        "hosts": [
            "demo_amp"
        ],
        "ip": [
            "8.8.8.8",
            "10.10.10.10"
        ]
    },
    "tags": [
        "cisco-secure_endpoint",
        "forwarded",
        "preserve_original_event"
    ]
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cisco.secure_endpoint.bp_data	端点隔离信息	扁平化
cisco.secure_endpoint.cloud_ioc.description	来自 AMP 的特定 IOC 事件的相关 IOC 描述。	关键字
cisco.secure_endpoint.cloud_ioc.short_description	来自 AMP 的特定 IOC 事件的相关 IOC 简短描述。	关键字
cisco.secure_endpoint.command_line.arguments	与 Cisco 报告的云威胁 IOC 相关的 CLI 参数。	关键字
cisco.secure_endpoint.computer.active	当前端点是否处于活动状态。	布尔值
cisco.secure_endpoint.computer.connector_guid	连接器的 GUID，类似于顶层 connector_guid，但如果涉及多个连接器，则唯一。	关键字
cisco.secure_endpoint.computer.external_ip	相关主机的外部 IP。	ip
cisco.secure_endpoint.computer.network_addresses	相关主机上的所有网络接口信息。	扁平化
cisco.secure_endpoint.connector_guid	将信息发送到 AMP 的连接器的 GUID。	关键字
cisco.secure_endpoint.detection	检测到的恶意软件的名称。	关键字
cisco.secure_endpoint.detection_id	检测的 ID。	关键字
cisco.secure_endpoint.error.description	端点错误事件的描述。	关键字
cisco.secure_endpoint.error.error_code	描述相关错误事件的错误代码。	长整型
cisco.secure_endpoint.event_type_id	事件的子 ID，取决于事件类型。	长整型
cisco.secure_endpoint.file.archived_file.disposition	与文件相关的存档文件的分类，例如“恶意”或“干净”。	关键字
cisco.secure_endpoint.file.archived_file.identity.md5	与恶意事件相关的存档文件的 MD5 哈希值。	关键字
cisco.secure_endpoint.file.archived_file.identity.sha1	与恶意事件相关的存档文件的 SHA1 哈希值。	关键字
cisco.secure_endpoint.file.archived_file.identity.sha256	与恶意事件相关的存档文件的 SHA256 哈希值。	关键字
cisco.secure_endpoint.file.attack_details.application	与漏洞利用预防事件相关的应用程序名称。	关键字
cisco.secure_endpoint.file.attack_details.attacked_module	被漏洞利用预防攻击和检测到的可执行文件或 dll 的路径。	关键字
cisco.secure_endpoint.file.attack_details.base_address	与检测到的漏洞利用相关的基本内存地址。	关键字
cisco.secure_endpoint.file.attack_details.indicators	与检测到的漏洞利用匹配的不同指标类型，例如不同的 MITRE 策略。	扁平化
cisco.secure_endpoint.file.attack_details.suspicious_files	当漏洞利用预防检测到攻击时，相关文件数组。	关键字
cisco.secure_endpoint.file.disposition	文件的分类，例如“恶意”或“干净”。	关键字
cisco.secure_endpoint.file.parent.disposition	父级的分类，例如“恶意”或“干净”。	关键字
cisco.secure_endpoint.group_guids	与将信息发送到 AMP 的连接器相关的组 GUID 数组。	关键字
cisco.secure_endpoint.network_info.disposition	与文件相关的网络事件的分类，例如“恶意”或“干净”。	关键字
cisco.secure_endpoint.network_info.nfm.direction	基于源和目标 IP 的当前方向。	关键字
cisco.secure_endpoint.network_info.parent.disposition	IOC 的分类，例如“恶意”或“干净”。	关键字
cisco.secure_endpoint.network_info.parent.identify.sha256	相关 IOC 的 SHA256 哈希值。	关键字
cisco.secure_endpoint.network_info.parent.identity.md5	相关 IOC 的 MD5 哈希值。	关键字
cisco.secure_endpoint.network_info.parent.identity.sha1	相关 IOC 的 SHA1 哈希值。	关键字
cisco.secure_endpoint.related.cve	所有相关 CVE 的数组	关键字
cisco.secure_endpoint.related.mac	所有相关 MAC 地址的数组。	关键字
cisco.secure_endpoint.scan.clean	扫描的文件是否干净的布尔值。	布尔值
cisco.secure_endpoint.scan.description	与启动的扫描相关的事件描述，例如特定目录名称。	关键字
cisco.secure_endpoint.scan.malicious_detections	与单个扫描事件相关的检测到的恶意文件或文档的计数。	长整型
cisco.secure_endpoint.scan.scanned_files	目录中扫描的文件数。	长整型
cisco.secure_endpoint.scan.scanned_paths	与单个扫描事件相关的扫描的不同目录的计数。	长整型
cisco.secure_endpoint.scan.scanned_processes	与单个扫描事件相关的扫描进程数。	长整型
cisco.secure_endpoint.tactics	与发现的事件相关的所有 MITRE 策略的列表。	扁平化
cisco.secure_endpoint.techniques	与发现的事件相关的所有 MITRE 技术列表。	扁平化
cisco.secure_endpoint.threat_hunting.incident_end_time	威胁搜索完成或关闭的时间。	日期
cisco.secure_endpoint.threat_hunting.incident_hunt_guid	相关调查跟踪问题的 GUID。	关键字
cisco.secure_endpoint.threat_hunting.incident_id	威胁搜索活动的相关事件 ID。	长整型
cisco.secure_endpoint.threat_hunting.incident_remediation	解决漏洞或被利用主机的建议。	关键字
cisco.secure_endpoint.threat_hunting.incident_report_guid	相关威胁搜索报告的 GUID。	关键字
cisco.secure_endpoint.threat_hunting.incident_start_time	启动威胁搜索的时间。	日期
cisco.secure_endpoint.threat_hunting.incident_summary	威胁搜索活动结果的摘要。	关键字
cisco.secure_endpoint.threat_hunting.incident_title	与威胁搜索活动相关的事件标题。	关键字
cisco.secure_endpoint.threat_hunting.severity	注册到恶意事件的威胁搜索的严重性结果。可以是低到危急。	关键字
cisco.secure_endpoint.threat_hunting.tactics	与发现的事件相关的所有 MITRE 策略的列表。	扁平化
cisco.secure_endpoint.threat_hunting.techniques	与发现的事件相关的所有 MITRE 技术列表。	扁平化
cisco.secure_endpoint.timestamp_nanoseconds	以 Epoch 纳秒为单位的时间戳。	日期
cisco.secure_endpoint.vulnerabilities	与恶意事件相关的漏洞数组。	扁平化
cloud.image.id	云实例的映像 ID。	关键字
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	主机是否为容器。	布尔值
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
input.type	Filebeat 输入类型。	关键字

变更日志

编辑

变更日志

版本	详细信息	Kibana 版本
2.28.0	增强 (查看拉取请求) 将“preserve_original_event”标签添加到 `event.kind` 设置为“pipeline_error”的文档。	8.13.0 或更高版本
2.27.1	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三花括号 Mustache 模板。	8.13.0 或更高版本
2.27.0	增强 (查看拉取请求) 允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。	8.13.0 或更高版本
2.26.0	增强 (查看拉取请求) 将 kibana 约束更新为 ^8.13.0。修改了字段定义，以删除 ecs@mappings 组件模板中冗余的 ECS 字段。	8.13.0 或更高版本
2.25.0	增强 (查看拉取请求) 将敏感值设置为机密。	8.12.0 或更高版本
2.24.2	Bug 修复 (查看拉取请求) 修复摄取管道条件字段处理。	8.7.1 或更高版本
2.24.1	增强 (查看拉取请求) 已更改所有者	8.7.1 或更高版本
2.24.0	增强 (查看拉取请求) 将请求跟踪器日志计数限制为 5 个。	8.7.1 或更高版本
2.23.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。	8.7.1 或更高版本
2.22.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时出错。	8.7.1 或更高版本
2.21.0	增强 (查看拉取请求) ECS 版本已更新至 8.10.0。	8.7.1 或更高版本
2.20.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了带点的 YAML 键。在软件包清单中添加了 owner.type: elastic。	8.7.1 或更高版本
2.19.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便将集成的仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。	8.7.1 或更高版本
2.18.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.9.0。	8.7.1 或更高版本
2.17.0	增强 (查看拉取请求) 记录持续时间单位。	8.7.1 或更高版本
2.16.0	增强 (查看拉取请求) 记录有效的持续时间单位。	8.7.1 或更高版本
2.15.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.7.1 或更高版本
2.14.0	增强 (查看拉取请求) 解析出其他字段到 ECS。	8.7.1 或更高版本
2.13.1	增强 (查看拉取请求) 当不可用时，删除空字段和 user.name 字段。	8.7.1 或更高版本
2.13.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	8.7.1 或更高版本
2.12.0	增强 (查看拉取请求) 将 host.name 字段转换为小写	8.7.1 或更高版本
2.11.0	增强 (查看拉取请求) 将 package-spec 版本更新到 2.7.0。	8.7.1 或更高版本
2.10.0	增强 (查看拉取请求) 添加一个新标志以启用请求跟踪	8.7.1 或更高版本
2.9.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	7.17.0 或更高版本 8.0.0 或更高版本
2.8.1	增强 (查看拉取请求) 添加了类别和/或子类别。	7.17.0 或更高版本 8.0.0 或更高版本
2.8.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.6.0。	7.17.0 或更高版本 8.0.0 或更高版本
2.7.1	缺陷修复 (查看拉取请求) 添加了处理器，以便在没有事件时删除空文档	7.17.0 或更高版本 8.0.0 或更高版本
2.7.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.5.0。	7.17.0 或更高版本 8.0.0 或更高版本
2.6.2	缺陷修复 (查看拉取请求) 删除重复字段。	7.17.0 或更高版本 8.0.0 或更高版本
2.6.1	增强 (查看拉取请求) 使用 ECS geo.location 定义。	7.17.0 或更高版本 8.0.0 或更高版本
2.6.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.4.0	7.17.0 或更高版本 8.0.0 或更高版本
2.5.2	增强 (查看拉取请求) 更新软件包名称和描述以符合标准措辞	7.17.0 或更高版本 8.0.0 或更高版本
2.5.1	缺陷修复 (查看拉取请求) 修复速率限制重置时间。	7.17.0 或更高版本 8.0.0 或更高版本
2.5.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	7.17.0 或更高版本 8.0.0 或更高版本
2.4.1	增强 (查看拉取请求) 使用指向供应商文档的链接更新自述文件	7.17.0 或更高版本 8.0.0 或更高版本
2.4.0	增强 (查看拉取请求) 更新到 ECS 8.2	7.17.0 或更高版本 8.0.0 或更高版本
2.3.1	缺陷修复 (查看拉取请求) 修复用于忽略主机富化的配置模板中的错别字	7.17.0 或更高版本 8.0.0 或更高版本
2.3.0	增强 (查看拉取请求) 确保分页正确退出并删除可能的主机字段	—
2.2.0	增强 (查看拉取请求) 修复来自 host.name 的信息传播。	7.17.0 或更高版本 8.0.0 或更高版本
2.1.1	增强 (查看拉取请求) 添加多字段的文档	7.17.0 或更高版本 8.0.0 或更高版本
2.1.0	增强 (查看拉取请求) 如果可能，添加提取主机和用户数据的可能性。	7.17.0 或更高版本 8.0.0 或更高版本
2.0.0	增强 (查看拉取请求) 更新到 ECS 8.0 重大变更 (查看拉取请求) 规范化 MAC 地址；将 host.user.name 替换为 user.name	7.17.0 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) GA 集成	7.16.0 或更高版本 8.0.0 或更高版本
0.2.2	缺陷修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	—
0.2.1	缺陷修复 (查看拉取请求) 将测试公共 IP 更改为受支持的子集	—
0.2.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	—
0.1.1	增强 (查看拉取请求) 更新标题和描述。	—
0.1.0	增强 (查看拉取请求) 从 Filebeat 模块进行初始迁移	—

« Cisco Secure Email Gateway Cisco Umbrella 集成 »