Claroty CTD
编辑Claroty CTD
编辑概述
编辑Claroty CTD 是一款强大的解决方案,为工业和政府环境提供全面的网络安全控制。该公司的综合平台可与客户现有的基础设施和程序无缝连接,同时提供全方位的工业网络安全控制,用于可见性、威胁检测、风险和漏洞管理以及安全的远程访问,所有这些都大大降低了总拥有成本。
Claroty CTD 集成使用 Syslog 服务器和 REST API 收集和解析数据,然后在 Kibana 中将其可视化。
兼容性
编辑此模块已针对最新的 Claroty CTD 版本 4.10.0 进行了测试。
数据流
编辑Claroty CTD 集成收集 7 种类型的消息
通过 Syslog 支持
编辑[活动日志] - 活动日志记录用户和系统在过去一年内在 CTD 中执行的活动。
[警报] - 基于各种风险因素的合格和量化的事件或事件链。根据警报的性质进一步分为安全警报或完整性警报。
[事件] - 事件是 CTD 威胁检测模块的基础。它们是 CTD 中各种引擎记录的对话或活动,然后被分类为有风险(警报或 OT 警报)或无风险(非风险更改或 OT 操作)事件。
[运行状况监控] - 可以通过 Syslog 消息发送计划的定期系统运行状况监控信息。这可用于将实时系统运行状况信息转发到外部监控工具并用于生成警报。
[见解] - CTD 系统会根据各种开箱即用的用例,识别受潜在安全风险影响的资产,并将它们分组到见解中。见解的目的是提供有关这些安全风险的知识,并指出缓解措施,这将提高组织的整体安全态势。
通过 REST API 支持
编辑[资产] - 资产是任何可区分的网络实体。CTD 可以发现 OT、IT 和 IoT 三个类别中的各种资产。
[基线] - 基线是有效网络行为的集合。单独的基线表示两个资产之间的命令或通信实例。
Claroty CTD 集成收集不同事件的日志,但对于 syslog 输入,我们将所有这些组合在一个名为 event 的数据流中。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 通过 Syslog 服务器传输数据,并将数据发送到 Elastic,然后在 Elastic 中通过集成的摄取管道处理事件。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅 此处 的链接。
设置
编辑要通过 TCP/UDP 收集数据,请按照以下步骤操作
编辑要通过 REST API 收集数据,请按照以下步骤操作
编辑- 要设置 Claroty CTD,请参阅 安装指南。
- 获取在设置过程中生成的凭据(用户名、密码和 URL)。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入 Claroty CTD。
- 从搜索结果中选择“Claroty CTD”集成。
-
要通过 TCP 或 UDP 收集日志,请输入以下详细信息
- 监听地址
-
监听端口
要通过 REST API 收集日志,请输入以下详细信息
- 用户名
- 密码
- URL
日志参考
编辑事件
编辑这是 event 数据集。
示例
event 的示例事件如下所示
{
"@timestamp": "2023-08-13T01:00:00.000Z",
"agent": {
"ephemeral_id": "6c3f14b1-0b2c-4bec-8859-27a02692a875",
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.0"
},
"claroty_ctd": {
"event": {
"busy": {
"dm": {
"a_value": 0.77,
"value": 0.66
},
"fd": 0.11,
"sda": {
"a_value": 0.33,
"b_value": 0.44,
"value": 0.22
},
"sr": 0.55
},
"capsaver": {
"folder_cleanup": true
},
"class_id": "HealthCheck",
"conclude_time": 50,
"cpu": 12.21,
"ctrl_site": 48,
"dissection": {
"coverage": 44,
"efficiency": {
"dcerpc": 4.2345,
"factory_talk_rna": 6.2345,
"ge_ifix": 15.2345,
"http": 11.2345,
"jrmi": 14.2345,
"ldap": 13.2345,
"llc": 16.2345,
"matrikon_nopc": 17.2345,
"modbus": 2.2345,
"rdp": 9.2345,
"smb": 3.2345,
"ssh": 10.2345,
"ssl": 7.2345,
"tcp_http": 12.2345,
"vnc": 18.2345,
"vrrp_protocol_matcher": 8.2345,
"zabbix": 5.2345
}
},
"dissector_ng_packet_drops": 35,
"dropped_entities": 51,
"exceptions": 31,
"full_output_packet_drops": 34,
"input_packet_drops": 32,
"loop_call_duration": {
"baseline_tracker_wrker_handle_network_statistics": 1.2345,
"cloud_client_wrkr_base_run_cloud_connected": 22.2345,
"poll_objects": 21.2345
},
"memory": 13.31,
"message": "Successfully ran health monitoring",
"mysql_query": 19.2345,
"name": "Health",
"output_packet_drops": 33,
"postgres_query": 20.2345,
"psql_idle": {
"in_transaction_sessions": 53,
"sessions": 52
},
"queue": {
"baseline_tracker": 1,
"bridge": 2,
"central_bridge": 3,
"concluding": 4,
"diode_feeder": 5,
"dissector": {
"a_value": 7,
"ng": 8,
"value": 6
},
"indicator_service": 9,
"leecher": 10,
"monitor": 11,
"network_statistics": 12,
"packets": {
"count": 13,
"errors": 14
},
"preprocessing": {
"count": 15,
"ng": 16
},
"priority_processing": 17,
"processing": {
"count": 18,
"high": 19
},
"purge": 22,
"statistics_ng": 20,
"syslog": {
"alerts": 23,
"events": 24,
"insights": 25
},
"zordon_updates": 21
},
"read_count": {
"dissector": {
"a_value": 27,
"count": 26,
"ng": 28
},
"preprocessing": {
"count": 29,
"ng": 30
}
},
"real_time": "2023-08-14T01:00:00.000Z",
"sensor_name": "Sensor-1",
"service": {
"docker": "Down",
"firewalld": "Down",
"icsranger": "Down",
"jwthenticator": "Down",
"mariadb": "Down",
"netunnel": "Down",
"postgres": "Down",
"rabbit_mq": "Down",
"redis": "Down",
"watchdog": "Down"
},
"severity": 0,
"site": "Default",
"sniffer_status": {
"site": 23.2345
},
"tag_artifacts_drops": {
"dissector_pypy": {
"sum": 43,
"value": 42
},
"preprocessor": {
"sum": 37,
"value": 36
},
"processor": {
"sum": 39,
"value": 38
},
"sniffer": {
"sum": 41,
"value": 40
}
},
"time": "2023-08-13T01:00:00.000Z",
"unhandled_events": 49,
"used": {
"etc": 17.71,
"opt_icsranger": 14.41,
"tmp": 16.61,
"var": 15.51
},
"version": "0",
"worker": {
"active": {
"executer": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"value": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
}
},
"authentication": {
"api": "Not Available",
"last_restart": "21 min, 18 sec"
},
"baseline_tracker": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"bridge": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"cacher": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"capsaver": {
"api": "Not Available",
"last_restart": "19 min, 17 sec"
},
"cloud": {
"agent": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"client": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
}
},
"concluder": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"configurator": {
"nginx": {
"api": "Not Available",
"last_restart": "19 min, 17 sec"
},
"value": {
"api": "Available",
"last_restart": "21 min, 18 sec"
}
},
"dissector": {
"a_value": {
"api": "Available",
"last_restart": "18 min, 34 sec"
},
"value": {
"api": "Available",
"last_restart": "18 min, 34 sec"
}
},
"enricher": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"indicators": {
"api": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"value": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
}
},
"insights": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"known_threats": {
"api": "Available",
"last_restart": "18 min, 58 sec"
},
"leecher": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"mailer": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"mitre": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"notifications": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"preprocessor": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"processor": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"scheduler": {
"api": "Available",
"last_restart": "21 min, 19 sec"
},
"sensor": {
"api": "Available",
"last_restart": "18 min, 34 sec"
},
"sync_manager": {
"api": "Not Available",
"last_restart": "19316 days, 15 hrs, 56 min, 43 sec"
},
"web": {
"auth": {
"api": "Not Available",
"last_restart": "21 min, 1 sec"
},
"nginx": {
"api": "Not Available",
"last_restart": "21 min, 1 sec"
},
"ranger": {
"api": "Not Available",
"last_restart": "21 min, 6 sec"
},
"ws": {
"api": "Not Available",
"last_restart": "21 min, 1 sec"
}
},
"workers": {
"restart": 47,
"stop": 46
}
},
"yara_scanner_test": 45
}
},
"data_stream": {
"dataset": "claroty_ctd.event",
"namespace": "19344",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"snapshot": false,
"version": "8.14.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "claroty_ctd.event",
"ingested": "2024-09-05T10:02:23Z",
"kind": "event",
"original": "<134>1 2023-08-15T01:00:00Z Site syslog-HealthCheck-Default - - - CEF:0|Claroty|CTD|4.10.0|HealthCheck|Health|0|CtdRealTime=Aug 14 2023 01:00:00 CtdTimeGenerated=Aug 13 2023 01:00:00 CtdMessage=Successfully ran health monitoring CtdSite=Default CtdCpu=12.21 CtdMem=13.31 CtdUsedOptIcsranger=14.41 CtdUsedVar=15.51 CtdUsedTmp=16.61 CtdUsedEtc=17.71 CtdBusyFd=0.11 CtdBusySda=0.22 CtdBusySdaA=0.33 CtdBusySdaB=0.44 CtdBusySr=0.55 CtdBusyDm=0.66 CtdBusyDmA=0.77 CtdQuBaselineTracker=1 CtdQuBridge=2 CtdQuCentralBridge=3 CtdQuConcluding=4 CtdQuDiodeFeeder=5 CtdQuDissector=6 CtdQuDissectorA=7 CtdQuDissectorNg=8 CtdQuIndicatorService=9 CtdQuLeecher=10 CtdQuMonitor=11 CtdQuNetworkStatistics=12 CtdQuPackets=13 CtdQuPacketsErrors=14 CtdQuPreprocessing=15 CtdQuPreprocessingNg=16 CtdQuPriorityProcessing=17 CtdQuProcessing=18 CtdQuProcessingHigh=19 CtdQuStatisticsNg=20 CtdQuZordonUpdates=21 CtdQueuePurge=22 CtdQuSyslogAlerts=23 CtdQuSyslogEvents=24 CtdQuSyslogInsights=25 CtdRdDissector=26 CtdRdDissectorA=27 CtdRdDissectorNg=28 CtdRdPreprocessing=29 CtdRdPreprocessingNg=30 CtdSvcMariaDb=Down CtdSvcPostgres=Down CtdSvcRedis=Down CtdSvcRabbitMq=Down CtdSvcIcsranger=Down CtdSvcWatchdog=Down CtdSvcFirewalld=Down CtdSvcNetunnel=Down CtdSvcJwthenticator=Down CtdSvcDocker=Down CtdExceptions=31 CtdInputPacketDrops=32 CtdOutputPacketDrops=33 CtdFullOutputPacketDrops=34 CtdDissectorNgPacketDrops=35 CtdTagArtifactsDropsPreprocessor=36 CtdTagArtifactsDropsPreprocessorSum=37 CtdTagArtifactsDropsProcessor=38 CtdTagArtifactsDropsProcessorSum=39 CtdTagArtifactsDropsSniffer=40 CtdTagArtifactsDropsSnifferSum=41 CtdTagArtifactsDropsDissectorPypy=42 CtdTagArtifactsDropsDissectorPypySum=43 CtdCapsaverFolderCleanup=TRUE CtdDissectionCoverage=44 CtdCapsaverUtilzationTest=N/A CtdYaraScannerTest=45 CtdWrkrWorkersStop=46 CtdWrkrWorkersRestart=47 CtdWrkrActiveExecuter={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrSensor={'api': 'Available', 'last_restart': '18 min, 34 sec'} CtdWrkrAuthentication={'api': 'Not Available', 'last_restart': '21 min, 18 sec'} CtdWrkrMailer={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrMitre={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrNotifications={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrProcessor={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrCloudAgent={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrCloudClient={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrScheduler={'api': 'Available', 'last_restart': '21 min, 19 sec'} CtdWrkrknownThreats={'api': 'Available', 'last_restart': '18 min, 58 sec'} CtdWrkrCacher={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrInsights={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrActive={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrEnricher={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrIndicators={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrIndicatorsApi={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrConcluder={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrPreprocessor={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrLeecher={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrSyncManager={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrBridge={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrWebRanger={'api': 'Not Available', 'last_restart': '21 min, 6 sec'} CtdWrkrWebWs={'api': 'Not Available', 'last_restart': '21 min, 1 sec'} CtdWrkrWebAuth={'api': 'Not Available', 'last_restart': '21 min, 1 sec'} CtdWrkrWebNginx={'api': 'Not Available', 'last_restart': '21 min, 1 sec'} CtdWrkrConfigurator={'api': 'Available', 'last_restart': '21 min, 18 sec'} CtdWrkrConfiguratorNginx={'api': 'Not Available', 'last_restart': '19 min, 17 sec'} CtdWrkrCapsaver={'api': 'Not Available', 'last_restart': '19 min, 17 sec'} CtdWrkrBaselineTracker={'api': 'Not Available', 'last_restart': '19316 days, 15 hrs, 56 min, 43 sec'} CtdWrkrDissector={'api': 'Available', 'last_restart': '18 min, 34 sec'} CtdWrkrDissectorA={'api': 'Available', 'last_restart': '18 min, 34 sec'} CtdSensorName=Sensor-1 CtdCtrlSite=48 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics=1.2345 CtdDissectionEfficiencyModbus=2.2345 CtdDissectionEfficiencySmb=3.2345 CtdDissectionEfficiencyDcerpc=4.2345 CtdDissectionEfficiencyZabbix=5.2345 CtdDissectionEfficiencyFactorytalkRna=6.2345 CtdDissectionEfficiencySsl=7.2345 CtdDissectionEfficiencyVrrpProtocolMatcher=8.2345 CtdDissectionEfficiencyRdp=9.2345 CtdDissectionEfficiencySsh=10.2345 CtdDissectionEfficiencyHttp=11.2345 CtdDissectionEfficiencyTcpHttp=12.2345 CtdDissectionEfficiencyLdap=13.2345 CtdDissectionEfficiencyJrmi=14.2345 CtdDissectionEfficiencyGeIfix=15.2345 CtdDissectionEfficiencyLlc=16.2345 CtdDissectionEfficiencyMatrikonNopc=17.2345 CtdDissectionEfficiencyVnc=18.2345 CtdUnhandledEvents=49 CtdConcludeTime=50 CtdMysqlQuery=19.2345 CtdPostgresQuery=20.2345 CtdDroppedEntities=51 CtdPsqlIdleSessions=52 CtdPsqlIdleInTransactionSessions=53 CtdSnifferStatus=N/A CtdLoopCallDurationPollObjects=21.2345 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected=22.2345 CtdSnifferStatusCentral=N/A CtdSnifferStatusSite=23.2345"
},
"host": {
"cpu": {
"usage": 12.21
}
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "192.168.243.7:46503"
}
},
"message": "Successfully ran health monitoring",
"observer": {
"hostname": "Default",
"product": "CTD",
"vendor": "Claroty",
"version": "4.10.0"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"claroty_ctd-event"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
claroty_ctd.event.action.status |
描述活动日志的最终状态(例如,信息、失败、成功等)。 |
keyword |
claroty_ctd.event.action.value |
活动日志的操作(例如,添加、删除、更新、创建等)。 |
keyword |
claroty_ctd.event.alert.id |
警报的 ID。 |
keyword |
claroty_ctd.event.alert.link |
用于在 CTD 中查看事件的 URL。 |
keyword |
claroty_ctd.event.alert.score |
警报的评分范围为 0 到 100。实际警报评分可能高于 100,具体取决于各种指标评分的总和,但上限为 100。 |
long |
claroty_ctd.event.alert.status |
用于区分状态为“未解决”和“已解决”的警报。由于默认情况下不发送已解决的警报,因此此字段为空。要在 Syslog 中启用接收已解决的警报,请使用此 CLI 命令:lm set_config report_resolved_alerts True lm rw notifications。 |
keyword |
claroty_ctd.event.alert.type_id |
警报的类 ID(如 CTD 的后端所示)。 |
keyword |
claroty_ctd.event.application |
此见解中使用的应用程序。 |
keyword |
claroty_ctd.event.assigned_to |
分配给此警报的用户的名称。 |
keyword |
claroty_ctd.event.busy.dm.a_value |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.dm.value |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.fd |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.sda.a_value |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.sda.b_value |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.sda.value |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.busy.sr |
特定磁盘分区的使用频率(介于 0 和 1 之间的百分比)。 |
double |
claroty_ctd.event.capsaver.folder_cleanup |
boolean |
|
claroty_ctd.event.capsaver.utilzation_test |
keyword |
|
claroty_ctd.event.category |
警报的类别/类型。 |
keyword |
claroty_ctd.event.class_id |
CEF 事件类 ID。 |
keyword |
claroty_ctd.event.class_type |
警报和事件的 CEF 事件类类型。 |
keyword |
claroty_ctd.event.community |
在涉及 SNMP 查询的见解中,这将提及身份验证期间使用的社区类型。 |
keyword |
claroty_ctd.event.conclude_time |
long |
|
claroty_ctd.event.cpu |
CPU 利用率:CPU 平均负载作为可用 CPU 总容量的百分比(包括所有可用核心)。 |
double |
claroty_ctd.event.ctrl_site |
double |
|
claroty_ctd.event.cve.id |
CVE 的唯一标识符。 |
keyword |
claroty_ctd.event.cve.modified_date |
全球安全社区修改 CVE 的日期和时间。 |
date |
claroty_ctd.event.cve.pipe_service |
在涉及 SMB 访问的见解中,这将列出访问的管道服务。 |
keyword |
claroty_ctd.event.cve.publish_date |
全球安全社区发现 CVE 的日期和时间。 |
date |
claroty_ctd.event.cve.score |
CVSS - 通用漏洞评分系统评分 (0-10)。 |
double |
claroty_ctd.event.default_password |
检查资产是否使用默认密码。 |
boolean |
claroty_ctd.event.destination.asset_type |
辅助资产的资产类型,例如,工程站。如果存在多个目的地,则不会显示它们。 |
keyword |
claroty_ctd.event.destination.host |
警报中涉及的辅助资产的主机名。可能是 FQDN 或主机名。 |
keyword |
claroty_ctd.event.destination.ip |
警报中涉及的辅助资产的 IPv4 地址。 |
ip |
claroty_ctd.event.destination.mac |
警报中涉及的辅助资产的 MAC 地址。 |
keyword |
claroty_ctd.event.destination.zone |
目标区域名称。如果存在多个目的地,则不会显示它们。 |
keyword |
claroty_ctd.event.device_external_id |
生成消息的站点的名称。 |
keyword |
claroty_ctd.event.dissection.coverage |
long |
|
claroty_ctd.event.dissection.efficiency.dcerpc |
double |
|
claroty_ctd.event.dissection.efficiency.factory_talk_rna |
double |
|
claroty_ctd.event.dissection.efficiency.ge_ifix |
double |
|
claroty_ctd.event.dissection.efficiency.http |
double |
|
claroty_ctd.event.dissection.efficiency.jrmi |
double |
|
claroty_ctd.event.dissection.efficiency.ldap |
double |
|
claroty_ctd.event.dissection.efficiency.llc |
double |
|
claroty_ctd.event.dissection.efficiency.matrikon_nopc |
double |
|
claroty_ctd.event.dissection.efficiency.modbus |
double |
|
claroty_ctd.event.dissection.efficiency.rdp |
double |
|
claroty_ctd.event.dissection.efficiency.smb |
double |
|
claroty_ctd.event.dissection.efficiency.ssh |
double |
|
claroty_ctd.event.dissection.efficiency.ssl |
double |
|
claroty_ctd.event.dissection.efficiency.tcp_http |
double |
|
claroty_ctd.event.dissection.efficiency.vnc |
double |
|
claroty_ctd.event.dissection.efficiency.vrrp_protocol_matcher |
double |
|
claroty_ctd.event.dissection.efficiency.zabbix |
double |
|
claroty_ctd.event.dissector_ng_packet_drops |
long |
|
claroty_ctd.event.dropped_entities |
由于达到实体数量限制,系统丢弃的实体数量。 |
long |
claroty_ctd.event.end_of_life_date |
在“不支持的操作系统洞察”中,这表示此洞察主要资产的生命周期结束日期。 |
date |
claroty_ctd.event.event_type_id |
事件的类 ID(与 CTD 后端中的 ID 相同)。 |
keyword |
claroty_ctd.event.exceptions |
新记录的异常数量。 |
long |
claroty_ctd.event.external.id |
警报的 ID。 |
keyword |
claroty_ctd.event.external.links |
有关公开可用签名的更多信息。 |
keyword |
claroty_ctd.event.file_path |
洞察中涉及的文件路径或文件共享。 |
keyword |
claroty_ctd.event.full_output_packet_drops |
long |
|
claroty_ctd.event.input_packet_drops |
long |
|
claroty_ctd.event.insight.password_plaintext |
检查资产是否实现了以明文传输数据的协议。 |
boolean |
claroty_ctd.event.insight.state |
描述 PLC 的状态。 |
keyword |
claroty_ctd.event.insight.user |
洞察中涉及的用户名。 |
keyword |
claroty_ctd.event.insights.protocol |
洞察中涉及的协议。 |
keyword |
claroty_ctd.event.insights.protocol_version |
洞察中涉及的协议版本。 |
keyword |
claroty_ctd.event.insights.severity |
指示洞察的严重性(低、中和高)。 |
keyword |
claroty_ctd.event.is_ghost |
在涉及与其他 IP 通信的洞察中,这将描述外部 IP 是幽灵资产还是真实资产。 |
boolean |
claroty_ctd.event.last_managed |
在涉及受管理 PLC 的洞察中,这将显示上次管理它的日期。 |
date |
claroty_ctd.event.log_type |
描述创建活动日志的级别类型(例如,系统或用户)。 |
keyword |
claroty_ctd.event.loop_call_duration.baseline_tracker_wrker_handle_network_statistics |
double |
|
claroty_ctd.event.loop_call_duration.cloud_client_wrkr_base_run_cloud_connected |
double |
|
claroty_ctd.event.loop_call_duration.poll_objects |
double |
|
claroty_ctd.event.memory |
内存使用率:当前内存消耗的百分比。该值是 0 到 100 之间的数字。 |
double |
claroty_ctd.event.message |
消息的完整描述。 |
keyword |
claroty_ctd.event.method |
洞察中使用的查询方法。 |
keyword |
claroty_ctd.event.mitre_attack.tactic_names |
映射到此警报的 MITRE ATT&CK® for ICS 框架策略。 |
keyword |
claroty_ctd.event.mitre_attack.technique_ids |
映射到此警报的 MITRE ATT&CK® for ICS 框架技术。 |
keyword |
claroty_ctd.event.model |
这表示此洞察主要资产的型号。 |
keyword |
claroty_ctd.event.mysql_query |
MySQL 查询时间,以秒为单位。 |
double |
claroty_ctd.event.name |
CEF 事件名称。 |
keyword |
claroty_ctd.event.no_password |
检查资产是否没有密码。 |
boolean |
claroty_ctd.event.number_of.accesed_client |
对于将资产标识为 Web 服务器的洞察,此字段将显示连接到此 Web 服务器的客户端。 |
long |
claroty_ctd.event.number_of.interface |
对于具有多个接口的资产的洞察,此字段将显示特定资产上的接口数量。 |
long |
claroty_ctd.event.number_of.neighbours |
在呈现高度连接资产的洞察中,此字段将显示连接的资产数量。 |
long |
claroty_ctd.event.operating_system |
这表示此洞察主要资产的操作系统。 |
keyword |
claroty_ctd.event.output_packet_drops |
long |
|
claroty_ctd.event.postgres_query |
Postgres 查询时间,以秒为单位。 |
double |
claroty_ctd.event.protocol |
警报中使用的协议。 |
keyword |
claroty_ctd.event.psql_idle.in_transaction_sessions |
long |
|
claroty_ctd.event.psql_idle.sessions |
long |
|
claroty_ctd.event.queue.baseline_tracker |
基线跟踪器队列消息计数。 |
long |
claroty_ctd.event.queue.bridge |
桥接队列消息计数。 |
long |
claroty_ctd.event.queue.central_bridge |
CentralBridge 队列消息计数。 |
long |
claroty_ctd.event.queue.concluding |
结束队列消息计数。 |
long |
claroty_ctd.event.queue.diode_feeder |
二极管馈线队列消息计数。 |
long |
claroty_ctd.event.queue.dissector.a_value |
DissectorA 队列消息计数。 |
long |
claroty_ctd.event.queue.dissector.ng |
DissectorNg 队列消息计数。 |
long |
claroty_ctd.event.queue.dissector.value |
解剖器队列消息计数。 |
long |
claroty_ctd.event.queue.indicator_service |
IndicatorService 队列消息计数。 |
long |
claroty_ctd.event.queue.leecher |
Leecher 队列消息计数。 |
long |
claroty_ctd.event.queue.monitor |
监视器队列消息计数。 |
long |
claroty_ctd.event.queue.network_statistics |
网络统计队列消息计数。 |
long |
claroty_ctd.event.queue.packets.count |
数据包队列消息计数。 |
long |
claroty_ctd.event.queue.packets.errors |
PacketsErrors 队列消息计数。 |
long |
claroty_ctd.event.queue.preprocessing.count |
预处理队列消息计数。 |
long |
claroty_ctd.event.queue.preprocessing.ng |
PreprocessingNg 队列消息计数。 |
long |
claroty_ctd.event.queue.priority_processing |
优先级处理队列消息计数。 |
long |
claroty_ctd.event.queue.processing.count |
处理队列消息计数。 |
long |
claroty_ctd.event.queue.processing.high |
ProcessingHigh 队列消息计数。 |
long |
claroty_ctd.event.queue.purge |
清除队列消息计数。 |
long |
claroty_ctd.event.queue.statistics_ng |
StatisticsNg 队列消息计数。 |
long |
claroty_ctd.event.queue.syslog.alerts |
SyslogSlerts 队列消息计数。 |
long |
claroty_ctd.event.queue.syslog.events |
SyslogEvents 队列消息计数。 |
long |
claroty_ctd.event.queue.syslog.insights |
SyslogInsights 队列消息计数。 |
long |
claroty_ctd.event.queue.zordon_updates |
ZordonUpdates 队列消息计数。 |
long |
claroty_ctd.event.read_count.dissector.a_value |
每个组件的队列读取计数。 |
long |
claroty_ctd.event.read_count.dissector.count |
每个组件的队列读取计数。 |
long |
claroty_ctd.event.read_count.dissector.ng |
每个组件的队列读取计数。 |
long |
claroty_ctd.event.read_count.preprocessing.count |
每个组件的队列读取计数。 |
long |
claroty_ctd.event.read_count.preprocessing.ng |
每个组件的队列读取计数。 |
long |
claroty_ctd.event.real_time |
运行状况检查创建的时间戳。 |
date |
claroty_ctd.event.resolved.as |
解决类型。(未解决、有效、事件、培训、用户警报规则、不合格、忽略、确认、自动批准且无过期、自动批准且有过期、自动存档且无过期、自动存档且有过期)。由于默认情况下不发送已解决的警报,因此此字段为空。要在 Syslog 中启用接收已解决的警报,请使用以下 CLI 命令:lm set_config report_resolved_alerts True lm rw notifications。 |
keyword |
claroty_ctd.event.resolved.by |
解决警报的用户(或系统)的名称。由于默认情况下不发送已解决的警报,因此此字段为空。要在 Syslog 中启用接收已解决的警报,请使用以下 CLI 命令:lm set_config report_resolved_alerts True lm rw notifications。 |
keyword |
claroty_ctd.event.risk_score |
在呈现风险最高资产的洞察中,这将显示特定资产的风险。 |
long |
claroty_ctd.event.sensor_name |
keyword |
|
claroty_ctd.event.series |
这表示此洞察主要资产的系列。 |
keyword |
claroty_ctd.event.service.docker |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.firewalld |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.icsranger |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.jwthenticator |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.mariadb |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.netunnel |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.postgres |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.rabbit_mq |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.redis |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.service.watchdog |
服务是否正在运行(启动或关闭)。 |
keyword |
claroty_ctd.event.severity |
CEF 事件严重性。 |
long |
claroty_ctd.event.signature.confidence |
表示触发签名的通信事件为网络威胁的概率的分数。以 1% 到 100% 的比例表示,它是使用签名参数和 Claroty 研究的组合计算的,不适用于用户驱动的签名。 |
keyword |
claroty_ctd.event.signature.criticality |
使用签名参数和 Claroty 研究的组合计算的分数。可能的值包括低、中、高和严重。此分数不为用户驱动的签名计算。 |
keyword |
claroty_ctd.event.signature.id |
签名创建者分配给签名的 ID 号。 |
keyword |
claroty_ctd.event.signature.last_updated |
此修订版上次由其创建者更新的日期。 |
date |
claroty_ctd.event.signature.name |
签名创建者分配给签名的名称。 |
keyword |
claroty_ctd.event.signature.powered_by |
签名的创建者和维护者。选项包括:Claroty - 由 Team82 或 Claroty 的数据团队创建的签名,新兴威胁,其他 - 公开可用的签名,上传签名的用户的用户名,用户 - 在早于 v4.8.0 的版本中创建的用户驱动的签名。 |
keyword |
claroty_ctd.event.signature.tags |
攻击类型和其他丰富的签名信息。 |
keyword |
claroty_ctd.event.site |
站点的 ID。 |
keyword |
claroty_ctd.event.sniffer_status.central |
keyword |
|
claroty_ctd.event.sniffer_status.site |
double |
|
claroty_ctd.event.sniffer_status.value |
keyword |
|
claroty_ctd.event.source.asset_type |
主要资产的资产类型,例如,工程站。 |
keyword |
claroty_ctd.event.source.host |
警报中涉及的主要资产的主机名。可能是 FQDN 或主机名。 |
keyword |
claroty_ctd.event.source.ip |
警报中涉及的主要资产的 IPv4 地址。 |
ip |
claroty_ctd.event.source.mac |
警报中涉及的主要资产的 MAC 地址。 |
keyword |
claroty_ctd.event.source.zone |
源区域名称。 |
keyword |
claroty_ctd.event.story_id |
与此警报关联的故事 ID。 |
keyword |
claroty_ctd.event.tag_artifacts_drops.dissector_pypy.sum |
long |
|
claroty_ctd.event.tag_artifacts_drops.dissector_pypy.value |
long |
|
claroty_ctd.event.tag_artifacts_drops.preprocessor.sum |
long |
|
claroty_ctd.event.tag_artifacts_drops.preprocessor.value |
long |
|
claroty_ctd.event.tag_artifacts_drops.processor.sum |
long |
|
claroty_ctd.event.tag_artifacts_drops.processor.value |
long |
|
claroty_ctd.event.tag_artifacts_drops.sniffer.sum |
long |
|
claroty_ctd.event.tag_artifacts_drops.sniffer.value |
long |
|
claroty_ctd.event.time |
警报创建的时间戳。格式为:MMM dd yyyy HH:mm:ss 时区应为 UTC。 |
date |
claroty_ctd.event.unhandled_events |
系统尚未处理的事件数量。 |
long |
claroty_ctd.event.used.etc |
此特定目录中当前使用的磁盘空间百分比。 |
double |
claroty_ctd.event.used.opt_icsranger |
此特定目录中当前使用的磁盘空间百分比。 |
double |
claroty_ctd.event.used.tmp |
此特定目录中当前使用的磁盘空间百分比。 |
double |
claroty_ctd.event.used.var |
此特定目录中当前使用的磁盘空间百分比。 |
double |
claroty_ctd.event.user |
活动日志中涉及的用户名。 |
keyword |
claroty_ctd.event.version |
CEF 事件版本。 |
keyword |
claroty_ctd.event.worker.active.executer.api |
keyword |
|
claroty_ctd.event.worker.active.executer.last_restart |
keyword |
|
claroty_ctd.event.worker.active.value.api |
keyword |
|
claroty_ctd.event.worker.active.value.last_restart |
keyword |
|
claroty_ctd.event.worker.authentication.api |
keyword |
|
claroty_ctd.event.worker.authentication.last_restart |
keyword |
|
claroty_ctd.event.worker.baseline_tracker.api |
keyword |
|
claroty_ctd.event.worker.baseline_tracker.last_restart |
keyword |
|
claroty_ctd.event.worker.bridge.api |
keyword |
|
claroty_ctd.event.worker.bridge.last_restart |
keyword |
|
claroty_ctd.event.worker.cacher.api |
keyword |
|
claroty_ctd.event.worker.cacher.last_restart |
keyword |
|
claroty_ctd.event.worker.capsaver.api |
keyword |
|
claroty_ctd.event.worker.capsaver.last_restart |
keyword |
|
claroty_ctd.event.worker.cloud.agent.api |
keyword |
|
claroty_ctd.event.worker.cloud.agent.last_restart |
keyword |
|
claroty_ctd.event.worker.cloud.client.api |
keyword |
|
claroty_ctd.event.worker.cloud.client.last_restart |
keyword |
|
claroty_ctd.event.worker.concluder.api |
keyword |
|
claroty_ctd.event.worker.concluder.last_restart |
keyword |
|
claroty_ctd.event.worker.configurator.nginx.api |
keyword |
|
claroty_ctd.event.worker.configurator.nginx.last_restart |
keyword |
|
claroty_ctd.event.worker.configurator.value.api |
keyword |
|
claroty_ctd.event.worker.configurator.value.last_restart |
keyword |
|
claroty_ctd.event.worker.dissector.a_value.api |
keyword |
|
claroty_ctd.event.worker.dissector.a_value.last_restart |
keyword |
|
claroty_ctd.event.worker.dissector.value.api |
keyword |
|
claroty_ctd.event.worker.dissector.value.last_restart |
keyword |
|
claroty_ctd.event.worker.enricher.api |
keyword |
|
claroty_ctd.event.worker.enricher.last_restart |
keyword |
|
claroty_ctd.event.worker.indicators.api.api |
keyword |
|
claroty_ctd.event.worker.indicators.api.last_restart |
keyword |
|
claroty_ctd.event.worker.indicators.value.api |
keyword |
|
claroty_ctd.event.worker.indicators.value.last_restart |
keyword |
|
claroty_ctd.event.worker.insights.api |
keyword |
|
claroty_ctd.event.worker.insights.last_restart |
keyword |
|
claroty_ctd.event.worker.known_threats.api |
keyword |
|
claroty_ctd.event.worker.known_threats.last_restart |
keyword |
|
claroty_ctd.event.worker.leecher.api |
keyword |
|
claroty_ctd.event.worker.leecher.last_restart |
keyword |
|
claroty_ctd.event.worker.mailer.api |
keyword |
|
claroty_ctd.event.worker.mailer.last_restart |
keyword |
|
claroty_ctd.event.worker.mitre.api |
keyword |
|
claroty_ctd.event.worker.mitre.last_restart |
keyword |
|
claroty_ctd.event.worker.notifications.api |
keyword |
|
claroty_ctd.event.worker.notifications.last_restart |
keyword |
|
claroty_ctd.event.worker.preprocessor.api |
keyword |
|
claroty_ctd.event.worker.preprocessor.last_restart |
keyword |
|
claroty_ctd.event.worker.processor.api |
keyword |
|
claroty_ctd.event.worker.processor.last_restart |
keyword |
|
claroty_ctd.event.worker.scheduler.api |
keyword |
|
claroty_ctd.event.worker.scheduler.last_restart |
keyword |
|
claroty_ctd.event.worker.sensor.api |
keyword |
|
claroty_ctd.event.worker.sensor.last_restart |
keyword |
|
claroty_ctd.event.worker.sync_manager.api |
keyword |
|
claroty_ctd.event.worker.sync_manager.last_restart |
keyword |
|
claroty_ctd.event.worker.web.auth.api |
keyword |
|
claroty_ctd.event.worker.web.auth.last_restart |
keyword |
|
claroty_ctd.event.worker.web.nginx.api |
keyword |
|
claroty_ctd.event.worker.web.nginx.last_restart |
keyword |
|
claroty_ctd.event.worker.web.ranger.api |
keyword |
|
claroty_ctd.event.worker.web.ranger.last_restart |
keyword |
|
claroty_ctd.event.worker.web.ws.api |
keyword |
|
claroty_ctd.event.worker.web.ws.last_restart |
keyword |
|
claroty_ctd.event.worker.workers.restart |
重新启动的工作程序总数。 |
long |
claroty_ctd.event.worker.workers.stop |
停止的工作程序总数。 |
long |
claroty_ctd.event.yara_scanner_test |
long |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tags |
用户定义的标签。 |
keyword |
资产
编辑这是 asset 数据集。
示例
一个 asset 的示例事件如下所示
{
"@timestamp": "2024-07-24T15:09:48.000Z",
"agent": {
"ephemeral_id": "639a39fa-e0cd-4d50-a485-07788e0cf613",
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.0"
},
"claroty_ctd": {
"asset": {
"approved": true,
"asset_types": {
"name": "eHMI",
"number": 1
},
"class_type": "OT",
"criticalities": {
"name": "eLow",
"value": 0
},
"custom_attributes": [
{
"asset_id": "1",
"category": {
"description": "sdfas",
"id": "1",
"name": "Some Asset",
"resource_id": "1-1",
"site_id": "1"
},
"id": "1",
"resource_id": "1-1",
"site_id": "1",
"value": "some value"
}
],
"first_seen": "2023-04-17T07:30:15.000Z",
"ghost": false,
"id": "1",
"insight_names": [
"Managed PLCs (by Rockwell users)",
"Privileged Operations (Operated PLCs)"
],
"installed_programs_count": 0,
"ipv4": [
"1.128.0.0"
],
"last_entity_seen": "2023-04-17T07:36:30.000Z",
"last_seen": "2023-04-17T07:36:30.000Z",
"last_updated": "2024-07-24T15:09:48.000Z",
"name": "1.128.0.0",
"network": {
"id": "1",
"name": "Default",
"resource_id": "1-1",
"site_id": "1"
},
"network_id": "1",
"num_alerts": 0,
"parsed": false,
"patch_count": 0,
"protocol": [
"CIP",
"ENIP",
"PCCC",
"TCP"
],
"purdue_level": 2,
"resource_id": "1-1",
"risk_level": 0,
"site_id": "1",
"site_name": "site-10-0-11-136",
"special_hints": {
"name": "eUnicast",
"value": 0
},
"subnet_id": "1",
"timestamp": "2023-04-17T07:30:15.000Z",
"usb_devices_count": 0,
"valid": true,
"virtual_zone": {
"id": "2",
"name": "HMI: Rockwell"
}
}
},
"data_stream": {
"dataset": "claroty_ctd.asset",
"namespace": "42864",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"snapshot": false,
"version": "8.14.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "claroty_ctd.asset",
"ingested": "2024-09-05T09:56:07Z",
"kind": "event",
"original": "{\"active_queries_names\":[],\"active_tasks_names\":[],\"approved\":true,\"asset_type\":1,\"asset_type__\":\"eHMI\",\"children\":[],\"class_type\":\"OT\",\"code_sections\":[],\"criticality\":0,\"criticality__\":\"eLow\",\"custom_attributes\":[{\"asset_id\":1,\"category\":{\"description\":\"sdfas\",\"id\":1,\"name\":\"Some Asset\",\"resource_id\":\"1-1\",\"site_id\":1},\"id\":1,\"resource_id\":\"1-1\",\"site_id\":1,\"value\":\"some value\"}],\"custom_informations\":[],\"default_gateway\":null,\"display_name\":null,\"domain_workgroup\":null,\"edge_id\":null,\"edge_last_run\":null,\"first_seen\":\"2023-04-17T07:30:15+00:00\",\"ghost\":false,\"id\":1,\"insight_names\":[\"Managed PLCs (by Rockwell users)\",\"Privileged Operations (Operated PLCs)\"],\"installed_antivirus\":null,\"installed_programs_count\":0,\"ipv4\":[\"1.128.0.0\"],\"last_entity_seen\":\"2023-04-17T07:36:30+00:00\",\"last_seen\":\"2023-04-17T07:36:30+00:00\",\"last_updated\":\"2024-07-24T15:09:48+00:00\",\"name\":\"1.128.0.0\",\"network\":{\"id\":1,\"name\":\"Default\",\"resource_id\":\"1-1\",\"site_id\":1},\"network_id\":1,\"num_alerts\":0,\"os_architecture\":null,\"os_build\":null,\"os_revision\":null,\"os_service_pack\":null,\"parsed\":false,\"patch_count\":0,\"project_parsed\":null,\"protocol\":[\"CIP\",\"ENIP\",\"PCCC\",\"TCP\"],\"purdue_level\":2,\"resource_id\":\"1-1\",\"risk_level\":0,\"site_id\":1,\"site_name\":\"site-10-0-11-136\",\"special_hint\":0,\"special_hint__\":\"eUnicast\",\"state\":null,\"subnet\":{\"name\":\"1.128.0.0\"},\"subnet_id\":1,\"subnet_type\":0,\"timestamp\":\"2023-04-17T07:30:15+00:00\",\"usb_devices_count\":0,\"valid\":true,\"virtual_zone_id\":2,\"virtual_zone_name\":\"HMI: Rockwell\"}",
"severity": 0,
"type": [
"info"
]
},
"host": {
"id": "1",
"name": "1.128.0.0"
},
"input": {
"type": "cel"
},
"network": {
"name": "Default",
"protocol": [
"cip",
"enip",
"pccc",
"tcp"
]
},
"related": {
"ip": [
"1.128.0.0"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"claroty_ctd-asset"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
claroty_ctd.asset.active.queries_names |
keyword |
|
claroty_ctd.asset.active.scans_names |
keyword |
|
claroty_ctd.asset.active.tasks_names |
keyword |
|
claroty_ctd.asset.approved |
boolean |
|
claroty_ctd.asset.asset_types.name |
keyword |
|
claroty_ctd.asset.asset_types.number |
long |
|
claroty_ctd.asset.children.active_queries_names |
keyword |
|
claroty_ctd.asset.children.active_tasks_names |
keyword |
|
claroty_ctd.asset.children.address |
keyword |
|
claroty_ctd.asset.children.approved |
boolean |
|
claroty_ctd.asset.children.asset_types.name |
keyword |
|
claroty_ctd.asset.children.asset_types.number |
long |
|
claroty_ctd.asset.children.class_type |
keyword |
|
claroty_ctd.asset.children.criticalities.name |
keyword |
|
claroty_ctd.asset.children.criticalities.value |
long |
|
claroty_ctd.asset.children.custom_informations.category |
long |
|
claroty_ctd.asset.children.custom_informations.display_key |
keyword |
|
claroty_ctd.asset.children.custom_informations.key |
keyword |
|
claroty_ctd.asset.children.custom_informations.priority |
long |
|
claroty_ctd.asset.children.custom_informations.type |
long |
|
claroty_ctd.asset.children.custom_informations.val |
keyword |
|
claroty_ctd.asset.children.default_gateway |
keyword |
|
claroty_ctd.asset.children.display_name |
keyword |
|
claroty_ctd.asset.children.domain_workgroup |
keyword |
|
claroty_ctd.asset.children.edge_id |
keyword |
|
claroty_ctd.asset.children.edge_last_run |
keyword |
|
claroty_ctd.asset.children.firmware |
keyword |
|
claroty_ctd.asset.children.first_seen |
date |
|
claroty_ctd.asset.children.ghost |
boolean |
|
claroty_ctd.asset.children.id |
keyword |
|
claroty_ctd.asset.children.installed_antivirus |
keyword |
|
claroty_ctd.asset.children.last_entity_seen |
date |
|
claroty_ctd.asset.children.last_seen |
date |
|
claroty_ctd.asset.children.last_updated |
date |
|
claroty_ctd.asset.children.model |
keyword |
|
claroty_ctd.asset.children.name |
keyword |
|
claroty_ctd.asset.children.network.id |
keyword |
|
claroty_ctd.asset.children.network.name |
keyword |
|
claroty_ctd.asset.children.network.resource_id |
keyword |
|
claroty_ctd.asset.children.network.site_id |
keyword |
|
claroty_ctd.asset.children.network_id |
keyword |
|
claroty_ctd.asset.children.os.architecture |
keyword |
|
claroty_ctd.asset.children.os.build |
keyword |
|
claroty_ctd.asset.children.os.revision |
keyword |
|
claroty_ctd.asset.children.os.service_pack |
keyword |
|
claroty_ctd.asset.children.parsed |
boolean |
|
claroty_ctd.asset.children.project_parsed.builder_hostname |
keyword |
|
claroty_ctd.asset.children.project_parsed.creation_time |
long |
|
claroty_ctd.asset.children.project_parsed.creation_ver |
keyword |
|
claroty_ctd.asset.children.project_parsed.description |
keyword |
|
claroty_ctd.asset.children.project_parsed.information_type |
long |
|
claroty_ctd.asset.children.project_parsed.modification_time |
long |
|
claroty_ctd.asset.children.project_parsed.modification_ver |
keyword |
|
claroty_ctd.asset.children.project_parsed.name |
keyword |
|
claroty_ctd.asset.children.project_parsed.priority |
long |
|
claroty_ctd.asset.children.project_parsed.project_ver |
keyword |
|
claroty_ctd.asset.children.resource_id |
keyword |
|
claroty_ctd.asset.children.risk_level |
long |
|
claroty_ctd.asset.children.serial_number |
keyword |
|
claroty_ctd.asset.children.site_id |
keyword |
|
claroty_ctd.asset.children.site_name |
keyword |
|
claroty_ctd.asset.children.special_hints.name |
keyword |
|
claroty_ctd.asset.children.special_hints.value |
long |
|
claroty_ctd.asset.children.state |
keyword |
|
claroty_ctd.asset.children.subnet.name |
keyword |
|
claroty_ctd.asset.children.subnet_id |
keyword |
|
claroty_ctd.asset.children.subnet_type |
long |
|
claroty_ctd.asset.children.timestamp |
date |
|
claroty_ctd.asset.children.vendor |
keyword |
|
claroty_ctd.asset.children.virtual_zone.id |
keyword |
|
claroty_ctd.asset.children.virtual_zone.name |
keyword |
|
claroty_ctd.asset.class_type |
keyword |
|
claroty_ctd.asset.code_sections.filename |
keyword |
|
claroty_ctd.asset.code_sections.rid |
keyword |
|
claroty_ctd.asset.code_sections.type |
keyword |
|
claroty_ctd.asset.criticalities.name |
keyword |
|
claroty_ctd.asset.criticalities.value |
long |
|
claroty_ctd.asset.custom_attributes.asset_id |
keyword |
|
claroty_ctd.asset.custom_attributes.category.description |
keyword |
|
claroty_ctd.asset.custom_attributes.category.id |
keyword |
|
claroty_ctd.asset.custom_attributes.category.name |
keyword |
|
claroty_ctd.asset.custom_attributes.category.resource_id |
keyword |
|
claroty_ctd.asset.custom_attributes.category.site_id |
keyword |
|
claroty_ctd.asset.custom_attributes.id |
keyword |
|
claroty_ctd.asset.custom_attributes.resource_id |
keyword |
|
claroty_ctd.asset.custom_attributes.site_id |
keyword |
|
claroty_ctd.asset.custom_attributes.value |
keyword |
|
claroty_ctd.asset.custom_informations.category |
long |
|
claroty_ctd.asset.custom_informations.display_key |
keyword |
|
claroty_ctd.asset.custom_informations.key |
keyword |
|
claroty_ctd.asset.custom_informations.priority |
long |
|
claroty_ctd.asset.custom_informations.type |
long |
|
claroty_ctd.asset.custom_informations.val |
keyword |
|
claroty_ctd.asset.default_gateway |
keyword |
|
claroty_ctd.asset.display_name |
keyword |
|
claroty_ctd.asset.domain_workgroup |
keyword |
|
claroty_ctd.asset.edge_id |
keyword |
|
claroty_ctd.asset.edge_last_run |
keyword |
|
claroty_ctd.asset.firmware |
keyword |
|
claroty_ctd.asset.first_seen |
date |
|
claroty_ctd.asset.ghost |
boolean |
|
claroty_ctd.asset.hostname |
keyword |
|
claroty_ctd.asset.id |
keyword |
|
claroty_ctd.asset.insight_names |
keyword |
|
claroty_ctd.asset.installed_antivirus |
keyword |
|
claroty_ctd.asset.installed_programs_count |
long |
|
claroty_ctd.asset.ipv4 |
ip |
|
claroty_ctd.asset.last_entity_seen |
date |
|
claroty_ctd.asset.last_seen |
date |
|
claroty_ctd.asset.last_updated |
date |
|
claroty_ctd.asset.mac |
keyword |
|
claroty_ctd.asset.model |
keyword |
|
claroty_ctd.asset.name |
keyword |
|
claroty_ctd.asset.network.id |
keyword |
|
claroty_ctd.asset.network.name |
keyword |
|
claroty_ctd.asset.network.resource_id |
keyword |
|
claroty_ctd.asset.network.site_id |
keyword |
|
claroty_ctd.asset.network_id |
keyword |
|
claroty_ctd.asset.num_alerts |
long |
|
claroty_ctd.asset.os.architecture |
keyword |
|
claroty_ctd.asset.os.build |
keyword |
|
claroty_ctd.asset.os.revision |
keyword |
|
claroty_ctd.asset.os.service_pack |
keyword |
|
claroty_ctd.asset.parsed |
boolean |
|
claroty_ctd.asset.patch_count |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.description |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.information_type |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.priority |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.slot |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.address |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.description |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.firmware_version |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.information_type |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.name |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.order_number |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.priority |
long |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.product |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.serial_number |
keyword |
|
claroty_ctd.asset.plc_slots.plcslotinformations.value.plcinformation.vendor |
keyword |
|
claroty_ctd.asset.project_parsed.builder_hostname |
keyword |
|
claroty_ctd.asset.project_parsed.creation_time |
long |
|
claroty_ctd.asset.project_parsed.creation_ver |
keyword |
|
claroty_ctd.asset.project_parsed.description |
keyword |
|
claroty_ctd.asset.project_parsed.information_type |
long |
|
claroty_ctd.asset.project_parsed.modification_time |
long |
|
claroty_ctd.asset.project_parsed.modification_ver |
keyword |
|
claroty_ctd.asset.project_parsed.name |
keyword |
|
claroty_ctd.asset.project_parsed.priority |
long |
|
claroty_ctd.asset.project_parsed.project_ver |
keyword |
|
claroty_ctd.asset.protocol |
keyword |
|
claroty_ctd.asset.purdue_level |
double |
|
claroty_ctd.asset.resource_id |
keyword |
|
claroty_ctd.asset.risk_level |
long |
|
claroty_ctd.asset.serial_number |
keyword |
|
claroty_ctd.asset.site_id |
keyword |
|
claroty_ctd.asset.site_name |
keyword |
|
claroty_ctd.asset.special_hints.name |
keyword |
|
claroty_ctd.asset.special_hints.value |
long |
|
claroty_ctd.asset.state |
keyword |
|
claroty_ctd.asset.subnet_id |
keyword |
|
claroty_ctd.asset.timestamp |
date |
|
claroty_ctd.asset.usb_devices_count |
long |
|
claroty_ctd.asset.valid |
boolean |
|
claroty_ctd.asset.vendor |
keyword |
|
claroty_ctd.asset.virtual_zone.id |
keyword |
|
claroty_ctd.asset.virtual_zone.name |
keyword |
|
claroty_ctd.asset.vlan |
keyword |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
tags |
用户定义的标签。 |
keyword |
基线
编辑这是 baseline 数据集。
示例
一个 baseline 的示例事件如下所示
{
"@timestamp": "2024-07-09T12:03:12.000Z",
"agent": {
"ephemeral_id": "b90e99a6-b998-47ad-9883-8bb06ad3be20",
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.0"
},
"claroty_ctd": {
"baseline": {
"approved": true,
"category": 3,
"category_access": 1,
"description": "CIP : Read attribute 'Minor Events Reported' of object FaultLog",
"destination": {
"asset_id": "51",
"entity": {
"asset_name": "Chemical_plant",
"id": "2",
"ipv4": "1.128.0.0",
"mac": "00:00:BC:C7:8F:06",
"resource_id": "2-1",
"virtual_zone_id": "3",
"virtual_zone_name": "PLC: Rockwell"
}
},
"frequency": 0,
"has_values": false,
"hash": "513826395598251000",
"id": "1",
"last_seen": "2023-04-17T07:30:09.000Z",
"last_updated": "2024-07-09T12:03:12.000Z",
"protocol": "CIP",
"resource_id": "1-1",
"session_state": 3,
"site_id": "1",
"source": {
"asset_id": "1",
"entity": {
"id": "1",
"ipv4": "1.128.0.0",
"resource_id": "1-1",
"virtual_zone": {
"id": "2",
"name": "HMI: Rockwell"
}
}
},
"time": "2023-04-17T07:30:09.000Z",
"type": 0,
"valid": true
}
},
"data_stream": {
"dataset": "claroty_ctd.baseline",
"namespace": "38694",
"type": "logs"
},
"destination": {
"ip": [
"1.128.0.0"
],
"mac": "00-00-BC-C7-8F-06"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7090d98c-c949-469c-9209-a0de3adaaa65",
"snapshot": false,
"version": "8.14.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "claroty_ctd.baseline",
"hash": "513826395598251000",
"id": "1",
"ingested": "2024-09-05T09:58:36Z",
"kind": "event",
"original": "{\"approved\":true,\"category\":3,\"category_access\":1,\"description\":\"CIP : Read attribute 'Minor Events Reported' of object FaultLog\",\"destination_asset_id\":51,\"destination_entity\":{\"asset_name\":\"Chemical_plant\",\"id\":2,\"ipv4\":\"1.128.0.0\",\"mac\":\"00:00:BC:C7:8F:06\",\"resource_id\":\"2-1\",\"virtual_zone_id\":3,\"virtual_zone_name\":\"PLC: Rockwell\"},\"dst_port\":null,\"frequency\":0,\"has_values\":false,\"hash\":513826395598251000,\"id\":1,\"interval\":null,\"last_seen\":\"2023-04-17T07:30:09+00:00\",\"last_updated\":\"2024-07-09T12:03:12+00:00\",\"protocol\":\"CIP\",\"resource_id\":\"1-1\",\"session_state\":3,\"site_id\":1,\"source_asset_id\":1,\"source_entity\":{\"asset_name\":\"1.128.0.0\",\"id\":1,\"ipv4\":\"1.128.0.0\",\"resource_id\":\"1-1\",\"virtual_zone_id\":2,\"virtual_zone_name\":\"HMI: Rockwell\"},\"src_port\":null,\"timestamp\":\"2023-04-17T07:30:09+00:00\",\"transmission\":null,\"type\":0,\"valid\":true}",
"type": [
"info"
]
},
"input": {
"type": "cel"
},
"message": "CIP : Read attribute 'Minor Events Reported' of object FaultLog",
"network": {
"protocol": "cip"
},
"related": {
"hash": [
"513826395598251000"
],
"ip": [
"1.128.0.0"
]
},
"source": {
"ip": [
"1.128.0.0"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"claroty_ctd-baseline"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
claroty_ctd.baseline.approved |
boolean |
|
claroty_ctd.baseline.category |
long |
|
claroty_ctd.baseline.category_access |
long |
|
claroty_ctd.baseline.description |
keyword |
|
claroty_ctd.baseline.destination.asset_id |
keyword |
|
claroty_ctd.baseline.destination.entity.asset_name |
keyword |
|
claroty_ctd.baseline.destination.entity.id |
keyword |
|
claroty_ctd.baseline.destination.entity.ipv4 |
ip |
|
claroty_ctd.baseline.destination.entity.mac |
keyword |
|
claroty_ctd.baseline.destination.entity.resource_id |
keyword |
|
claroty_ctd.baseline.destination.entity.virtual_zone_id |
keyword |
|
claroty_ctd.baseline.destination.entity.virtual_zone_name |
keyword |
|
claroty_ctd.baseline.destination.port |
long |
|
claroty_ctd.baseline.frequency |
long |
|
claroty_ctd.baseline.has_values |
boolean |
|
claroty_ctd.baseline.hash |
keyword |
|
claroty_ctd.baseline.id |
keyword |
|
claroty_ctd.baseline.interval |
long |
|
claroty_ctd.baseline.last_seen |
date |
|
claroty_ctd.baseline.last_updated |
date |
|
claroty_ctd.baseline.protocol |
keyword |
|
claroty_ctd.baseline.resource_id |
keyword |
|
claroty_ctd.baseline.session_state |
long |
|
claroty_ctd.baseline.site_id |
keyword |
|
claroty_ctd.baseline.source.asset_id |
keyword |
|
claroty_ctd.baseline.source.entity.asset_name |
keyword |
|
claroty_ctd.baseline.source.entity.id |
keyword |
|
claroty_ctd.baseline.source.entity.ipv4 |
ip |
|
claroty_ctd.baseline.source.entity.mac |
keyword |
|
claroty_ctd.baseline.source.entity.resource_id |
keyword |
|
claroty_ctd.baseline.source.entity.virtual_zone.id |
keyword |
|
claroty_ctd.baseline.source.entity.virtual_zone.name |
keyword |
|
claroty_ctd.baseline.source.port |
long |
|
claroty_ctd.baseline.time |
date |
|
claroty_ctd.baseline.transmission |
keyword |
|
claroty_ctd.baseline.type |
long |
|
claroty_ctd.baseline.valid |
boolean |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
tags |
用户定义的标签。 |
keyword |